風(fēng)險三:賬號權(quán)限過大,數(shù)據(jù)庫權(quán)限濫用,訪問行為不可控,無法判斷訪問行為是否合法。
治理思路:通過部署帕拉迪數(shù)據(jù)庫安全運維寶DIM,實現(xiàn)運維數(shù)據(jù)庫權(quán)限治理、阻斷自然人數(shù)據(jù)庫賬號非法SQL行為、實現(xiàn)高權(quán)限行為回收、確保運維數(shù)據(jù)不落地、自定義敏感操作、對訪問敏感業(yè)務(wù)數(shù)據(jù)庫表實現(xiàn)自動脫敏,從而在不影響此賬號的運維工作的同時,又可防止此賬號權(quán)限過大,造成數(shù)據(jù)篡改、數(shù)據(jù)泄漏的風(fēng)險。
四、安全風(fēng)險應(yīng)對建議
安全建設(shè)應(yīng)根據(jù)用戶實際情況分析客戶面臨的安全威脅的利害性,應(yīng)本著先處置高風(fēng)險,后處置或暫時不處置低風(fēng)險的原則,進(jìn)行相應(yīng)的數(shù)據(jù)庫安全方案建設(shè)。從數(shù)據(jù)庫安全運維管理的角度來思考,運維人員需要對所有的數(shù)據(jù)庫操作從業(yè)務(wù)層面和運維層面進(jìn)行防護,結(jié)合產(chǎn)品和技術(shù)輔佐數(shù)據(jù)庫安全運維管理,最終實現(xiàn)數(shù)據(jù)庫安全有效管理。
情況一:業(yè)務(wù)系統(tǒng)為內(nèi)網(wǎng)系統(tǒng),運維人員多,業(yè)務(wù)系統(tǒng)多
此時直接訪問數(shù)據(jù)庫的行為帶來的風(fēng)險較高。綜合考慮,可采用帕拉迪如下治理方案進(jìn)行相應(yīng)的安全運維建設(shè):
【據(jù)庫安全運維寶DIM+下一代WEB應(yīng)用防火墻NGWAF】
情況二:業(yè)務(wù)系統(tǒng)為在外網(wǎng)系統(tǒng),運維人員多,業(yè)務(wù)系統(tǒng)多
此時應(yīng)用訪問數(shù)據(jù)庫的風(fēng)險和使用工具訪問數(shù)據(jù)庫的行為帶來的風(fēng)險都較高。綜合考慮,可采用帕拉迪如下治理方案進(jìn)行相應(yīng)的安全運維建設(shè):
【據(jù)庫安全運維寶DIM+數(shù)據(jù)庫準(zhǔn)入防火墻DAF+下一代WEB應(yīng)用防火墻NGWAF】
情況三:基于當(dāng)前數(shù)據(jù)庫整體安全的考慮,建議從運維層到業(yè)務(wù)層進(jìn)行全面的防御操作
基于當(dāng)前數(shù)據(jù)庫整體安全的考慮,建議從運維層到業(yè)務(wù)層進(jìn)行全面的防御操作。此時可采用帕拉迪如下綜合治理方案進(jìn)行相應(yīng)的安全運維建設(shè):
【據(jù)庫安全運維寶DIM+下一代WEB應(yīng)用防火墻NGWAF+下一代數(shù)據(jù)庫應(yīng)用防御系統(tǒng)NGDAP】
結(jié)語:
當(dāng)和客戶探討數(shù)據(jù)庫安全風(fēng)險應(yīng)對的思路時,建議按照以上不同的場景提供相對應(yīng)的解決方案,確保最大力度地將數(shù)據(jù)安全風(fēng)險降到最低。