當(dāng)數(shù)據(jù)流在急速涌入數(shù)據(jù)中心和云存儲(chǔ)系統(tǒng)時(shí)，IT經(jīng)理和存儲(chǔ)管理員必須為此做好準(zhǔn)備，尤其是當(dāng)遇到數(shù)據(jù)流量洪峰的時(shí)候。借助為數(shù)據(jù)流量提供額外數(shù)據(jù)的設(shè)備數(shù)量?jī)?yōu)勢(shì)，數(shù)據(jù)分析、業(yè)務(wù)指標(biāo)以及儀控測(cè)量已經(jīng)完全改變了現(xiàn)代企業(yè)處理業(yè)務(wù)的方式。

如今，每年企業(yè)需要處理的數(shù)據(jù)一般在PB量級(jí)，這也使得企業(yè)在趨于勞動(dòng)密集型的同時(shí)，對(duì)數(shù)據(jù)的保護(hù)也更加困難復(fù)雜，即使是處于結(jié)構(gòu)化環(huán)境中的企業(yè)數(shù)據(jù)庫(kù)也如此。

實(shí)際上，最近Forrester Research對(duì)企業(yè)的IT經(jīng)理人展開的一項(xiàng)調(diào)研表明，71%的企業(yè)仍在艱難的保護(hù)他們數(shù)據(jù)庫(kù)中珍貴的公司數(shù)據(jù)。如洪水般泛濫的數(shù)據(jù)安全威脅已經(jīng)“淹沒”了那些準(zhǔn)備不周的企業(yè)，恰當(dāng)?shù)臄?shù)據(jù)管理和保護(hù)已是剛需。

下面是開源MariaDB社區(qū) Forrester Researchand 關(guān)于數(shù)據(jù)庫(kù)保護(hù)的8項(xiàng)最佳實(shí)踐：

1. 不要讓你的數(shù)據(jù)成為攻擊的靶子

[[172093]]

通過有效的加密和令牌化是數(shù)據(jù)靜態(tài)保護(hù)的第一步。可能的情況下，本地的加密算法經(jīng)常要強(qiáng)于第三方解決方案。重要的最佳實(shí)踐包括日志、臨時(shí)表的保護(hù)，以及密鑰管理責(zé)任的輪換和分離。

2. 加密動(dòng)態(tài)數(shù)據(jù)

[[172094]]

同樣，出入數(shù)據(jù)庫(kù)的傳輸數(shù)據(jù)也需要正確的保護(hù)，要確保正在使用最新的SSL/TLS傳輸加密協(xié)議。不要想當(dāng)然地以為你的數(shù)據(jù)庫(kù)一定是加密的，事實(shí)并非如此。

3. 給數(shù)據(jù)治理創(chuàng)建流程和策略

由于數(shù)據(jù)在企業(yè)內(nèi)部的流動(dòng)，固態(tài)數(shù)據(jù)治理是遵守PCI、HIPAA和SOX等規(guī)范的關(guān)鍵。這意味著企業(yè)要了解敏感數(shù)據(jù)的存儲(chǔ)位置，確保數(shù)據(jù)不會(huì)駐留在缺乏安全性的測(cè)試和開發(fā)環(huán)境中，并圍繞責(zé)任分離制定策略。

4. 控制正確的人訪問屬于他的數(shù)據(jù)

身份訪問管理(IAM)是有效數(shù)據(jù)庫(kù)安全的基礎(chǔ)。企業(yè)或組織必須能夠可靠地確保用戶和系統(tǒng)級(jí)別的賬戶只能訪問到完成其工作所必需的數(shù)據(jù)。這就要求強(qiáng)口令管理和驗(yàn)證，以及“支持授權(quán)和基于角色訪問控制(RBAC)”的技術(shù)。

5. 跟蹤活動(dòng)以簡(jiǎn)化電子取證

執(zhí)行基于角色的訪問控制策略是不夠的，在登錄后跟蹤和記錄賬戶的活動(dòng)情況，以建立可信的審計(jì)路徑，也同樣關(guān)鍵。在應(yīng)急響應(yīng)人員需要對(duì)可疑活動(dòng)進(jìn)行調(diào)查的情況下，提供合規(guī)和活動(dòng)記錄就會(huì)非常重要。

6. 不要信任輸入的數(shù)據(jù)

必須過濾來自網(wǎng)頁表單和對(duì)外Web應(yīng)用的查詢請(qǐng)求，否則數(shù)據(jù)庫(kù)就會(huì)暴露在SQL注入攻擊下，數(shù)據(jù)庫(kù)的所有內(nèi)容時(shí)刻面臨泄露的風(fēng)險(xiǎn)。因此，制定相關(guān)安全機(jī)制也非常重要。如安裝可以過濾可疑查詢請(qǐng)求的插件，來阻止這種常見且強(qiáng)大的威脅。

7. 及時(shí)更新你的防御

數(shù)據(jù)庫(kù)漏洞給企業(yè)帶來巨大的風(fēng)險(xiǎn)。因此，要確保你有嚴(yán)格的補(bǔ)丁和維護(hù)流程，以保持?jǐn)?shù)據(jù)庫(kù)為最新狀態(tài)，并降低被攻擊的風(fēng)險(xiǎn)。如果目前部署的安全解決方案并沒有經(jīng)常性的更新，建議替換。一個(gè)更新間隔時(shí)間非常長(zhǎng)的方案無法跟上攻擊的變化。

8. 開源數(shù)據(jù)庫(kù)，既省錢又安全

開源數(shù)據(jù)庫(kù)不僅可以讓更多的企業(yè)承擔(dān)得起其花銷，由于其代碼透明以及開源社區(qū)在尋找潛在漏洞方面的警覺性，使得他們天生就更加安全。這份警覺使得修復(fù)漏洞的速度非常之快。比起睜一只眼閉一只眼，他們中的大部分人更樂意“攀登”bug修復(fù)的“高峰”。