Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


15.07.2022

Nowa wersja BDRSuite

Vembu Technologies, dostawca oprogramowania do ochrony danych w środowiskach fizycznych,...
15.07.2022

Zarządzanie końcówkami

baramundi software opublikowało nową wersję narzędzia do ujednoliconego zarządzania...
15.07.2022

Cyberzwiadowca

FortiRecon to kompleksowe narzędzie do ochrony przed cyfrowym ryzykiem (Digital Risk...
15.07.2022

Kontrola audiowizualna

Optoma wprowadziła oprogramowanie zintegrowane z chmurową platformą Microsoft Azure do...
15.07.2022

Chmura bezpieczeństwa

Cisco przedstawiło plan stworzenia Security Cloud – globalnej, zintegrowanej, opartej na...
15.07.2022

Nowy laptop do pracy zdalnej

Wielozadaniowość pracy hybrydowej to idea, która była inspiracją dla inżynierów Della...
15.07.2022

Monitoring bez zakłóceń

Firma Axis Communications proponuje nową serię kamer wyposażonych w najnowsze technologie...
15.07.2022

Na poziomie petabajtów

Dostępny jest nowy model HD6500 firmy Synology, pierwszy z serii HD zaprojektowany z...
15.07.2022

Procesory na rynku...

irma AMD ogłosiła, że procesory Threadripper PRO 5000 WX w lipcu br. będą oferowane przez...

Bezpieczeństwo lokalnych i chmurowych baz danych

Data publikacji: 14-07-2022 Autor: Marcin Szeliga

Bazy danych przechowują najcenniejsze i jednocześnie będące najczęstszym celem ataków zasoby firm. Ich skuteczna ochrona przed atakami wymaga nadzorowania poszczególnych składników systemu bazodanowego. Zakres odpowiedzialności administratorów tych zbiorów za zabezpieczenie różnych warstw systemu zależy przede wszystkim od tego, czy baza danych działa lokalnie, czy w chmurze obliczeniowej.

 

Uruchamiając bazy danych lokalnie, we własnym centrum danych, zyskujemy pełną kontrolę nad serwerami, systemami operacyjnymi, urządzeniami sieciowymi, warstwą wirtualizacji, serwerami SQL, bazami danych, ich użytkownikami i samymi danymi. Z drugiej strony wtedy to my jesteśmy odpowiedzialni za zabezpieczenie wszystkich tych elementów.


Jeżeli nasze bazy danych działają jako usługi IaaS, na przykład w maszynach wirtualnych Azure, to usługodawca (w tym wypadku Microsoft) odpowiada za konfigurację i zabezpieczenie serwerów, ich systemów operacyjnych, urządzeń sieciowych i wirtualizatorów. Za bezpieczeństwo pozostałych elementów (w tym za poprawną konfigurację dostępu zdalnego do naszych zasobów) odpowiadamy wspólnie z usługodawcą.

 

Decydując się na uruchomienie bazy danych jako usługi PaaS, dodatkowo przenosimy na usługodawcę odpowiedzialność za bezpieczeństwo warstwy wirtualizacji i systemu operacyjnego. Zawsze jednak prawidłowe zabezpieczenie baz danych, dostępu do nich, mechanizmów uwierzytelniania i autoryzacji oraz samych danych jest wspólną odpowiedzialnością.


W niniejszym artykule skupimy się na przedstawieniu wskazówek dotyczących wdrożenia i oceny poziomu bezpieczeństwa relacyjnych baz danych na przykładzie serwera SQL 2019 uruchomionego lokalnie i na maszynie wirtualnej Azure oraz usługi Azure SQL Database. Pokażemy, jak skutecznie chronić się przed atakami wymierzonymi w poszczególne elementy systemu bazodanowego.


> Lokalny serwer SQL


Bezpieczeństwo systemów operacyjnych to skomplikowane zagadnienie, którego przedstawienie w ramach jednego artykułu byłoby niemożliwe. Dlatego ograniczę się do najważniejszych wskazówek związanych z bezpieczeństwem działających w tych systemach serwerów SQL.


Zdalny dostęp do systemu operacyjnego należy ograniczyć za pomocą reguł zapory sieciowej oraz lokalnych zasad zabezpieczeń. Wbudowana w systemy Windows zapora pozwala definiować reguły ruchu przychodzącego. Po upewnieniu się, że Windows Defender Firewall jest włączony, powinniśmy usunąć wszystkie reguły ruchu przychodzącego, które nie są niezbędne do prawidłowego działania zainstalowanych w tym systemie usług i aplikacji. Zasady zabezpieczeń lokalnych (ang. Local Computer Policy) pozwalają odebrać użytkownikom uprawnienia logowania do systemu. Możemy to zrobić, konfigurując regułę Deny log on locally.


Atakujący z reguły próbują zdobyć hasło konta, na którym działa serwer SQL. Żeby im to utrudnić, powinniśmy albo uruchomić serwer SQL na wbudowanym, automatycznie zarządzanym koncie użytkownika, albo upewnić się, że konto to jest odpowiednio zabezpieczone. Aby zmienić konto serwera SQL na inne, należy użyć konsoli MMC SQL Server Configuration Manager. Tylko w ten sposób będziemy mieli pewność, że konto to uzyska wymagane uprawnienia oraz że zaszyfrowany tym kontem główny klucz kryptograficzny serwera SQL nie zostanie utracony. Jeżeli serwer nie znajduje się w domenie AD, zalecane jest uruchomienie usługi SQL Server na lokalnym zarządzanym koncie (sMSA). W przypadku serwerów podłączonych do domeny rekomenduje się skorzystanie z domenowego zarządzanego konta (gMSA).


W celu ochrony kont użytkowników, w szczególności zaś użytkownika domeny, w kontekście którego działa serwer SQL, należy skonfigurować zasady konta (Account Policies). Powinniśmy co najmniej włączyć reguły: Password must meet complexity requirements, Minimum password length i Account lockout threshold. Ryzyko zdobycia hasła na podstawie jego kryptograficznego skrótu możemy zmniejszyć, ustawiając reguły Network security: LAN Manager authentication level – Send NTLMv2 response onlyrefuse LM & NTLM oraz Network security: Configure encryption types allowed for Kerberos – AES256_HMAC_SHA1. Szyfrując dyski technologią BitLocker, możemy ochronić się przed atakującymi, którzy uzyskali fizyczny dostęp do serwerów. Należy tylko upewnić się, że dysk systemowy jest zaszyfrowany. Dodatkowo rozsądnie jest rozważyć zaszyfrowanie dysków, na których znajdują się pliki baz danych.


Znane podatności zarówno systemu operacyjnego, jak i aplikacji (w tym serwera SQL) są często wykorzystywane przez atakujących do zdobycia kontroli. Do aktualizacji systemu Windows i pozostałych aplikacji Microsoft należy użyć usługi Windows Update. Ponadto system operacyjny i działające w nim aplikacje musimy chronić za pomocą antywirusa, np. wbudowanej funkcji Windows Defender. Trzeba jednak pamiętać, że konfigurując skaner antywirusowy, należy wykluczyć ze skanowania foldery, w których znajdują się pliki baz danych.


> SQL Server na maszynie wirtualnej Azure


Na maszynach wirtualnych, na których uruchamiamy serwery SQL, należy zainstalować rozszerzenie SQL IaaS Extension. W ten sposób nie tylko będziemy mogli monitorować działanie serwerów SQL z poziomu portalu Azure, ale również umożliwimy automatyczne aktualizowanie serwerów i tworzenie kopii zapasowych baz danych. Zainstalowanie tego rozszerzenia dodatkowo pozwoli nam chronić serwery za pomocą przedstawionej w dalszej części artykułu usługi Microsoft Defender for SQL.


Zdalny dostęp do maszyny wirtualnej należy ograniczyć za pomocą NSG (ang. network security groups). Pozwalają one definiować reguły ruchu wychodzącego i przychodzącego w podobny sposób jak Windows Defender Firewall, z tym że NSG mogą być stosowane na poziomie podsieci sieci wirtualnych, a nie tylko pojedynczych interfejsów sieciowych.


Włączenie funkcji DDoS Protection Standard pozwoli nie tylko wykrywać ataki odmowy dostępu wymierzone w umieszczone w danej sieci wirtualnej usługi, ale również automatycznie blokować takie ataki.

 

Jeżeli wymagany jest zdalny dostęp do systemu Windows, połączenie RDP (ang. Remote Desktop Protocol) należy zabezpieczyć za pomocą usługi Azure Bastion. Dodatkowo usługa Microsoft Defender for Cloud pozwala skonfigurować funkcję jednorazowego dostępu (JIT) do maszyn wirtualnych. Konto serwera SQL należy chronić tak samo jak w przypadku serwerów lokalnych.


Dyski maszyn wirtualnych są automatycznie szyfrowane technologią BitLocker, a zainstalowanie rozszerzenia Microsoft Antimalware Extension for Windows pozwoli na bieżąco monitorować i blokować próby uruchomienia niebezpiecznych programów.


W przypadku usługi SQL Database, która jest PaaS-em, wymaganą do jej działania infrastrukturą zarządza Microsoft, a my nawet nie mamy dostępu do systemu operacyjnego i serwera SQL. Nadal jednak powinniśmy ograniczyć zdalny dostęp do baz SQL, umieszczając je w wirtualnych sieciach prywatnych, odpowiednio konfigurując zaporę IP bazy danych i blokując do niej dostęp innym usługom Azure.

 

[...]

 

Pracownik naukowy Szkoły Bankowej w Poznaniu Wydział Zamiejscowy w Chorzowie, jest autorem książek poświęconych analizie danych i posiada tytuł Microsoft Most Valuable Professional.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"