Bir veri tabanında güvenlik nasıl sağlanır ve saydamlık adına neler yapılması lazım?

Bu Konu, @oganozdogan Kullanıcı adıyla paylaşımlar yapan, bir Twitter hesabının, son paylaşımlarından derlenerek oluşturulmuştur…

• Bir veri tabanında güvenlik nasıl sağlanır ve saydamlık adına neler yapılması lazım? Flood başlıyor, dikkat edelim.
• Her şeyden önce veri tabanı güvenliğini iç ve dış olarak ikiye ayırmak lazım. İç güvenlik kullanıcılar ve veri tabanı ile ilgilidir.
• Dış güvenlik ise veri tabanına kurum dışından gelecek tüm tehditleri kapsamaktadır.
• İç güvenlikle başlayalım. Kullanıcıların şifreleri karmaşık şekilde verilmelidir. Büyük harf, işaret, vb. ayırıcı ve zorlayıcı olmalıdır.
• Kullanıcıların yetkileri sınırlandırılmalıdır. Her kullanıcı (veri tabanı yöneticisi dahil) istediği tabloya erişip veri çekmemelidir.
• Bu yetkileri sınırlayan ve tanıyan kişi ile veri tabanının idaresinden sorumlu olan kişiyi ayırabilirseniz çok daha verimli olacaktır.
• Aksi halde varsayılan olarak bir veri tabanı yöneticisi dilediği tabloya ve bilgiye erişebilir. Biz bunu istemeyiz.
• Veri tabanında bulunan ve uzun zamandır giriş yapmamış kullanıcılar düşürülmelidir, silinmelidir. Bunu bir güvenlik açığı olarak tanımlarız.
• Hele ki bu kullanıcılarda geniş yetkiler varsa ve şifreleri de kolay tahmin edilebilirse müthiş bir güvenlik açığı oluştururlar.
• Veri tabanındaki transaction’lar(veri tabanı işlemleri) kaydedilmelidir. Belki hepsi değil ama özellikle kritik tablolarda mutlaka!
• Kim, ne zaman hangi tabloya, hangi sorguyu gönderdi? Hangi tablodan, hangi verileri sildi? Bu işlemi ne zaman yaptı, neyi güncelledi?
• Bütün bu işlemlerin tarihçesi mutlaka tutulmalıdır. Daha sonra saydamlığı sağlamak için raporlanmalıdır.
• Bir veri tabanı yöneticisi, yine veri tabanının içine kaydedilen bu bilgileri silebilir. Buna çözüm olarak işlemleri, OS’e yazmak gerekir.
• OS, yani işletim sistemi, başka birisi tarafından yönetildiğinden, veri tabanı yöneticisi bile ters bir işlem yapsa, bu kaydedilir.
• İşletim sistemine kaydolunan bu bilgileri bir veri tabanı yöneticisi silemeyebilir. Böyle olduğundan tam iç güvenlikten söz edebiliriz.
• Ayrıca veri tabanını yedeklerken AES şifreleme ile yedeklemeli ve olası kayıplarda verilerin görüntülenmesi engellenmelidir.
• Duruma göre Kurum içi ağın da şifrelenmesi gerekebilir. Böylelikle veri aktarımı sırasında oluşacak kayıpların önüne geçilebilir.
• Peki, dış tehditler nelerdir? Bir veri tabanı internete açıksa, dış tehditlere de açık demektir.
• Yapılan bilimsel araştırmalar gösteriyor ki bir veri tabanında hırsızlık olduğunda bu, %80 oranında içeriden, %20 dışarıdan tehditle.
• Dolayısıyla öncelikle iç tehditleri bertaraf etmek ve şeffaflığı sağlamak gerek, daha sonra dış tehditlere odaklanabiliriz.
• Veri tabanına dışarıdan gelecek tehditler için mutlaka bir SQL güvenlik durumu olması gerekiyor. SQL’in yapısını anlık olarak inceleyen.
• SQL injection olarak bildiğimiz bir saldırı ile veri tabanına dışarıdan girerek, içerideki açıkları bulup, veri hırsızlığı yapılabiliyor.
• SQL injection’da yapısı bozuk SQL geldiğinden ve veri tabanı bunu varsayılan olarak anlamadığından araya yazılımlar konumluyoruz.
• Bütün bunları göz önünde bulundurarak çalışan bir kurum saydamdır ve sorgulanabilir durumdadır. Hem kendini, hem de çalışanlarını korur.
• Bulut bilişim sistemlerinin bugün tüm dünyada yaygınlaşmasının sebebi de işte budur, hesap verilebilirlik.
• Az önce saydığım bütün bu işlemler bir bulut bilişim üreticisi tarafından sağlandığından ve sözleşme altında olduğundan bir sorun çıkmıyor.

Kişisel tavsiyem ve tecrübelerim bu yöndedir. Umarım faydalı olmuştur.