Şeytan Ayrıntıda Gizlidir!

Bir veri tabanında güvenlik nasıl sağlanır ve saydamlık adına neler yapılması lazım?




Bu Konu,  Kullanıcı adıyla paylaşımlar yapan, bir Twitter hesabının, son paylaşımlarından derlenerek oluşturulmuştur…

  • Bir veri tabanında güvenlik nasıl sağlanır ve saydamlık adına neler yapılması lazım? Flood başlıyor, dikkat edelim.
  • Her şeyden önce veri tabanı güvenliğini iç ve dış olarak ikiye ayırmak lazım. İç güvenlik kullanıcılar ve veri tabanı ile ilgilidir.
  • Dış güvenlik ise veri tabanına kurum dışından gelecek tüm tehditleri kapsamaktadır.
  • İç güvenlikle başlayalım. Kullanıcıların şifreleri karmaşık şekilde verilmelidir. Büyük harf, işaret, vb. ayırıcı ve zorlayıcı olmalıdır.
  • Kullanıcıların yetkileri sınırlandırılmalıdır. Her kullanıcı (veri tabanı yöneticisi dahil) istediği tabloya erişip veri çekmemelidir.
  • Bu yetkileri sınırlayan ve tanıyan kişi ile veri tabanının idaresinden sorumlu olan kişiyi ayırabilirseniz çok daha verimli olacaktır.
  • Aksi halde varsayılan olarak bir veri tabanı yöneticisi dilediği tabloya ve bilgiye erişebilir. Biz bunu istemeyiz.
  • Veri tabanında bulunan ve uzun zamandır giriş yapmamış kullanıcılar düşürülmelidir, silinmelidir. Bunu bir güvenlik açığı olarak tanımlarız.
  • Hele ki bu kullanıcılarda geniş yetkiler varsa ve şifreleri de kolay tahmin edilebilirse müthiş bir güvenlik açığı oluştururlar.
  • Veri tabanındaki transaction’lar(veri tabanı işlemleri) kaydedilmelidir. Belki hepsi değil ama özellikle kritik tablolarda mutlaka!
  • Kim, ne zaman hangi tabloya, hangi sorguyu gönderdi? Hangi tablodan, hangi verileri sildi? Bu işlemi ne zaman yaptı, neyi güncelledi?
  • Bütün bu işlemlerin tarihçesi mutlaka tutulmalıdır. Daha sonra saydamlığı sağlamak için raporlanmalıdır.
  • Bir veri tabanı yöneticisi, yine veri tabanının içine kaydedilen bu bilgileri silebilir. Buna çözüm olarak işlemleri, OS’e yazmak gerekir.
  • OS, yani işletim sistemi, başka birisi tarafından yönetildiğinden, veri tabanı yöneticisi bile ters bir işlem yapsa, bu kaydedilir.
  • İşletim sistemine kaydolunan bu bilgileri bir veri tabanı yöneticisi silemeyebilir. Böyle olduğundan tam iç güvenlikten söz edebiliriz.
  • Ayrıca veri tabanını yedeklerken AES şifreleme ile yedeklemeli ve olası kayıplarda verilerin görüntülenmesi engellenmelidir.
  • Duruma göre Kurum içi ağın da şifrelenmesi gerekebilir. Böylelikle veri aktarımı sırasında oluşacak kayıpların önüne geçilebilir.
  • Peki, dış tehditler nelerdir? Bir veri tabanı internete açıksa, dış tehditlere de açık demektir.
  • Yapılan bilimsel araştırmalar gösteriyor ki bir veri tabanında hırsızlık olduğunda bu, %80 oranında içeriden, %20 dışarıdan tehditle.
  • Dolayısıyla öncelikle iç tehditleri bertaraf etmek ve şeffaflığı sağlamak gerek, daha sonra dış tehditlere odaklanabiliriz.
  • Veri tabanına dışarıdan gelecek tehditler için mutlaka bir SQL güvenlik durumu olması gerekiyor. SQL’in yapısını anlık olarak inceleyen.
  • SQL injection olarak bildiğimiz bir saldırı ile veri tabanına dışarıdan girerek, içerideki açıkları bulup, veri hırsızlığı yapılabiliyor.
  • SQL injection’da yapısı bozuk SQL geldiğinden ve veri tabanı bunu varsayılan olarak anlamadığından araya yazılımlar konumluyoruz.
  • Bütün bunları göz önünde bulundurarak çalışan bir kurum saydamdır ve sorgulanabilir durumdadır. Hem kendini, hem de çalışanlarını korur.
  • Bulut bilişim sistemlerinin bugün tüm dünyada yaygınlaşmasının sebebi de işte budur, hesap verilebilirlik.
  • Az önce saydığım bütün bu işlemler bir bulut bilişim üreticisi tarafından sağlandığından ve sözleşme altında olduğundan bir sorun çıkmıyor.

Kişisel tavsiyem ve tecrübelerim bu yöndedir. Umarım faydalı olmuştur.

Güncelleme: 18 Nisan 2017 — 23:39

Konu Hakkındaki Düşünceleriniz?

Mutlaka Oku! #Bilgiseli & #Flood © 2017