風險三:賬号權限過大,數據庫權限濫用,訪問行為(wèi)不可控,無法判斷訪問行為(wèi)是否合法。
治理思路(lù):通(tōng)過部署帕拉迪數據庫安全運維寶DIM,實現運維數據庫權限治理、阻斷自(zì)然人數據庫賬号非法SQL行為(wèi)、實現高(gāo)權限行為(wèi)回收、确保運維數據不落地、自(zì)定義敏感操作、對訪問敏感業(yè)務數據庫表實現自(zì)動脫敏,從(cóng)而在不影響此賬号的運維工(gōng)作的同時,又(yòu)可防止此賬号權限過大,造成數據篡改、數據洩漏的風險。
四、安全風險應對建議
安全建設應根據用戶實際情況分析客戶面臨的安全威脅的利害性,應本著(zhe)先處置高(gāo)風險,後處置或暫時不處置低(dī)風險的原則,進行相(xiàng)應的數據庫安全方案建設。從(cóng)數據庫安全運維管理的角度來思考,運維人員(yuán)需要對所有的數據庫操作從(cóng)業(yè)務層面和運維層面進行防護,結合産品和技(jì)術(shù)輔佐數據庫安全運維管理,最終實現數據庫安全有效管理。
情況一(yī):業(yè)務系統為(wèi)内網系統,運維人員(yuán)多(duō),業(yè)務系統多(duō)
此時直接訪問數據庫的行為(wèi)帶來的風險較高(gāo)。綜合考慮,可采用帕拉迪如下(xià)治理方案進行相(xiàng)應的安全運維建設:
【據庫安全運維寶DIM+下(xià)一(yī)代WEB應用防火牆NGWAF】
情況二:業(yè)務系統為(wèi)在外網系統,運維人員(yuán)多(duō),業(yè)務系統多(duō)
此時應用訪問數據庫的風險和使用工(gōng)具訪問數據庫的行為(wèi)帶來的風險都較高(gāo)。綜合考慮,可采用帕拉迪如下(xià)治理方案進行相(xiàng)應的安全運維建設:
【據庫安全運維寶DIM+數據庫準入防火牆DAF+下(xià)一(yī)代WEB應用防火牆NGWAF】
情況三:基于當前數據庫整體安全的考慮,建議從(cóng)運維層到(dào)業(yè)務層進行全面的防禦操作
基于當前數據庫整體安全的考慮,建議從(cóng)運維層到(dào)業(yè)務層進行全面的防禦操作。此時可采用帕拉迪如下(xià)綜合治理方案進行相(xiàng)應的安全運維建設:
【據庫安全運維寶DIM+下(xià)一(yī)代WEB應用防火牆NGWAF+下(xià)一(yī)代數據庫應用防禦系統NGDAP】
結語:
當和客戶探讨數據庫安全風險應對的思路(lù)時,建議按照(zhào)以上(shàng)不同的場景提供相(xiàng)對應的解決方案,确保最大力度地将數據安全風險降到(dào)最低(dī)。