風險三:賬号權限過大,數據庫權限濫用,訪問行爲不可(kě)控,無法判斷訪問行爲是否合法。
治理思路(lù):通過部署帕拉迪數據庫安全運維寶DIM,實現運維數據庫權限治理、阻斷自然人數據庫賬号非法SQL行爲、實現高權限行爲回收、确保運維數據不落地、自定義敏感操作、對訪問敏感業務數據庫表實現自動脫敏,從而在不影(yǐng)響此賬号的運維工作的同時,又可(kě)防止此賬号權限過大,造成數據篡改、數據洩漏的風險。
四、安全風險應對建議(yì)
安全建設應根據用戶實際情況分析客戶面臨的安全威脅的利害性,應本着先處置高風險,後處置或暫時不處置低風險的原則,進行相(xiàng)應的數據庫安全方案建設。從數據庫安全運維管理的角度來思考,運維人員需要對所有的數據庫操作從業務層面和運維層面進行防護,結合産品和技術輔佐數據庫安全運維管理,最終實現數據庫安全有效管理。
情況一:業務系統爲内網系統,運維人員多,業務系統多
此時直接訪問數據庫的行爲帶來的風險較高。綜合考慮,可(kě)采用帕拉迪如(rú)下治理方案進行相(xiàng)應的安全運維建設:
【據庫安全運維寶DIM+下一代WEB應用防火(huǒ)牆NGWAF】
情況二:業務系統爲在外網系統,運維人員多,業務系統多
此時應用訪問數據庫的風險和使用工具訪問數據庫的行爲帶來的風險都較高。綜合考慮,可(kě)采用帕拉迪如(rú)下治理方案進行相(xiàng)應的安全運維建設:
【據庫安全運維寶DIM+數據庫準入防火(huǒ)牆DAF+下一代WEB應用防火(huǒ)牆NGWAF】
情況三:基于當前數據庫整體安全的考慮,建議(yì)從運維層到業務層進行全面的防禦操作
基于當前數據庫整體安全的考慮,建議(yì)從運維層到業務層進行全面的防禦操作。此時可(kě)采用帕拉迪如(rú)下綜合治理方案進行相(xiàng)應的安全運維建設:
【據庫安全運維寶DIM+下一代WEB應用防火(huǒ)牆NGWAF+下一代數據庫應用防禦系統NGDAP】
結語:
當和客戶探討(tǎo)數據庫安全風險應對的思路(lù)時,建議(yì)按照(zhào)以上不同的場景提供相(xiàng)對應的解決方案,确保最大力度地将數據安全風險降到最低。