風險三:賬号權限過大(dà),數據庫權限濫用,訪問行爲不可控,無法判斷訪問行爲是否合法。
治理思路:通過部署帕拉迪數據庫安全運維寶DIM,實現運維數據庫權限治理、阻斷自然人數據庫賬号非法SQL行爲、實現高權限行爲回收、确保運維數據不落地、自定義敏感操作、對訪問敏感業務數據庫表實現自動脫敏,從而在不影響此賬号的運維工(gōng)作的同時,又(yòu)可防止此賬号權限過大(dà),造成數據篡改、數據洩漏的風險。
四、安全風險應對建議
安全建設應根據用戶實際情況分(fēn)析客戶面臨的安全威脅的利害性,應本着先處置高風險,後處置或暫時不處置低風險的原則,進行相應的數據庫安全方案建設。從數據庫安全運維管理的角度來思考,運維人員(yuán)需要對所有的數據庫操作從業務層面和運維層面進行防護,結合産品和技術輔佐數據庫安全運維管理,最終實現數據庫安全有效管理。
情況一(yī):業務系統爲内網系統,運維人員(yuán)多,業務系統多
此時直接訪問數據庫的行爲帶來的風險較高。綜合考慮,可采用帕拉迪如下(xià)治理方案進行相應的安全運維建設:
【據庫安全運維寶DIM+下(xià)一(yī)代WEB應用防火(huǒ)牆NGWAF】
情況二:業務系統爲在外(wài)網系統,運維人員(yuán)多,業務系統多
此時應用訪問數據庫的風險和使用工(gōng)具訪問數據庫的行爲帶來的風險都較高。綜合考慮,可采用帕拉迪如下(xià)治理方案進行相應的安全運維建設:
【據庫安全運維寶DIM+數據庫準入防火(huǒ)牆DAF+下(xià)一(yī)代WEB應用防火(huǒ)牆NGWAF】
情況三:基于當前數據庫整體(tǐ)安全的考慮,建議從運維層到業務層進行全面的防禦操作
基于當前數據庫整體(tǐ)安全的考慮,建議從運維層到業務層進行全面的防禦操作。此時可采用帕拉迪如下(xià)綜合治理方案進行相應的安全運維建設:
【據庫安全運維寶DIM+下(xià)一(yī)代WEB應用防火(huǒ)牆NGWAF+下(xià)一(yī)代數據庫應用防禦系統NGDAP】
結語:
當和客戶探讨數據庫安全風險應對的思路時,建議按照以上不同的場景提供相對應的解決方案,确保最大(dà)力度地将數據安全風險降到最低。