تأمین امنیت پایگاه داده با رعایت این 10 مورد!

یک لحظه غفلت، یک عمر پشیمانی! مثلاً فرض کنید به‌خاطر یک سهل‌انگاری کوچک، هکرها موفق شوند پایگاه داده‌تان را هک کنند و تمام اطلاعات موجود روی آن را از بین ببرند. چقدر تلخ! مخصوصاً وقتی یادتان می‌آید چقدر نسبت‌به تأمین امنیت دیتابیس یا پایگاه داده بی‌اهمیت بودید!

اگر مقاله انواع حملات سایبری را بخوانید، نه‌تنها با راهکارهای مختلف این مجرمان بیشتر آشنا خواهید شد، بلکه خواهید فهمید که چه نابغه‌هایی ممکن است در دنیای اینترنت نقش بد را بازی کنند! شما هم باید با تمام توان‌تان وارد شوید. باید هرچه بلدید برای نگهداری از دارایی‌های‌تان انجام دهید. همان‌طور در منزل‌تان را قفل می‌کنید تا دزد نتواند وارد شود، باید برای تأمین امنیت دیتابیس هم برنامه‌هایی داشته باشید.

در ادامه مقاله، از 10 راهکاری که برای تأمین امنیت بسیار مفید هستند صحبت خواهیم کرد. همراه‌مان باشید.

1- تامین امنیت فیزیکی دیتابیس

معمولاً دیتابیس‌ها در مراکز مخصوصی نگهداری می‌شوند. به این مراکز اصطلاحاً دیتاسنتر (Datacenter) می‌گویند. دیتاسنتر هم می‌تواند در محل خود مجموعه باشد و هم می‌تواند یک فضای جداگانه باشد که مخصوص چنین کاری طراحی شده است.

اگر می‌خواهید اطلاعات بیشتری در خصوص دیتاسنترها داشته باشید، می‌توانید مقاله دیتاسنترهای ایران را بخوانید.

یکی از خطراتی که همواره دیتابیس‌ها را تهدید می‌کند، امکان حمله فیزیکی به آن‌ها است. فرض کنید چند نفر با چوب و چماق به سروری که از آن برای نگهداری داده‌های‌تان استفاده می‌کنید حمله کنند. شما می‌مانید و اطلاعاتی که از دست رفته‌اند؛ بنابراین، تامین امنیت فیزیکی دیتابیس یکی از اولیه‌ترین اقداماتی است که باید برای حفظ امنیت آن انجام داد. جدا از مقوله تخریب دیتابیس با ضربه، مجرمان سایبری وقتی به دیتابیس به‌صورت فیزیکی دسترسی داشته باشند، می‌توانند کلی خسارت دیگر هم به بار آورند. مثلاً با آپلود کردن یک بدافزار، برای خود دسترسی ریموت ایجاد کنند تا بعداً سر فرصت زهرشان را بریزند.

اگر دیتاسنتر در محل شرکت خودتان است، اتاق جداگانه‌ای را برای اینکار در نظر بگیرید. اتاقی که درش به‌خوبی مهروموم شود. سرتاسر اتاق را با دوربین‌های نظارتی رصد کنید. اگر برای‌تان ممکن است، از امکانات امنیتی دیگر مثل دزدگیر و نگهبان هم استفاده کنید. تمام رفت‌وآمدها به این اتاق را کاملاً زیر نظر داشته باشید. مهم است که هرکسی اجازه دسترسی به این اتاق را نداشته باشد و فقط برخی افراد که مجوز دارند بتوانند وارد دیتاسنترتان شوند.

اگر قرار است از دیتابیس‌تان در دیتاسنترهای عمومی میزبانی شود، حتماً مطمئن شوید که دیتاسنتر مدنظر تمام پروتکل‌های امنیتی را به بهترین شکل اجرا می‌کند.

2- از همه داده‌ها روی یک سرور نگهداری نکنید

شنیده‌اید می‌گویند همه تخم‌مرغ‌ها را در یک سبد نگذارید؟! اینجا هم همین‌طور است. نباید همه داده‌ها را روی یک سرور (به‌عنوان دیتابیس) نگه دارید.

به این خاطر که اگر احیاناً مشکلی در دیتابیس به وجود آمد، همه داده‌ها در خطر نباشند. سعی کنید داده‌ها را از نظر میزان اهمیت دسته‌بندی کنید. آن‌هایی که اهمیت بیشتری دارند را در سروری ایمن‌تر ذخیره کنید تا از خطر دورتر باشند.

مثلاً اگر یک فروشگاه اینترنتی دارید، نگهداری داده‌های حساس روی همان سروری که از سایت میزبانی می‌کند کار معقولی نیست؛ چراکه مورد هجوم گرفتن یک سایت اتفاق عجیبی نیست. مسلماً نمی‌خواهید آن داده‌های حساس هم قربانی حملات به سایت شوند! بنابراین، آن‌ها را به سروری دیگر منتقل می‌کنید که ایمنی بیشتری دارد.

اجازه دهید مورد دوم را در یک جمله خلاصه کنیم:  از سروری به‌عنوان دیتابیس استفاده کنید که هیچ استفاده دیگری از آن نمی‌کنید! 

3- از HTTPS به‌عنوان پراکسی استفاده کنید

توصیه می‌کنیم مقاله مقایسه HTTP و HTTPS را بخوانید تا با کاربرد این پروتکل آشنا شوید. ساده بگوییم، HTTPS پروتکلی است که حملات مرد میانی یا Man in the Middle Attack را خنثی می‌کند. شکلی از حملات که برای دستبرد زدن به اطلاعات بسیار رایج هستند.

در واقع HTTPS مشخص می‌کند که فرد خواهان دسترسی مجاز به اینکار هست یا نه! اگر پاسخ منفی بود، اجازه دسترسی هم داده نخواهد شد. البته ناگفته نماند، هنوز هم بسیاری از پراکسی‌ها از پروتکل قدیمی‌تر HTTP استفاده می‌کنند؛ اما اگر با اطلاعات حساسی مثل کلمات عبور، اطلاعات پرداختی یا شخصی سروکار دارید، حتماً سراغ نسخه کامل‌تر، یعنی HTTPS بروید. به این ترتیب، داده‌هایی که در پراکسی جابه‌جا می‌شوند رمزنگاری می‌شوند و ایمنی بیش‌ از پیش تامین می‌شود.

4- از پورت‌های پیش‌فرض شبکه استفاده نکنید

TCP و UDP دو پروتکلی هستند که برای انتقال داده‌ها میان سرورها مورد استفاده قرار می‌گیرند. وقتی می‌خواهید از این پروتکل‌ها استفاده کنید، آن‌ها به‌صورت خودکار از پورت‌های پیش‌فرض شبکه استفاده می‌کنند. پورت‌های پیش‌فرض طعمه اصلی در حملات بروت فورس هستند؛ اما اگر از پورت‌های پیش‌فرض استفاده نکنید، هکر بدذات باید پورت‌های مختلف را برای اجرایی کردن نقشه شومش امتحان کند. تعداد زیاد پورت‌ها باعث می‌شود این عملیات بارها با خطا مواجه شود. شاید اگر کمی هم خوش‌شانس باشید، کلاً از هک کردن داده‌های‌تان منصرف شود؛ چراکه زمانی بیش از آنچه انتظار داشته را از او گرفته است.

ناگفته نماند که قبل از انتخاب پورت جدید، حتماً باید مطمئن شوید که از آن برای سرویس‌های دیگر استفاده نمی‌شود تا تداخلی هم ایجاد نشود.

5- دیتابیس را به‌صورت لحظه‌ای رصد کنید

بالاتر گفتیم که محل قرارگیری دیتابیس‌تان را دائماً با دوربین نظارت کنید. در کنار این اقدام امنیتی، ریز فعالیت دیتابیس‌تان را برای پیدا کردن رخنه‌های احتمالی رصد کنید! اینکار کمک می‌کند قبل از وقوع مشکل، از آن پیشگیری کنید. ابزارهای زیادی برای ثبت تمام اتفاقات رخ داده در دیتابیس وجود دارند. می‌توانید این ابزارها را طوری تنظیم کنید که اگر مورد خاصی رخ داد با آلارم دادن شما را آگاه کنند. با اعمال تنظیمات تکمیلی، داده‌های حساس‌تان از همیشه ایمن‌تر خواهند بود.

مسئله دیگری که باید در نظر داشته باشید، بررسی مداوم ایمنی دیتابیس و سطح دسترسی‌ها است. دائماً تست‌هایی را برای بررسی سلامت سایبری دیتابیس اجرا کنید تا خیال‌تان از همه‌چیز راحت باشد. اصلاً فکر نکنید انجام چنین کارهایی زیاده‌روی است. به این فکر کنید که همین زیاده‌روی‌ها خیال‌تان را از بابت هرگونه خطر احتمالی راحت می‌کنند.

6- از فایروال‌ها استفاده کنید

می‌توان گفت فایروال‌ها نیروی خط مقدم هستند. خط مقدم مبارزه با دسترسی‌های غیرمجاز! یکی از مهم‌ترین اقدامات برای حفظ امنیت هر دیتابیسی، نصب فایروال برای حفاظت از آن در برابر انواع مختلف حملات است.

انواع مختلفی از فایروال‌ها وجود دارد؛ اما بیشتر از 3 فایروال زیر برای ایمن کردن یک شبکه استفاده می‌شود:

• Packet Filter Firewall
• Stateful Packet Inspection (SPI)
• Proxy Server Firewall

یادتان باشد که فایروال باید طوری تنظیم شود تا تمام مشکلات احتمالی را پوشش دهد. همچنین آپدیت کردن و به‌روز نگه داشتن فایروال هم از اهمیت بسیار زیادی برخوردار است؛ موضوعی که برای مقابله با جدیدترین متدهای هکرها بسیار لازم است.

7- از پروتکل‌های رمزنگاری داده استفاده کنید

رمزنگاری داده‌ها هنگامی که قصد جابه‌جایی یا حتی نگهداری از اطلاعات مهم را دارید بسیار ضروری است. با استفاده از پروتکل‌های رمزنگاری، احتمال رخنه اطلاعات را تا حد زیادی کاهش خواهید داد.

بگذارید این‌طور بگوییم. وقتی داده‌های‌تان با پروتکل‌های حرفه‌ای رمزنگاری شوند، حتی اگر مجرمان سایبری به آن‌ها دست پیدا کنند، برای رمزگشایی آن‌ها به مشکل می‌خورند و اطلاعات‌تان ایمن می‌ماند.

8- به‌طور منظم از دیتابیس‌تان بک‌آپ بگیرید

تا‌به‌حال بارها و در مقالات مختلف از اهمیت بالای بک‌‌آپ گرفتن صحبت کرده‌ایم. نمی‌توان راجع‌به اصول امنیتی پایگاه داده یا دیتابیس صحبت کرد و درمورد این مسئله مهم صحبت نکرد!

اگر دائماً از اطلاعات‌تان بک‌آپ بگیرید، حتی در صورتی که هکرها بتوانند آن‌ها را بربایند یا از بین ببرند، باز هم به آن‌ها دسترسی دارید و می‌توانید ازشان استفاده کنید. بعد از گرفتن بک‌آپ، مطمئن شوید که اطلاعات به‌صورت رمزنگاری شده در سروری مجزا نگهداری می‌شوند. به این ترتیب، اطلاعات‌تان در جایی امن قرار دارند و در مواقع بحران می‌توانید از آن‌ها استفاده کنید.

9- نرم‌افزارها را آپدیت کنید

بسیاری از افرادی که قربانی حملات سایبری می‌شوند، نسبت‌به آپدیت کردن و به‌روز نگه داشتن نرم‌افزارهای‌شان بی‌توجه بوده‌اند؛ چراکه با گذشت زمان و کشف آسیب‌پذیری‌ها، اگر اقدام به آپدیت صورت نگیرد، سوژه بسیار جذابی برای هکرها ساخته خواهد شد. به همین خاطر است که آپدیت کردن نرم‌افزارهای نصب‌شده روی پایگاه داده کاری بسیار مهم است.

علاوه‌بر آپدیت بودن، معتبر بودن نرم‌افزار مورداستفاده هم اهمیت دارد؛ ممکن است از یک اپلیکیشن ناشناخته استفاده کنید که خودش باعث آسیب خواهد شد. به‌طورکلی، 2 نکته را راجع‌به نرم‌افزارهایی که از آن‌ها استفاده می‌کنید رعایت کنید:

1. از نسخه‌های معتبر استفاده کنید.
2. همیشه نرم‌افزار را به آخرین نسخه ارتقاء دهید.

10- از فرایندهای احراز هویت سخت‌گیرانه استفاده کنید

نتایج برخی تحقیقات، نشان می‌دهد  80 درصد از نشت اطلاعات به‌خاطر لو رفتن کلمه عبور یا Password رخ داده است؛ یعنی کلمات عبور به‌تنهایی ضامن امنیت نخواهند بود. 

برای غلبه بر این مشکل و اضافه کردن یک لایه امنیتی مطمئن، باید سراغ فرایند احراز هویت چند مرحله‌ای بروید. همچنین برای موضوعی مثل دسترسی به پایگاه داده، می‌توانید فقط برای برخی آیپی‌های مشخص اجازه دسترسی صادر کنید. البته که هکرها راه‌حل‌های دور زدن این لایه‌های امنیتی را هم بلدند، اما مسئله زمان زیادی است که از آن‌ها گرفته می‌شود. معمولاً از خیر دیتابیس می‌گذرند و سراغ طعمه بعدی می‌روند.

نکات تکمیلی برای محکم‌کاری

اگر 10 موردی که بالاتر از آن‌ها صحبت کردیم را رعایت کنید، تا حد بسیار زیادی دیتابیس‌تان را در برابر حملات هکرها ایمن کرده‌اید؛ اما نه 100 درصد! باید بدانید که هرچقدر هم خوب عمل کنید و تمام پروتکل‌های امنیتی را رعایت کنید، بازهم ممکن است قربانی حملات سایبری شوید. به همین خاطر است که گرفتن بک‌آپ یکی از ضروری‌ترین بایدهای محافظت از پایگاه‌های داده است.

در کنار این موارد، توجه به برخی نکات هم امنیت را بیش‌از‌پیش تامین می‌کند. مثلاً اینکه اگر مطمئن هستید اکانتی دیگر فعال نخواهد بود، آن را قفل کنید و دسترسی‌اش را بگیرید! یا اینکه ماژول‌ها و سرویس‌های اضافی را که از آن‌ها استفاده نمی‌کنید حذف کنید.

خلاصه که تأمین امنیت دارایی مهمی مثل دیتابیس یا پایگاه داده، کار بسیار مهمی است که اصلاً نباید در انجام آن اهمال و کم‌کاری صورت بگیرد. بنابراین، این مقاله را برای دوستان‌تان هم بفرستید تا در نگهداری از اطلاعات ارزشمندشان کمکی کرده باشید. درضمن، منبع‌مان برای تهیه این مطلب، مقاله‌ای در سایت Tripwire بود.

با سپاس از وقتی که برای خواندن این مقاله گذاشتید.