风险三:账号权限过大,数据库权限滥用,访问行为不可控,无法判断访问行为是否合法。
治理思路:通过部署帕拉迪数据库安全运维宝DIM,实现运维数据库权限治理、阻断自然人数据库账号非法SQL行为、实现高权限行为回收、确保运维数据不落地、自定义敏感操作、对访问敏感业务数据库表实现自动脱敏,从而在不影响此账号的运维工作的同时,又可防止此账号权限过大,造成数据篡改、数据泄漏的风险。
四、安全风险应对建议
安全建设应根据用户实际情况分析客户面临的安全威胁的利害性,应本着先处置高风险,后处置或暂时不处置低风险的原则,进行相应的数据库安全方案建设。从数据库安全运维管理的角度来思考,运维人员需要对所有的数据库操作从业务层面和运维层面进行防护,结合产品和技术辅佐数据库安全运维管理,最终实现数据库安全有效管理。
情况一:业务系统为内网系统,运维人员多,业务系统多
此时直接访问数据库的行为带来的风险较高。综合考虑,可采用帕拉迪如下治理方案进行相应的安全运维建设:
【据库安全运维宝DIM+下一代WEB应用防火墙NGWAF】
情况二:业务系统为在外网系统,运维人员多,业务系统多
此时应用访问数据库的风险和使用工具访问数据库的行为带来的风险都较高。综合考虑,可采用帕拉迪如下治理方案进行相应的安全运维建设:
【据库安全运维宝DIM+数据库准入防火墙DAF+下一代WEB应用防火墙NGWAF】
情况三:基于当前数据库整体安全的考虑,建议从运维层到业务层进行全面的防御操作
基于当前数据库整体安全的考虑,建议从运维层到业务层进行全面的防御操作。此时可采用帕拉迪如下综合治理方案进行相应的安全运维建设:
【据库安全运维宝DIM+下一代WEB应用防火墙NGWAF+下一代数据库应用防御系统NGDAP】
结语:
当和客户探讨数据库安全风险应对的思路时,建议按照以上不同的场景提供相对应的解决方案,确保最大力度地将数据安全风险降到最低。