Środowisko Multi-Cloud jest powszechną topologią i jest nawet zalecane dla planu odzyskiwania po awarii (DRP), ale bezpieczeństwo może być tutaj zagrożeniem, ponieważ musisz dodać do typowych kontroli bezpieczeństwa dodatkowy punkt lub więcej niż jeden, aby zapewnić dane w środowiskach Multi-Cloud.
W tym blogu omówimy niektóre z najczęstszych kontroli bezpieczeństwa w środowisku PostgreSQL działającym w chmurze oraz o tym, co należy wziąć pod uwagę podczas korzystania ze środowiska Multi-Cloud.
Kontrole bezpieczeństwa PostgreSQL w chmurze
Zobaczmy niektóre z najczęstszych testów bezpieczeństwa dla bazy danych PostgreSQL w środowisku chmury.
Kontrolowanie dostępu do bazy danych
Musisz ograniczyć zdalny dostęp tylko do niezbędnych osób i z możliwie najmniejszej ilości źródeł. Korzystanie z VPN w celu uzyskania dostępu jest tutaj zdecydowanie przydatne, ale istnieją również inne opcje, takie jak tunelowanie SSH lub reguły zapory.
Zarządzanie kontami użytkowników bazy danych
Istnieje wiele sposobów na poprawę bezpieczeństwa kont użytkowników.
-
Usuń nieaktywnych użytkowników.
-
Przyznaj tylko niezbędne uprawnienia odpowiednim użytkownikom.
-
Ogranicz źródło dla każdego połączenia użytkownika.
-
Zdefiniuj bezpieczną politykę haseł.
Bezpieczne instalacje i konfiguracje
Istnieje kilka zmian, które należy wprowadzić, aby zabezpieczyć instalację bazy danych.
-
Zainstaluj tylko niezbędne pakiety i usługi na serwerze.
-
Zmień domyślne hasło administratora i ogranicz użycie tylko do lokalnego hosta.
-
Zmień domyślny port i określ interfejs nasłuchiwania.
-
Włącz wtyczkę audytu.
-
Skonfiguruj certyfikaty SSL do szyfrowania przesyłanych danych.
-
Szyfruj dane w spoczynku.
-
Skonfiguruj lokalną zaporę sieciową, aby umożliwić dostęp do portu bazy danych tylko z sieci lokalnej lub z odpowiedniego źródła.
Jeśli korzystasz z zarządzanej bazy danych, niektóre z tych punktów nie będą możliwe.
Zaimplementuj WAF (Zaporę sieciową aplikacji internetowych)
Wstrzyknięcia SQL lub ataki DoS (odmowa usługi) to najczęstsze ataki na bazę danych, a najbezpieczniejszym sposobem ich uniknięcia jest użycie WAF do przechwytywania tego rodzaju zapytań SQL lub SQL Serwer proxy do analizy ruchu.
Dbaj o aktualność systemu operacyjnego i bazy danych
Istnieje kilka poprawek i ulepszeń, które producent bazy danych lub system operacyjny wydaje w celu naprawienia lub uniknięcia luk w zabezpieczeniach. Ważne jest, aby system był jak najbardziej aktualny, stosując poprawki i aktualizacje zabezpieczeń.
Często sprawdzaj CVE (typowe podatności i ekspozycje)
Każdego dnia wykrywane są nowe luki w zabezpieczeniach serwera bazy danych. Powinieneś to często sprawdzać, aby wiedzieć, czy musisz zastosować łatkę lub zmienić coś w swojej konfiguracji. Jednym ze sposobów, aby się o tym przekonać, jest przejrzenie witryny CVE, na której można znaleźć listę luk w zabezpieczeniach wraz z opisem, a także poszukać wersji i dostawcy bazy danych, aby potwierdzić, czy jest coś krytycznego do naprawienia jak najszybciej.
Kontrole bezpieczeństwa PostgreSQL w środowisku wielu chmur
Oprócz wspomnianych powyżej kontroli, najważniejszą rzeczą do zabezpieczenia w środowisku Multi-Cloud jest komunikacja między dostawcami chmury.
Ze względów bezpieczeństwa komunikacja między dostawcami chmury musi być szyfrowana i należy ograniczyć ruch tylko ze znanych źródeł, aby zmniejszyć ryzyko nieautoryzowanego dostępu do sieci.
Korzystanie z reguł VPN, SSH lub zapory, a nawet ich kombinacji, jest koniecznością. Musisz ograniczyć ruch tylko ze znanych źródeł, więc tylko z Cloud Provider 1 do Cloud Provider 2 i na odwrót.
Wnioski
Twoje środowisko Multi-Cloud będzie bezpieczniejsze, jeśli sprawdzisz powyższe punkty, ale niestety zawsze istnieje ryzyko włamania, ponieważ nie ma w 100% zabezpieczonego systemu.
Kluczem jest tutaj zminimalizowanie tego ryzyka, a do tego należy okresowo uruchamiać narzędzia do skanowania bezpieczeństwa, takie jak Nessus, szukając luk w zabezpieczeniach i mieć dobry system monitorowania, taki jak ClusterControl, który nie tylko pozwala monitorować system, ale także automatycznie przywracaj swoje systemy w przypadku awarii, a nawet szybko skonfiguruj replikację w środowisku Multi-Cloud i zarządzaj konfiguracją w łatwy i przyjazny sposób.