یک لحظه غفلت، یک عمر پشیمانی! مثلاً فرض کنید بهخاطر یک سهلانگاری کوچک، هکرها موفق شوند پایگاه دادهتان را هک کنند و تمام اطلاعات موجود روی آن را از بین ببرند. چقدر تلخ! مخصوصاً وقتی یادتان میآید چقدر نسبتبه تأمین امنیت دیتابیس یا پایگاه داده بیاهمیت بودید!
اگر مقاله انواع حملات سایبری را بخوانید، نهتنها با راهکارهای مختلف این مجرمان بیشتر آشنا خواهید شد، بلکه خواهید فهمید که چه نابغههایی ممکن است در دنیای اینترنت نقش بد را بازی کنند! شما هم باید با تمام توانتان وارد شوید. باید هرچه بلدید برای نگهداری از داراییهایتان انجام دهید. همانطور در منزلتان را قفل میکنید تا دزد نتواند وارد شود، باید برای تأمین امنیت دیتابیس هم برنامههایی داشته باشید.
در ادامه مقاله، از 10 راهکاری که برای تأمین امنیت بسیار مفید هستند صحبت خواهیم کرد. همراهمان باشید.
1- تامین امنیت فیزیکی دیتابیس
معمولاً دیتابیسها در مراکز مخصوصی نگهداری میشوند. به این مراکز اصطلاحاً دیتاسنتر (Datacenter) میگویند. دیتاسنتر هم میتواند در محل خود مجموعه باشد و هم میتواند یک فضای جداگانه باشد که مخصوص چنین کاری طراحی شده است.
اگر میخواهید اطلاعات بیشتری در خصوص دیتاسنترها داشته باشید، میتوانید مقاله دیتاسنترهای ایران را بخوانید.
یکی از خطراتی که همواره دیتابیسها را تهدید میکند، امکان حمله فیزیکی به آنها است. فرض کنید چند نفر با چوب و چماق به سروری که از آن برای نگهداری دادههایتان استفاده میکنید حمله کنند. شما میمانید و اطلاعاتی که از دست رفتهاند؛ بنابراین، تامین امنیت فیزیکی دیتابیس یکی از اولیهترین اقداماتی است که باید برای حفظ امنیت آن انجام داد. جدا از مقوله تخریب دیتابیس با ضربه، مجرمان سایبری وقتی به دیتابیس بهصورت فیزیکی دسترسی داشته باشند، میتوانند کلی خسارت دیگر هم به بار آورند. مثلاً با آپلود کردن یک بدافزار، برای خود دسترسی ریموت ایجاد کنند تا بعداً سر فرصت زهرشان را بریزند.
اگر دیتاسنتر در محل شرکت خودتان است، اتاق جداگانهای را برای اینکار در نظر بگیرید. اتاقی که درش بهخوبی مهروموم شود. سرتاسر اتاق را با دوربینهای نظارتی رصد کنید. اگر برایتان ممکن است، از امکانات امنیتی دیگر مثل دزدگیر و نگهبان هم استفاده کنید. تمام رفتوآمدها به این اتاق را کاملاً زیر نظر داشته باشید. مهم است که هرکسی اجازه دسترسی به این اتاق را نداشته باشد و فقط برخی افراد که مجوز دارند بتوانند وارد دیتاسنترتان شوند.
اگر قرار است از دیتابیستان در دیتاسنترهای عمومی میزبانی شود، حتماً مطمئن شوید که دیتاسنتر مدنظر تمام پروتکلهای امنیتی را به بهترین شکل اجرا میکند.
2- از همه دادهها روی یک سرور نگهداری نکنید
شنیدهاید میگویند همه تخممرغها را در یک سبد نگذارید؟! اینجا هم همینطور است. نباید همه دادهها را روی یک سرور (بهعنوان دیتابیس) نگه دارید.
به این خاطر که اگر احیاناً مشکلی در دیتابیس به وجود آمد، همه دادهها در خطر نباشند. سعی کنید دادهها را از نظر میزان اهمیت دستهبندی کنید. آنهایی که اهمیت بیشتری دارند را در سروری ایمنتر ذخیره کنید تا از خطر دورتر باشند.
مثلاً اگر یک فروشگاه اینترنتی دارید، نگهداری دادههای حساس روی همان سروری که از سایت میزبانی میکند کار معقولی نیست؛ چراکه مورد هجوم گرفتن یک سایت اتفاق عجیبی نیست. مسلماً نمیخواهید آن دادههای حساس هم قربانی حملات به سایت شوند! بنابراین، آنها را به سروری دیگر منتقل میکنید که ایمنی بیشتری دارد.
اجازه دهید مورد دوم را در یک جمله خلاصه کنیم: از سروری بهعنوان دیتابیس استفاده کنید که هیچ استفاده دیگری از آن نمیکنید!
3- از HTTPS بهعنوان پراکسی استفاده کنید
توصیه میکنیم مقاله مقایسه HTTP و HTTPS را بخوانید تا با کاربرد این پروتکل آشنا شوید. ساده بگوییم، HTTPS پروتکلی است که حملات مرد میانی یا Man in the Middle Attack را خنثی میکند. شکلی از حملات که برای دستبرد زدن به اطلاعات بسیار رایج هستند.
در واقع HTTPS مشخص میکند که فرد خواهان دسترسی مجاز به اینکار هست یا نه! اگر پاسخ منفی بود، اجازه دسترسی هم داده نخواهد شد. البته ناگفته نماند، هنوز هم بسیاری از پراکسیها از پروتکل قدیمیتر HTTP استفاده میکنند؛ اما اگر با اطلاعات حساسی مثل کلمات عبور، اطلاعات پرداختی یا شخصی سروکار دارید، حتماً سراغ نسخه کاملتر، یعنی HTTPS بروید. به این ترتیب، دادههایی که در پراکسی جابهجا میشوند رمزنگاری میشوند و ایمنی بیش از پیش تامین میشود.
4- از پورتهای پیشفرض شبکه استفاده نکنید
TCP و UDP دو پروتکلی هستند که برای انتقال دادهها میان سرورها مورد استفاده قرار میگیرند. وقتی میخواهید از این پروتکلها استفاده کنید، آنها بهصورت خودکار از پورتهای پیشفرض شبکه استفاده میکنند. پورتهای پیشفرض طعمه اصلی در حملات بروت فورس هستند؛ اما اگر از پورتهای پیشفرض استفاده نکنید، هکر بدذات باید پورتهای مختلف را برای اجرایی کردن نقشه شومش امتحان کند. تعداد زیاد پورتها باعث میشود این عملیات بارها با خطا مواجه شود. شاید اگر کمی هم خوششانس باشید، کلاً از هک کردن دادههایتان منصرف شود؛ چراکه زمانی بیش از آنچه انتظار داشته را از او گرفته است.
ناگفته نماند که قبل از انتخاب پورت جدید، حتماً باید مطمئن شوید که از آن برای سرویسهای دیگر استفاده نمیشود تا تداخلی هم ایجاد نشود.
5- دیتابیس را بهصورت لحظهای رصد کنید
بالاتر گفتیم که محل قرارگیری دیتابیستان را دائماً با دوربین نظارت کنید. در کنار این اقدام امنیتی، ریز فعالیت دیتابیستان را برای پیدا کردن رخنههای احتمالی رصد کنید! اینکار کمک میکند قبل از وقوع مشکل، از آن پیشگیری کنید. ابزارهای زیادی برای ثبت تمام اتفاقات رخ داده در دیتابیس وجود دارند. میتوانید این ابزارها را طوری تنظیم کنید که اگر مورد خاصی رخ داد با آلارم دادن شما را آگاه کنند. با اعمال تنظیمات تکمیلی، دادههای حساستان از همیشه ایمنتر خواهند بود.
مسئله دیگری که باید در نظر داشته باشید، بررسی مداوم ایمنی دیتابیس و سطح دسترسیها است. دائماً تستهایی را برای بررسی سلامت سایبری دیتابیس اجرا کنید تا خیالتان از همهچیز راحت باشد. اصلاً فکر نکنید انجام چنین کارهایی زیادهروی است. به این فکر کنید که همین زیادهرویها خیالتان را از بابت هرگونه خطر احتمالی راحت میکنند.
6- از فایروالها استفاده کنید
میتوان گفت فایروالها نیروی خط مقدم هستند. خط مقدم مبارزه با دسترسیهای غیرمجاز! یکی از مهمترین اقدامات برای حفظ امنیت هر دیتابیسی، نصب فایروال برای حفاظت از آن در برابر انواع مختلف حملات است.
انواع مختلفی از فایروالها وجود دارد؛ اما بیشتر از 3 فایروال زیر برای ایمن کردن یک شبکه استفاده میشود:
- Packet Filter Firewall
- Stateful Packet Inspection (SPI)
- Proxy Server Firewall
یادتان باشد که فایروال باید طوری تنظیم شود تا تمام مشکلات احتمالی را پوشش دهد. همچنین آپدیت کردن و بهروز نگه داشتن فایروال هم از اهمیت بسیار زیادی برخوردار است؛ موضوعی که برای مقابله با جدیدترین متدهای هکرها بسیار لازم است.
7- از پروتکلهای رمزنگاری داده استفاده کنید
رمزنگاری دادهها هنگامی که قصد جابهجایی یا حتی نگهداری از اطلاعات مهم را دارید بسیار ضروری است. با استفاده از پروتکلهای رمزنگاری، احتمال رخنه اطلاعات را تا حد زیادی کاهش خواهید داد.
بگذارید اینطور بگوییم. وقتی دادههایتان با پروتکلهای حرفهای رمزنگاری شوند، حتی اگر مجرمان سایبری به آنها دست پیدا کنند، برای رمزگشایی آنها به مشکل میخورند و اطلاعاتتان ایمن میماند.
8- بهطور منظم از دیتابیستان بکآپ بگیرید
تابهحال بارها و در مقالات مختلف از اهمیت بالای بکآپ گرفتن صحبت کردهایم. نمیتوان راجعبه اصول امنیتی پایگاه داده یا دیتابیس صحبت کرد و درمورد این مسئله مهم صحبت نکرد!
اگر دائماً از اطلاعاتتان بکآپ بگیرید، حتی در صورتی که هکرها بتوانند آنها را بربایند یا از بین ببرند، باز هم به آنها دسترسی دارید و میتوانید ازشان استفاده کنید. بعد از گرفتن بکآپ، مطمئن شوید که اطلاعات بهصورت رمزنگاری شده در سروری مجزا نگهداری میشوند. به این ترتیب، اطلاعاتتان در جایی امن قرار دارند و در مواقع بحران میتوانید از آنها استفاده کنید.
9- نرمافزارها را آپدیت کنید
بسیاری از افرادی که قربانی حملات سایبری میشوند، نسبتبه آپدیت کردن و بهروز نگه داشتن نرمافزارهایشان بیتوجه بودهاند؛ چراکه با گذشت زمان و کشف آسیبپذیریها، اگر اقدام به آپدیت صورت نگیرد، سوژه بسیار جذابی برای هکرها ساخته خواهد شد. به همین خاطر است که آپدیت کردن نرمافزارهای نصبشده روی پایگاه داده کاری بسیار مهم است.
علاوهبر آپدیت بودن، معتبر بودن نرمافزار مورداستفاده هم اهمیت دارد؛ ممکن است از یک اپلیکیشن ناشناخته استفاده کنید که خودش باعث آسیب خواهد شد. بهطورکلی، 2 نکته را راجعبه نرمافزارهایی که از آنها استفاده میکنید رعایت کنید:
- از نسخههای معتبر استفاده کنید.
- همیشه نرمافزار را به آخرین نسخه ارتقاء دهید.
10- از فرایندهای احراز هویت سختگیرانه استفاده کنید
نتایج برخی تحقیقات، نشان میدهد 80 درصد از نشت اطلاعات بهخاطر لو رفتن کلمه عبور یا Password رخ داده است؛ یعنی کلمات عبور بهتنهایی ضامن امنیت نخواهند بود.
برای غلبه بر این مشکل و اضافه کردن یک لایه امنیتی مطمئن، باید سراغ فرایند احراز هویت چند مرحلهای بروید. همچنین برای موضوعی مثل دسترسی به پایگاه داده، میتوانید فقط برای برخی آیپیهای مشخص اجازه دسترسی صادر کنید. البته که هکرها راهحلهای دور زدن این لایههای امنیتی را هم بلدند، اما مسئله زمان زیادی است که از آنها گرفته میشود. معمولاً از خیر دیتابیس میگذرند و سراغ طعمه بعدی میروند.
نکات تکمیلی برای محکمکاری
اگر 10 موردی که بالاتر از آنها صحبت کردیم را رعایت کنید، تا حد بسیار زیادی دیتابیستان را در برابر حملات هکرها ایمن کردهاید؛ اما نه 100 درصد! باید بدانید که هرچقدر هم خوب عمل کنید و تمام پروتکلهای امنیتی را رعایت کنید، بازهم ممکن است قربانی حملات سایبری شوید. به همین خاطر است که گرفتن بکآپ یکی از ضروریترین بایدهای محافظت از پایگاههای داده است.
در کنار این موارد، توجه به برخی نکات هم امنیت را بیشازپیش تامین میکند. مثلاً اینکه اگر مطمئن هستید اکانتی دیگر فعال نخواهد بود، آن را قفل کنید و دسترسیاش را بگیرید! یا اینکه ماژولها و سرویسهای اضافی را که از آنها استفاده نمیکنید حذف کنید.
خلاصه که تأمین امنیت دارایی مهمی مثل دیتابیس یا پایگاه داده، کار بسیار مهمی است که اصلاً نباید در انجام آن اهمال و کمکاری صورت بگیرد. بنابراین، این مقاله را برای دوستانتان هم بفرستید تا در نگهداری از اطلاعات ارزشمندشان کمکی کرده باشید. درضمن، منبعمان برای تهیه این مطلب، مقالهای در سایت Tripwire بود.
با سپاس از وقتی که برای خواندن این مقاله گذاشتید.