當數(shù)據(jù)流在急速涌入數(shù)據(jù)中心和云存儲系統(tǒng)時，IT經(jīng)理和存儲管理員必須為此做好準備，尤其是當遇到數(shù)據(jù)流量洪峰的時候。借助為數(shù)據(jù)流量提供額外數(shù)據(jù)的設備數(shù)量優(yōu)勢，數(shù)據(jù)分析、業(yè)務指標以及儀控測量已經(jīng)完全改變了現(xiàn)代企業(yè)處理業(yè)務的方式。

如今，每年企業(yè)需要處理的數(shù)據(jù)一般在PB量級，這也使得企業(yè)在趨于勞動密集型的同時，對數(shù)據(jù)的保護也更加困難復雜，即使是處于結構化環(huán)境中的企業(yè)數(shù)據(jù)庫也如此。

實際上，最近Forrester Research對企業(yè)的IT經(jīng)理人展開的一項調(diào)研表明，71%的企業(yè)仍在艱難的保護他們數(shù)據(jù)庫中珍貴的公司數(shù)據(jù)。如洪水般泛濫的數(shù)據(jù)安全威脅已經(jīng)“淹沒”了那些準備不周的企業(yè)，恰當?shù)臄?shù)據(jù)管理和保護已是剛需。

下面是開源MariaDB社區(qū) Forrester Researchand 關于數(shù)據(jù)庫保護的8項最佳實踐：

1. 不要讓你的數(shù)據(jù)成為攻擊的靶子

[[172093]]

通過有效的加密和令牌化是數(shù)據(jù)靜態(tài)保護的第一步?？赡艿那闆r下，本地的加密算法經(jīng)常要強于第三方解決方案。重要的最佳實踐包括日志、臨時表的保護，以及密鑰管理責任的輪換和分離。

2. 加密動態(tài)數(shù)據(jù)

[[172094]]

同樣，出入數(shù)據(jù)庫的傳輸數(shù)據(jù)也需要正確的保護，要確保正在使用最新的SSL/TLS傳輸加密協(xié)議。不要想當然地以為你的數(shù)據(jù)庫一定是加密的，事實并非如此。

3. 給數(shù)據(jù)治理創(chuàng)建流程和策略

由于數(shù)據(jù)在企業(yè)內(nèi)部的流動，固態(tài)數(shù)據(jù)治理是遵守PCI、HIPAA和SOX等規(guī)范的關鍵。這意味著企業(yè)要了解敏感數(shù)據(jù)的存儲位置，確保數(shù)據(jù)不會駐留在缺乏安全性的測試和開發(fā)環(huán)境中，并圍繞責任分離制定策略。

4. 控制正確的人訪問屬于他的數(shù)據(jù)

身份訪問管理(IAM)是有效數(shù)據(jù)庫安全的基礎。企業(yè)或組織必須能夠可靠地確保用戶和系統(tǒng)級別的賬戶只能訪問到完成其工作所必需的數(shù)據(jù)。這就要求強口令管理和驗證，以及“支持授權和基于角色訪問控制(RBAC)”的技術。

5. 跟蹤活動以簡化電子取證

執(zhí)行基于角色的訪問控制策略是不夠的，在登錄后跟蹤和記錄賬戶的活動情況，以建立可信的審計路徑，也同樣關鍵。在應急響應人員需要對可疑活動進行調(diào)查的情況下，提供合規(guī)和活動記錄就會非常重要。

6. 不要信任輸入的數(shù)據(jù)

必須過濾來自網(wǎng)頁表單和對外Web應用的查詢請求，否則數(shù)據(jù)庫就會暴露在SQL注入攻擊下，數(shù)據(jù)庫的所有內(nèi)容時刻面臨泄露的風險。因此，制定相關安全機制也非常重要。如安裝可以過濾可疑查詢請求的插件，來阻止這種常見且強大的威脅。

7. 及時更新你的防御

數(shù)據(jù)庫漏洞給企業(yè)帶來巨大的風險。因此，要確保你有嚴格的補丁和維護流程，以保持數(shù)據(jù)庫為最新狀態(tài)，并降低被攻擊的風險。如果目前部署的安全解決方案并沒有經(jīng)常性的更新，建議替換。一個更新間隔時間非常長的方案無法跟上攻擊的變化。

8. 開源數(shù)據(jù)庫，既省錢又安全

開源數(shù)據(jù)庫不僅可以讓更多的企業(yè)承擔得起其花銷，由于其代碼透明以及開源社區(qū)在尋找潛在漏洞方面的警覺性，使得他們天生就更加安全。這份警覺使得修復漏洞的速度非常之快。比起睜一只眼閉一只眼，他們中的大部分人更樂意“攀登”bug修復的“高峰”。