Veritabanınız Tehditlere Karşı Hazır mı?

GÖKHAN GÜRSOY | UYGULAMA DANIŞMANI

Veri tabanı uygulamaları; veriyi, bilgiyi saklayan yazılımlardır. Saklama işlemi farklı yazılımlarda yapılabilir ama aradaki en önemli fark, veri tabanın bu bilgiyi verimli ve hızlı bir şekilde yönetip değiştirebilmesidir. Büyük orandaki verilerin güvenli bir şekilde tutulabildiği, bilgilere hızlı erişim imkanlarının sağlandığı, bilgilerin bütünlük içerisinde tutulabildiği ve birden fazla kullanıcıya aynı anda bilgiye erişim imkanının sağlandığı programlardır. Veri tabanı uygulamanızı takip ettiğinizden emin olmak için bu kontrol listesinin bir nebze etkili olabileceğini düşünüyorum.

Günümüzde güvenlik ihlalleri artan bir fenomendir. Daha fazla veri tabanına erişilebilir hale geldikçe Internet ve web tabanlı uygulamalar aracılığıyla güvenlik tehditlerine maruz kalma durumları artacaktır. Amaç, bu tehditlere karşı duyarlılığı azaltmaktır. Belki en çok yayınlanmış veri tabanı uygulaması güvenlik açığı en bilinen yöntemlerden biri olan SQL injection ve arabellek taşmalarıdır.

Temel olarak baz alınacak yollar; yapılandırma, veri korumaları, hesap sağlama, OS / veri tabanı etkileşimi ve veri tabanını kullanan ön uç uygulamalar için dikkat edilmesi gerekenlerdir.

Erişim Kontrolleri ve Yetkilendirme Adımları

Verileri korumak için kullanılan birincil yöntem, verilere erişimi sınırlandırmaktadır. Sisteme erişimi kısıtlamak ve yetkisiz erişimi engellemek için farklı kontroller sağlanır. Belirli veri nesnelerine ve veri kümelerine haklar ve ayrıcalıklar atayarak işlemler yapılır. Bu işlemler bir veri tabanı içinde genellikle tabloları, görünümleri, satırları ve sütunları içerir.

Örneğin, X bir kullanıcının yetki ayrıcalıklarıyla Y veri tabanına giriş hakkı verilmesi. İlgili yapıda daha uzun bir veri tabanı olduğunu düşünürsek; daha fazla erişim hakkı, daha fazla kontrol gerektirecektir.

  • Daha güçlü şifreler uygulayın

Veri tabanı yetkilendirmelerinde, kontrol için alan düzeyinde erişim kullanıyorsanız daha güçlü şifreler için politikalar ayarlayabilirsiniz.

  • Rolleri ve grupları yakından inceleyin

Daha fazla kontrol, kullanıcı ve daha önce tanımlanmış sistem rollerinin yönetiminde ise esneklik sağlar.

Bir veri tabanı yaratıldıktan sonra, veri tabanı yöneticisi diğer kullanıcılara erişim hakkı sağlamak için, veri tabanına erişim ve üzerinde bazı uygulamaları gerçekleştirme hakkı vermek durumundadır. Güvenliği sağlamak için, yönetici kimlerin veri tabanına bağlanacağını ve hangi uygulamaları gerçekleştireceğini belirlemelidir. Kullanıcı isimleri ve şifreler oluşturulduktan sonra, kullanıcılara veri tabanı üzerinde yapabilecekleri işlemler atanır. ISO 27001 Bilgi Güvenliği Yönetim Standardındaki Görevler Ayrılığı ilkesine göre hareket edilmesinde fayda vardır.

Sonuç olarak yapılacak noktalara tekrar kısaca değinmek gerekirse;

  • Hassas verilerinizi keşfedin, kataloglayın ve envanter oluşturun.
  • Güncel olmayan kimlik doğrulama sistemlerine ait istemcilerin bağlantılarını engelleyin.
  • Veri kaybolduğunda veya çalındığında ne yapacağınıza dair bir plan yapın.
  • Felaket kurtarma planı yaptırın.
  • İş birliği kültürü oluşturup, uygulama geliştiricilerini tanıyın.
  • Kullanıcıların sadece belirttikleri sistem üzerinden bağlandıklarından emin olun.
  • Kullanıcıyı yönetmek (yaratmak, silmek, denetlemek) için politikalar oluşturun.
  • Tehdit ve güvenlik olaylarını ve raporlama prosedürünü tanımlayın.
  • Belirli veri nesnelerinin duyarlılığını değerlendirin.
Please follow and like us:

Bir Cevap Yazın