数据库技术发展已达半个世纪之久,而云时代开始以后,我们可以从全新的视角审视数据库等基础技术的过去和未来。作为数据存储的主要技术手段,数据库系统在整个IT架构中的重要地位不言而喻。
然而,伴随互联网技术的飞速发展,数据库被逐渐暴露在更开放、更复杂的网络环境中,传统网络安全体系已不再适用于云计算、多连接等环境,高速的场景迁移和猖獗的黑产交易,更使数据库面临更多安全挑战。
过去几年,大规模数据泄露事件越来越司空见惯,百万甚至千万条记录的大规模泄露事件层出不穷。泄露的原因之一,就是直接接入互联网的数据库存在安全性差 / 未经验证保护的问题。
最近,RedHunt 实验室对网上公开的数据库进行研究,结果令人震惊:
•
21387 个未经验证保护 / 公开的 MongoDB 数据库
•
20098 个暴露的 elasticsearch 实例
•
20528 个非安全 Redis 数据库
•
25575 个暴露在外的 Memcached 服务器
•
1977 个非安全 CouchDB 实例
•
3340 个 Cassandra 数据库暴露在互联网上
•
570 个暴露在互联网上的 RethinkDB 数据库
•
1846 个非安全 HBase 实例
除了其中常见的源代码 repo、内部文档、查询系统 / 门户以及仪表板之外,最受关注也是最具安全影响的当然是未经验证保护的数据库。这些暴露在外的数据库不仅常被发现,而且往往会极大影响并增加相关组织的攻击面。
2018-2019年,全球各地深受数据泄露事件的困扰,已造成数以万计损失。据《数据泄露损失研究》评估显示,遭遇数据泄露事件的公司企业平均要损失386万美元,同比去年增加了6.4%。面对如此严峻的数据安全形势,如何有效地保障数据安全成为了众多企业的当务之急。
建议:对数据的访问,应进行帐号权限的划分,三权分立,知其所需,通过完善接入安全,固定接入的终端设备、应用接口,将非法接入拒之门外,同时采用多因素认证(MFA)方式和强口令认证,周期性修改口令,防止弱口令和权限泄露;数据相关的系统更改不安全的默认配置,进行加固操作;对数据根据重要程度和敏感级别进行分级,划分访问权限;存储和传输数据时,进行敏感数据脱敏和加密处理,同时对内部员工进行安全培训,提供保障数据安全意识。
数据库提供稳定可靠的数据备份和恢复,多重安全防护措施,完善的性能监控体系,可视化界面管理,让企业更专注于业务发展。https://www.cdcxhl.com/
创新互联于2013年创立,是专业互联网技术服务公司,拥有项目成都做网站、成都网站设计网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元君山做网站,已为上家服务,为君山各地企业和个人服务,联系电话:18980820575
当前文章:数万套未加验证保护的数据库暴露在外
转载注明:
http://bzwzjz.com/article/dcedc.html