۱۰ نکته برتر برای امنیت SQL Server

مقدمه

امنیت SQL Server حتی برای با تجربه ترین مدیران پایگاه داده ، همیشه موضوعی نگران کننده بوده و صرف نظر از نسخه، پایگاه داده SQL دائما در معرض تهدید می باشد زیرا داده های حساس را که هکرهای مخرب می خواهند به آن دسترسی داشته باشند، در اختیار دارد.
امروزه تهدید برای SQL Server  همه گیر است اما این بدان معنا نیست که ما نمی توانیم در این زمینه کاری انجام دهیم. برای محافظت از سازمان در برابر چنین حملاتی، مدیران پایگاه داده ها (DBA) و متخصصان امنیتی باید تهدیدات بالقوه موجود در بستر مدیریت پایگاه داده را بشناسند و اقدامات جدی برای کاهش خطرات امنیتی انجام دهند.

بهترین روش های امنیت SQL Server

SQL Server یکی از محبوب ترین سیستم عامل های داده در جهان است که برای اجرای عملیات و فرآیندهای حیاتی سازمان استفاده می شود.
استفاده از تنظیمات پیش فرض ایمن سازی می تواند باعث ایجاد شکاف های امنیتی شده و شبکه را در برابر حملات آسیب پذیر کند.خواه از SQL Server مایکروسافت استفاده کنید یا MySQL منبع باز، برای محرمانه نگه داشتن اطلاعات و امنیت داده ها، باید پایگاه داده های خود را قفل کنید.
ما در این مقاله یک لیست بررسی امنیت SQL Server و نحوه پیاده سازی آنها را بیان کرده ایم تا راهنمای مناسبی برای شما باشد و تهدیدات موجود در بستر پایگاه داده شما را به طور موثر قطع کند. این موارد عبارتند از:[/vc_column_text][vc_empty_space height=”20px”][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

فقط اجزای مورد نیاز پایگاه داده SQL را نصب کنید.

همه ما می دانیم که چگونه برنامه های منسوخ شده(outdated) و یا بدون وصله (unpatched)، حفره های امنیتی را در سیستم ایجاد می کنند و از مهاجمان دعوت می کنند تا کد غیر مجاز را بر روی سرور SQL از طریق مسیر مجاز (تزریق SQL) اجرا کنند.
داشتن نرم افزارهای غیرضروری و برنامه های اضافی به هکرها امکان سواستفاده از سرور پایگاه داده SQL شما را می دهد.
بنابراین نصب مولفه ها و ویژگی های پایگاه داده SQL را به موارد ضروری برای برخی از کارها محدود کنید. این امر باعث کاهش استفاده از منابع توسط پایگاه داده و ساده سازی مدیریت می شود و در اینصورت خطر امنیتی به حداقل می رسد.

 سرویس مرورگر SQL Server را خاموش کنید

سرویس مرورگر SQL Server به مدیران SQL و کاربران مجاز اجازه می دهد تا نمونه های پایگاه داده را در شبکه کشف کنند و نیازی به اختصاص شماره پورت به نمونه ها ندارد.
با این وجود، این امکان را برای مهاجمان فراهم می کند تا از منابع موجود SQL Server اطلاعاتی کسب کنند. بنابراین، هنگام اجرای نمونه پیش فرض SQL Server، باید سرویس SQL Server Browser را خاموش کنید
یا پورت دیگری را برای استفاده از آن برای برقراری ارتباط پیکربندی کنید.

 از پسوردهای قوی استفاده کنید

برای همه حساب های مدیر پایگاه داده ضروری است که یک رمز عبور قوی داشته باشند تا در برابر حملات Brute-Force مقاوم شوند. نکاتی که برای انتخاب گذرواژه باید به آنها دقت کنید عبارتند از:

• گذرواژه ها باید حاوی حداقل ۱۰ نویسه شامل اعداد، حروف بزرگ و کوچک و نویسه های خاص باشند.
•  از رمزهای عبور آسان برای حدس زدن مانند «password»، «qwerty» یا نام و تاریخ تولد همسرتان خودداری کنید.
•  از استفاده رمز عبور مشابه برای چندین سیستم خودداری کنید.
•  پسورد خود را به صورت دوره ای تغییر دهید.
•  از ابزارهای مدیریت رمز عبور با یک کلید اصلی(master key) قوی، برای ذخیره چندین گذرواژه استفاده کنید.
•  در مورد غیرفعال کردن و حذف ورودها آگاه باشید

اگر از ورود به سیستم برای مدت طولانی مانند یک ماه یا بیشتر استفاده نشده، باید آن را غیرفعال و سپس در صورت نیاز دوباره آن را فعال کنید که در این شرایط، بهتر است به جای حذف ورود(Login) از سیستم، آن را غیرفعال کنید.
با این حال، شما باید ورودهای خود را به صورت دوره ای مرور کرده و مواردی که بیش از یک سال پیش غیرفعال شده بودند را حذف کنید.

اصل حداقل امتیاز را اعمال کنید

اصل حداقل امتیاز(Minimal Privilege)، عبارتی رایج است که در زمینه های امنیت و فناوری اطلاعات استفاده می شود. در این اصل گفته شده که به یک حساب باید فقط امتیازاتی(در این مورد، حداقل مجوزها و حقوق سیستم) برای عملکرد صحیح آن داده شود.
بر اساس این اصل تعیین کنید که اجازه اجرای کدام سرویس های پایگاه داده به چه حساب هایی داده شود. بهتر است یک حساب جداگانه به یک سرویس خاص اختصاص دهید و به این ترتیب، اگر یک سرویس به خطر بیفتد، سایر سرویس ها می توانند امنیت را بیشتر تقویت کنند و به طور عادی به کار خود ادامه دهند.

 یک استراتژی قوی پشتیبان گیری از پایگاه داده داشته باشید

همیشه از پایگاه داده SQL خود نسخه پشتیبان تهیه کنید و آن را در مکان های مختلف خارج از شبکه خود ذخیره کنید. برای حل مشکلات پایگاه داده SQL مانند انحراف و غیرقابل دسترسی بودن پرونده های پایگاه داده، روی ابزار بازیابی SQL شخص ثالث حساب کنید.
به یاد داشته باشید که پشتیبان های پایگاه داده SQL سرور را رمزگذاری کنید. نسخه پشتیبان تهیه شده شما همان داده های حساس پایگاه داده شما را دارا میباشد بنابراین، ضروریست که به همان اندازه محافظت شود و پروتکل های مشابه شامل محدود کردن دسترسی، استفاده از اقدامات امنیتی و نظارت و کنترل دسترسی به داده های پشتیبان را باید روی آنها اعمال کنید.

 سرور پایگاه داده را جدا کنید

سرورهای پایگاه داده تولید باید تا حد امکان از سایر برنامه ها و خدمات جدا شوند. سیستم عامل ها باید اندک باشند و فقط سرویس های لازم نصب و اجرا شوند بنابراین برنامه های دیگر را نصب نکنید، مگر اینکه مورد نیاز سرور پایگاه داده باشد.
بسته به اندازه محیط، باید SQL Server خود را در یک بخش شبکه محدود VLAN قرار دهید تا فقط ترافیک مجاز بتواند به آن منتقل شود. به طور معمول، فقط یک سرور برنامه یا وب سرور مستقیماً با پایگاه داده ارتباط برقرار میکند، بنابراین می توان سیاست های شبکه نسبتاً محدود کننده را برای جلوگیری از اتصالات غیرقانونی اعمال کرد. اما شما هرگز نباید سرور پایگاه داده خود را به اینترنت در پورت های ۱۴۳۳/۱۴۳۴ (MSSQL) و ۳۳۰۶/۳۳۰۷ (MySQL) باز کنید.

 SQL Server خود را به روز نگه دارید

SQL مرتبا نیاز به بروز رسانی دارد، به همین دلیل حتما نسخه خود را به روز نگه دارید. داشتن یک برنامه و پروتکل Patch منظم می تواند به اجرای بروزرسانی ها در یک محیط آزمایشی کمک کند بنابراین می توان بدون ایجاد وقفه در تولید، هرگونه اثر منفی را کشف کرد. بنابراین نصب به موقع Patch(وصله) امنیتی می تواند با رفع نقایص از اکثر حملات جلوگیری کند و شما می توانید حداقل گزینه ها و روش برگشت و همچنین تغییر Patchرا دریابید.

 ترافیک SQL را محدود کنید

همانطور که ذکر شد، سرورهای پایگاه داده معمولاً فقط یک سرور(یا چندین) دیگر به آن متصل هستند. در این صورت، دسترسی به سرور در پورت های پایگاه داده باید در هرجای دیگر مسدود شود. فقط با اجازه دادن به ترافیک SQL از و یا به آدرسهای IP مشخص شده، می توانید مطمئن باشید که یک مورد مخرب یا سرویس گیرنده آلوده در فایروال، سرور شما را با مشکل مواجه نمی کند.
در بعضی موارد، مشتری ها باید مستقیماً به خود سرور پایگاه داده متصل شوند، همین منطق در اینجا اعمال می شود و ارتباطات SQL را به IP های خاص(یا حداقل بخش IP) که به آن نیاز دارند محدود می کند. از آنجا که اینها نقاط پایانی هستند، مطمئن شوید که به درستی از آنها محافظت کنید، زیرا بدافزار می تواند سرورهای SQL را اسکن و به آنها حمله کند. می توانید این کار را با iptables در لینوکس، فایروال ویندوز یا ترجیحا یک دستگاه فایروال اختصاصی انجام دهید.

 در برابر تزریق SQL محافظت کنید

هنگامی که یک برنامه وب ورودی کاربر را می پذیرد و آن را به پایگاه داده می فرستد، داده های غیربهداشتی بسته به پیکربندی سرور، می توانند کدهای مخربی را به سرور “تزریق(Injection)” کرده و کارهای غیرمجاز از جمله دسترسی کامل پوسته را انجام دهند که این عمل “Injection SQL” نامیده می شود، چندین روش برای کاهش این حملات وجود دارد، از جمله محدود کردن توانایی کاربران برای انجام کارهای غیر مجاز، اما در واقع فقط یک راه برای جلوگیری از آنها هست و آن هم استفاده از روش های ذخیره شده به جای پرس و جوهای مستقیم SQL برای تعامل webapp.
رویه های ذخیره شده فقط پارامترهای از پیش تعیین شده را می پذیرند و می توانند تنها عملکردهای بسیار خاصی را انجام دهند، بنابراین از تزریق داده ها به یک جستجوی SQL خام جلوگیری می کنند که بهترین روش در این سالها بوده است، اما بسیاری از برنامه های تولیدی هنوز کد را با آسیب پذیری های SQLi اجرا می کنند، که درواقع یکی از آسیب پذیری هایی است که در اینترنت بیشتر مورد سو استفاده قرار می گیرد.

جمع بندی

SQL Server چندین ویژگی را برای پشتیبانی و ایمن سازی برنامه های پایگاه داده ارائه می دهد. با این حال، پیش بینی اینکه تهدیدات امنیتی ممکن است در حال پدیدار شدن باشند یا نه، غیرممکن می باشد.
بنابراین، عاقلانه است که بهترین اقدامات و ملاحظات امنیتی مشترک را که برای ایمن سازی برنامه های پایگاه داده شما ضروری است، بدانید.اطلاعاتی که در این مقاله به اشتراک گذاشتیم، شما را در ایجاد یک استراتژی امنیتی قوی SQL Server راهنمایی کرده و کمکی برای شماست تا با تهدیدات امنیتی مشترک مقابله کنید.