Môi trường đa đám mây là một cấu trúc liên kết phổ biến và thậm chí được khuyến nghị cho Kế hoạch khôi phục sau thảm họa (DRP), nhưng bảo mật có thể là một rủi ro ở đây vì bạn cần thêm vào các kiểm tra bảo mật thông thường một điểm bổ sung hoặc nhiều hơn một để đảm bảo dữ liệu của bạn trên các môi trường Đa đám mây.
Trong blog này, chúng tôi sẽ đề cập đến một số kiểm tra bảo mật phổ biến nhất trong môi trường PostgreSQL chạy trên đám mây và những điều bạn cần lưu ý khi sử dụng Môi trường đa đám mây.
Kiểm tra Bảo mật cho PostgreSQL trên Đám mây
Hãy xem một số cách kiểm tra bảo mật phổ biến nhất cho Cơ sở dữ liệu PostgreSQL trong Môi trường đám mây.
Kiểm soát Quyền truy cập Cơ sở dữ liệu
Bạn phải giới hạn quyền truy cập từ xa chỉ cho những người cần thiết và từ ít khả năng nguồn nhất. Sử dụng VPN để truy cập nó chắc chắn hữu ích ở đây, nhưng cũng có các tùy chọn khác như SSH Tunneling hoặc Firewall Rules.
Quản lý Tài khoản Người dùng Cơ sở dữ liệu
Có nhiều cách để cải thiện bảo mật cho tài khoản người dùng của bạn.
-
Xóa người dùng không hoạt động.
-
Chỉ cấp các đặc quyền cần thiết cho những người dùng cần thiết.
-
Hạn chế nguồn cho mỗi kết nối người dùng.
-
Xác định chính sách mật khẩu an toàn.
Cấu hình và Cài đặt Bảo mật
Có một số thay đổi cần thực hiện để bảo mật cài đặt cơ sở dữ liệu của bạn.
-
Chỉ cài đặt các gói và dịch vụ cần thiết trên máy chủ.
-
Thay đổi mật khẩu người dùng quản trị viên mặc định và chỉ hạn chế sử dụng máy chủ cục bộ.
-
Thay đổi cổng mặc định và chỉ định giao diện để lắng nghe.
-
Bật plugin kiểm tra.
-
Định cấu hình chứng chỉ SSL để mã hóa dữ liệu khi chuyển tiếp.
-
Mã hóa dữ liệu ở chế độ nghỉ.
-
Định cấu hình tường lửa cục bộ để chỉ cho phép truy cập vào cổng cơ sở dữ liệu từ mạng cục bộ hoặc từ nguồn tương ứng.
Nếu bạn đang sử dụng cơ sở dữ liệu được quản lý, một số điểm trong số này sẽ không thực hiện được.
Triển khai WAF (Tường lửa ứng dụng web)
SQL Injjection hoặc DoS (Từ chối Dịch vụ) là những cuộc tấn công phổ biến nhất đối với cơ sở dữ liệu và cách an toàn nhất để tránh chúng là sử dụng WAF để bắt loại truy vấn SQL này hoặc một SQL Proxy để phân tích lưu lượng truy cập.
Luôn cập nhật hệ điều hành và cơ sở dữ liệu của bạn
Có một số bản sửa lỗi và cải tiến mà nhà cung cấp cơ sở dữ liệu hoặc hệ điều hành phát hành để khắc phục hoặc tránh các lỗ hổng bảo mật. Điều quan trọng là luôn cập nhật hệ thống của bạn bằng cách áp dụng các bản vá lỗi và nâng cấp bảo mật.
Thường xuyên kiểm tra CVE (Các lỗ hổng và mức độ phơi nhiễm phổ biến)
Hàng ngày, các lỗ hổng bảo mật mới được phát hiện cho máy chủ cơ sở dữ liệu của bạn. Bạn nên kiểm tra nó thường xuyên để biết liệu bạn có cần áp dụng bản vá hoặc thay đổi điều gì đó trong cấu hình của mình hay không. Một cách để biết nó là bằng cách xem xét trang web CVE, nơi bạn có thể tìm thấy danh sách các lỗ hổng kèm theo mô tả và bạn có thể tìm phiên bản cơ sở dữ liệu và nhà cung cấp của mình để xác nhận xem có điều gì quan trọng cần khắc phục càng sớm càng tốt.
Kiểm tra Bảo mật cho PostgreSQL trong Môi trường Đa đám mây
Ngoài các bước kiểm tra được đề cập ở trên, điều quan trọng nhất để bảo mật trong Môi trường Đa đám mây là giao tiếp giữa các Nhà cung cấp Đám mây.
Vì lý do bảo mật, giao tiếp giữa các Nhà cung cấp Đám mây phải được mã hóa và bạn phải hạn chế lưu lượng truy cập chỉ từ các nguồn đã biết để giảm nguy cơ truy cập trái phép vào mạng của bạn.
Việc sử dụng các Quy tắc VPN, SSH hoặc Tường lửa hoặc thậm chí kết hợp chúng là điều bắt buộc cho thời điểm này. Bạn phải hạn chế lưu lượng truy cập chỉ từ các nguồn đã biết, vì vậy chỉ từ Nhà cung cấp đám mây 1 đến Nhà cung cấp đám mây 2 và ngược lại.
Kết luận
Môi trường Đa đám mây của bạn sẽ an toàn hơn bằng cách kiểm tra các điểm được đề cập ở trên, nhưng rất tiếc, luôn có nguy cơ bị tấn công vì không có hệ thống được bảo mật 100%.
Chìa khóa ở đây là giảm thiểu rủi ro này và vì vậy, bạn nên chạy các công cụ quét bảo mật định kỳ như Nessus, tìm kiếm các lỗ hổng và có một hệ thống giám sát tốt như ClusterControl, điều đó không chỉ cho phép bạn giám sát hệ thống của mình mà còn tự động khôi phục hệ thống của bạn trong trường hợp bị lỗi hoặc thậm chí nhanh chóng thiết lập sao chép trong môi trường Đa đám mây và quản lý thiết lập một cách dễ dàng và thân thiện.