Multi-Cloud Environment je běžná topologie a dokonce se doporučuje pro plán obnovy po havárii (DRP), ale zabezpečení zde může představovat riziko, protože k běžným bezpečnostním kontrolám musíte přidat bod navíc nebo více než jeden, abyste zajistili svá data v prostředích Multi-Cloud.
V tomto blogu se zmíníme o některých nejběžnějších bezpečnostních kontrolách v prostředí PostgreSQL běžícím v cloudu a o tom, co musíte vzít v úvahu, když používáte prostředí Multi-Cloud.
Bezpečnostní kontroly PostgreSQL v cloudu
Podívejme se na některé z nejběžnějších bezpečnostních kontrol pro PostgreSQL databázi v cloudovém prostředí.
Řízení přístupu k databázi
Vzdálený přístup musíte omezit pouze na nezbytné osoby az co nejmenšího množství zdrojů. Použití VPN pro přístup k němu je zde rozhodně užitečné, ale existují také další možnosti, jako je tunelování SSH nebo pravidla brány firewall.
Správa uživatelských účtů databáze
Existuje mnoho způsobů, jak zlepšit zabezpečení vašich uživatelských účtů.
-
Odeberte neaktivní uživatele.
-
Udělte pouze nezbytná oprávnění nezbytným uživatelům.
-
Omezit zdroj pro každé připojení uživatele.
-
Definujte zásady bezpečného hesla.
Bezpečné instalace a konfigurace
Pro zabezpečení instalace databáze je třeba provést několik změn.
-
Nainstalujte na server pouze nezbytné balíčky a služby.
-
Změňte výchozí uživatelské heslo správce a omezte použití pouze z místního hostitele.
-
Změňte výchozí port a určete rozhraní, ve kterém chcete naslouchat.
-
Povolit modul auditu.
-
Nakonfigurujte certifikáty SSL pro šifrování dat při přenosu.
-
Šifrovat data v klidu.
-
Nakonfigurujte místní firewall tak, aby umožňoval přístup k databázovému portu pouze z místní sítě nebo z odpovídajícího zdroje.
Pokud používáte spravovanou databázi, některé z těchto bodů nebudou možné.
Implementujte WAF (Web Application Firewall)
Injekce SQL nebo útoky DoS (Denial of Service) jsou nejběžnějšími útoky na databázi a nejbezpečnějším způsobem, jak se jim vyhnout, je použití WAF k zachycení tohoto druhu SQL dotazů nebo SQL Proxy pro analýzu provozu.
Udržujte svůj operační systém a databázi aktuální
Existuje několik oprav a vylepšení, která uvolňuje dodavatel databáze nebo operační systém, aby opravila nebo se vyhnula zranitelnostem. Je důležité udržovat váš systém tak aktuální, jak je to jen možné, pomocí oprav a aktualizací zabezpečení.
Často kontrolujte CVE (běžná zranitelnost a ohrožení)
Každý den jsou na vašem databázovém serveru detekovány nové chyby zabezpečení. Měli byste jej často kontrolovat, abyste věděli, zda nepotřebujete použít opravu nebo změnit něco ve vaší konfiguraci. Jedním ze způsobů, jak to zjistit, je projít si web CVE, kde najdete seznam zranitelností s popisem a můžete vyhledat verzi databáze a dodavatele, abyste si ověřili, zda je potřeba co nejdříve opravit.
Bezpečnostní kontroly PostgreSQL v prostředí s více cloudy
Kromě výše zmíněných kontrol je nejdůležitější věcí, kterou je třeba v multicloudovém prostředí zabezpečit, komunikaci mezi poskytovateli cloudu.
Z bezpečnostních důvodů musí být komunikace mezi poskytovateli cloudu šifrována a musíte omezit provoz pouze ze známých zdrojů, abyste snížili riziko neoprávněného přístupu do vaší sítě.
Použití pravidel VPN, SSH nebo brány firewall nebo dokonce jejich kombinace je v tomto bodě nutností. Musíte omezit provoz pouze ze známých zdrojů, tedy pouze z Cloud Provider 1 do Cloud Provider 2 a naopak.
Závěr
Vaše multicloudové prostředí bude bezpečnější, když zkontrolujete výše uvedené body, ale bohužel vždy existuje riziko hacknutí, protože neexistuje 100% zabezpečený systém.
Klíčem je zde minimalizovat toto riziko, a proto byste měli pravidelně spouštět nástroje pro kontrolu zabezpečení, jako je Nessus, hledat zranitelná místa a mít dobrý monitorovací systém, jako je ClusterControl, který vám umožní nejen monitorovat váš systém, ale také automatické obnovení vašich systémů v případě selhání nebo dokonce rychlé nastavení replikace v prostředí Multi-Cloud a správa nastavení snadným a přátelským způsobem.