データベース強化テクニック
私が理解しているように、データベースの強化は、構成オプションが緩いために発生する脆弱性を取り除くプロセスです。これはときどき悪用可能なベンダーのバグを補うことができます。
データベースの強化には、主に3つの段階があります。
- 悪用される可能性があるリソースへのアクセスをロックダウンします。
- 不要な機能を無効にする。
- 最小の権限または最小の特権の原則。
RDBMS環境を「ロックダウン」して攻撃から環境を強化するための豊富な情報があります。ただし、これらのリソースは、データベースの現在の悪用に関する十分なコンテキストを提供していません(どのタイプの攻撃が存在し、どの攻撃が人気があるかがわからない場合、強化対策が保護を提供するかどうかをどのように知るか)。
私が強化テクニックを学ぶのに悪い方法は、そこにあるデータベースのエクスプロイトをできるだけ多くリストアップし、それぞれがどのように機能するかを学ぶことです...非常に長い時間がかかります。
だから、どこから始めればいいのか、利用可能なリソース、現在の傾向などを考えています。
CISなどのリソースがいくつかあります。軍事基準に達したいのであれば、私はチェックアウトします STIG(セキュリティ技術実装ガイド) 。それらには SQL ServerのSTIG があり、 一般的なDB要求 を確認できます。
あなたの投稿からは、Web環境で作業しているかどうかはわかりませんが、おそらくSQLインジェクションなどについて知りたいと思います。OWASPから始めます。それらには、いくつかの SQLインジェクションに関する一般情報 、いくつかの安全なガイドライン、およびいくつかのテストガイドラインがあります。
現在のエクスプロイトを見つけるために、 CVE で検索できます。
追加の詳細情報を提供していただければ、さらに多くのリソースを提供できます。あなたはただあなたのスタイルと焦点に合う主題についての本のためにAmazonをチェックしたいかもしれません。
「現在のエクスプロイト」は来月の「古いハットエクスプロイト」になるため、現在の「古いハット」エクスプロイトセットとかなり似ています。とにかく、来週のエクスプロイトについては誰も話しません。
要するに、昨年のセキュリティパッチを見て、講じた対策がそれらのいずれかを止めたかどうかを考えてください。
データベースを強化するための特定のリソースを一覧表示する他の回答に追加するために、データベースに対する未知の脅威に対処する方法についてのあなたのポイントを取り上げます。
インフラストラクチャのコンポーネントのセキュリティを特定の脅威に基づくべきではないことをお勧めします(たとえば、今日の「暑い0日」が何であれ)。
代わりに、可能な限り攻撃面を減らすこと(たとえば、不要な機能を削除し、データベースユーザーに操作に必要な特定の権限のみを提供し、セキュリティイベントのリモートロギングを有効にする)を検討し、次に(脅威モデルに応じて)追加が必要かどうかを検討します。コントロール(データベースファイアウォールなど)。
特定の脅威に基づいて制御しようとすると、最終的に追いつきモードになります。
CIS-インターネットセキュリティセンター-を試すことができます。データベースセキュリティベンチマーク:
http://benchmarks.cisecurity.org/downloads/browse/index.cfm?category=benchmarks.servers.database
CISはセキュリティベンチマークでよく知られている組織であり、多くの組織で使用されています。