堡垒机:如何回收员工/运维的数据库账号密码?

最近数据安全的话题在安全圈非常火热,有客户说数据安全话题有点大,他就关心一个问题:怎么样才能把员工手里的数据库账号和密码收回来?这个问题都解决不了,如何谈数据安全?
确实,很多数据因为数据库账号问题在裸奔。数据库的账号用在三个场景:
1.应用系统访问数据库用的应用账号。
2.DBA(数据库管理员)运维用的账号。
3.应用运维用的账号。
这三类账号,都可能散布到员工、外包人员手中,甚至是外部入侵者手中。要回收这些账号,还是要从管理上入手,看一下齐治科技的解决方案建议。
优化数据库运维管理机制

通常,我们通过传统堡垒机来进行数据库的运维,DBA、应用运维的数据库运维都有数据库访问权限,传统堡垒机可以通过代填的方式,避免数据库账号密码被人为掌握。
然而实际情况很难杜绝员工用数据库账号密码通过堡垒机访问数据库,原因是:
1.有些客户端工具的账号密码代填,很难用堡垒机实现;
2.员工知道应用系统的账号和密码后,可以通过堡垒机的应用发布客户端访问数据库。
在不影响IT业务运行的前提下,唯一的方法就是找到某种效率与安全平衡的机制。我们建议从人员的安全性角度思考:DBA是专业的数据库人员,风险可控,让其最大限度地减少数据库账号密码的使用;而应用运维人员,则必须从专用的数据库堡垒机上免密登录访问数据库。
 

过渡方案

然而,对于有些客户来说,数据库账号密码本来就是掌握在应用运维人员手中,甚至包括开发、外包,回收难、工作量大,这种情况我们的建议设置回收过渡方案:
1.关闭堡垒机上的数据库资产权限;
2.允许在数据库堡垒机中自建数据库连接,SQL指令权限严格控制,按需自助提权;
3.逐步回收账号密码,托管在数据库堡垒机上之后,授予应用运维所需的SQL指令、库表权限。
这种机制下,即使应用运维人员掌握数据库账号密码,但是由于数据库堡垒机仅授权最低的SQL操作权限,降低了很大一部分风险。
最终方案

回收所有运维账号之后,通过使用数据库堡垒机,便可以形成以下管理机制:

1.数据库受限通道:托管应用运维账号,应用运维人员有权访问,权限控制到SQL增删改查指令和库表,进行日常的数据库访问操作。真正意义上实现了用户与数据库的“操作”隔离:用户的操作先提交给数据库堡垒机,数据库堡垒机进行SQL语义解析与安全检查后,再连接真实的数据库进行安全的操作,这些操作都是被管控和审计的。
2.数据库特权通道:托管DBA运维账号,DBA人员有权访问,同时作为应用运维人员在特殊情况下的应急访问通道。加了数据库堡垒机之后,DBA原来的权限和工具都是不变的。
这种机制下,应用运维人员只有最低的SQL指令、库表访问权限,进一步降低了数据安全风险。数据库堡垒机从身份认证、权限管控、数据库操作、数据保护(动态脱敏和数据导出控制)、操作审计等多个维度控制人的数据库操作行为。
此时,可以部署齐治特权账号管理系统PAM对应用运维账号、DBA运维账号、应用系统账号进行分阶段的改密回收,从而系统性消除数据库账号密码安全隐患。

齐治的传统堡垒机,结合数据库专用堡垒机DSG、特权账号管理系统PAM,能够支持客户优化现有的数据库账号密码管理机制,最大限度减少人为的数据库账号暴露面,为客户的数据安全提供最基础的支撑。

手机铃声响后提示忙音:对不起,您拨打的电话正在通话中?8个原因


评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注