امنیت در پایگاه های داده ای 2 - وبسایت دکتر امیر مرتضی سعیدی

امنیت در پایگاه های داده ای 2

یکشنبه 91/7/16
12:15 عصر
amirsaeedi

 

در ادامه نگاهی به جزئیات هریک از اجزای این دسته بندی خواهیم داشت.

شاید بخش عمده امنیت سرور مربوط به مدیر شبکه و نیز کارشناس امنیت اطلاعات باشد. ازین نظر DBA مسئولیت چندانی ندارد ، البته این به شرطی ست که قبلا متخصص امنیت شبکه مکانیزمهای امنیتی مناسب را جهت سرور پیش بینی کرده باشد. این مکانیزمها محدوده وسیعی از ابزارها و راه حلهای امنیتی را در بر میگیرد: فایروالها ، تشخیصگرهای نفوذ (Intrusion Detectors) ، ضد ویروسها ، ... از جمله ابزارها هستند . معماری امن شبکه و لحاظ کردن مسائل امنیتی درین معماری نیز میتواند حائز اهمیت باشد. تمامی این مباحث زیر مجموعه بحث امنیت شبکه می باشند که در بخش آتی به صورت خیلی مختصر به آن اشاره خواهیم کرد:

 

معماری امن شبکه با نگاه به پایگاه داده

الف. در نظر گرفتن سخت افزار جداگانه جهت سرور وب و سرور پایگاه داده

بسیاری از سرویسهای کنونی وب و حتی  شبکه های داخلی (Intranet) به گونه ای طراحی شده اند که سرور اصلی پایگاه داده (Back End Server) را روی همان سروری در نظر میگیرند که سرویس وب روی آن راه اندازی شده است. البته برای این کار چندین توجیه وجود دارد :

  • توجیه اقتصادی: در نظر گرفتن هر دو سرویس بر روی یک ماشین از جهت هزینه کل سازمان یک صرفه جویی محسوب میشود. باید توجه داشت که برای ارایه هر دوی این خدمات ماشینهای با قدرت پردازش بالا باید در نظر گرفته شوند.
  • توجیه فنی: عده ای برین عقیده اند که ارائه این دو خدمت بر روی یک ماشین سبب بهبود کلی کارایی میشود. استدلال اصلی محدودیت سرعت بر روی شبکه است. این استدلال نیز توجیه چندانی ندارد زیرا حداقل سرعت شبکه های محلی فعلی 100Mb/s است که بسیار بالاتر از حداکثر سرعت شبکه های WAN در حال حاضر است.

بنابراین از دو توجیه بالا تنها استدلال مبتنی بر صرفه جویی اقتصادی کماکان میتواتند مطرح باشد. اما خطرات اجرای این دو سرویس بر روی یک مکاشین به حدی ست که بهتر است سازمان به جای پذیرش این ریسکها، هزینه اضافی مربوطه را متحمل شود. تا کنون روشهای متعددی برای نفوذ به سرورهای وب طراحی و اجرا شده است. بسیاری از ویروسهای کامپیوتری و نیز کرمهای اینترنتی (Code Redو Nimda) نیز اساسا بر پایه همین ضعفها عمل میکنند. صرف نظر از نوع سرور وبی که در نظر میگیرید (Apache،IIS یا هر سرور دیگر) همیشه باید این احتمال را بدهید که در صورت وجود یک شکاف امنیتی در سرور مربوطه، شما در مجموع کمترین ضرر را متحمل شوید.

جدا کردن فیزیکی دو سرور وب و پایگاه داده این امر را تا حدی (دقت کنید که فقط تا حدی و نه به طور کامل) برای شما تضمین میکند که حتی اگر نفوذگری توانست اختیارات مدیر سیستم مربوط به سرور وب را به دست بیاورد نتواند به سادگی به اطلاعات موجود روی پایگاه داده نیز دست یابد.

ب. قرار ندادن پایگاه داده در DMZ:

در صورتی که از یک معماری امن برای پیاده سازی شبکه خود استفاده کرده باشید به احتمال زیاد شبکه شما دارای یک بخش DMZ(Don’t Militarized Zone) خواهد بود. معمولا ارائه دهندگان خدمات عمومی را درین بخش از شبکه قرار میدهند. بعنوان مثال سرورهای وب، سرورهای میل ... که همگی جهت خدمات عمومی بکار میروند درین بخش از شبکه قرار دارند.

ایده عمومی داشتن یک بخش DMZ ساده ست: سرورهایی که خدمات عمومی بیرون سازمانی ارایه میدهند نیازمند سطح کمتری از امنیت هستند. در واقع همه میتوانند به آنها دسترسی  داشته باشند. این دسترسی همگانی به هیچ وجه لازم نیست در مورد تمامی منابع شبکه اعمال شود. بنابرین منابع عمومی شبکه را در بخشی از شبکه قرار میدهند که حساسیت امنیتی کمتری نسبت به آن وجود دارد. این همان بخش DMZ است. با توجه به مطالب بالا بسیار بدیهی به نظر میرسد سرور پایگاه داده را باید در همان بخش DMZ قرار دهیم زیرا که عموما این سرور نیز مسئولیت ارائه خدمات همگانی را بعهده دارد. اما قضیه در باره سرور پایگاه داده تا حدی متفاوت است. این سرور گرچه خدمات همگانی نیز عرضه میکند اما تنها بخشی از داده های آن ممکن است جنبه همگانی داشته باشد در حالی که عمده آن در اغلب اوقات سری ست. بعنوان مثال سروری که اطلاعات مربوط به کارت اعتباری افراد را نگهداری میکند از اهمیت فوق العاده ای برخوردار است و هرگونه دسترسی به کل داده های آن میتواند فاجعه بار باشد.

بنابراین بر خلاف دید اولیه به این نتیجه میرسیم که پایگاه داده نمیتواند و نباید که در بخش DMZ قرار گیرد. اما راهکار جداسازی آن ازین بخش چیست؟

شکل 1: پایگاه داده و DMZ

 راه حل ایده آل برای این جداسازی به شرح زیر است: به صورت عام از یک فایروال اصلی برای ایمنی کل شبکه و جداسازی آن از دنیای بیرون استفاده میشود. این فایروال در قسمت بیرونی DMZ قرار دارد و دارای قواعد خاص خود است. بدلایلی که در بخش پیش ذکر شد که کلا عبارت بود از نیاز به ارائه خدمات عمومی ،این فایروال نمیتواند کل ترافیک ورودی را محدود کند و ناچار است یک سیاست (Policy) حداکثری را اعمال کند.



طراح صفحات وب - برنامه نویس تحت سی پلاس پلاس و دلفی و ویبی - طراح نرم افزار های تبلیغاتی - تدریس خصوصی - ارائه پروپوزال و پایان نامه - ارائه مقالات علمی (برای ارتباط نظر بگذارین)
تمامی حقوق این وب سایت متعلق به وبسایت دکتر امیر مرتضی سعیدی است. || طراح قالب avazak.ir