Veri Tabanı Güvenliği Nasıl Sağlanır?
Veritabanı Nedir?
Veritabanını, içerisinde her türlü bilgiyi depolayan büyük boyutta bir klasör gibi düşünebiliriz. Bu klasörün içerisinde oyun, video, kişisel veriler, kritik ve özel bilgilerde yer alabiliyor. Bu büyük klasöre yetkisi olan veya olmayan kişiler haliyle göz atmak isteyebiliyor, bunu legal veya illegal yoldan yapabiliyorlar. İçerisinde depolanan kimlik bilgileri, kişilerin veya şirketlerin özel ve kritik bilgileri, herhangi bir alışveriş sitesinin veritabanında kayıtlı halde bulunan kredi kartı bilgilerimiz gibi verilerin yetkisiz ve kötü kullanım için bu bilgilere erişmek isteyen kişilerin eline düşmesini tabiki istemeyiz. Bunun için veri tabanı güvenliği büyük önem arz etmektedir. Günümüzde farklı veri tabanları mevcut olsa da alınması gereken tedbirler ortaktır. Öncelikle veritabanı türlerine göz atıp sonrasında veritabanını tehdit eden unsurlar ve tehditlere karşı alınması gereken önlemlerden sizlere bahsedeceğim.
Veritabanı Türleri
Depolanan veriler yüksek boyutlara ulaştığından dolayı haliyle veritabanlarınında çalışma prensipleri farklılık gösterebilmekte ve bu da kendi içerisinde çeşitliliğe neden olabilmektedir. Veritabanı türlerini alt başlıklar halinde inceleyelim;
İlişkisel veritabanı, verilerin tablo şeklinde kayıt altında tutulduğu, sütun ve satırlardan oluşan veritabanıdır. Her satırda kayıtlı veriye ait bilgiler içerir. Farklı tablolar kendi aralarında anahtar sütunlarla bağlanır ve olası bir arama yada sorgulama da birbirleriyle beraber görüntülenebilirler.
Dağıtılmış veritabanı, veritabanının bölümlerinin birden fazla fiziksel konumda depolandığı ve işlemlerin ağdaki farklı noktalar arasında dağıldığı veya çoğaltıldığı türdür. Dağıtılmış veritabanları homojen veya heterojen olabilir. Homojen dağıtılmış bir veritabanı sistemindeki tüm fiziksel konumlar, aynı donanıma sahiptir ve aynı işletim sistemlerini çalıştırır. Heterojen bir dağıtılmış veritabanındaki donanım, işletim sistemleri veya veritabanı uygulamaları farklı olabilir.
Bulut veritabanı, özellikle sanallaştırılmış bir ortam için en uygun hale getirilmiştir. Bulut veri tabanları ve bulut sistemler, kullanım miktarına göre ücretlendirme imkanı sunar. Ayrıca sizi tüm alt yapı, donanım ve sistem maliyetlerinden kurtarırlar.
NoSQL veritabanı, özellikle büyük hacimdeki ve dağıtık olarak tutulan veriler için kullanılan teknolojidir. İlişkisel veri tabanlarının yetersiz kaldığı bazı problemleri çözmede ve gereksinimleri karşılamada kullanışlıdırlar. Kurum ve kuruluşların, bulutta birden fazla sanal sunucuda yer alan oldukça büyük hacimlerde ve farklı formatlardaki veriyi analiz etmesinde etkilidir.
Sık ve yaygın kullanılan veritabanı türlerine göz attığımıza göre şimdi veritabanı güvenliği nasıl sağlanmalıdır inceleyebiliriz.
- Kurum çalışanlarını phishing ile düşürüp bilgisayarlarına zararlı yazılım yükletmek, saldırganın veri tabanına erişmesine imkan sağlar.
- SQL Injection'a yol açabilecek SQL açıkları, saldırganın veri tabanına erişimine imkan sağlar.
- Kullanıcılara verilen izinler ve bu izinlerin kötüye kullanılması, saldırganın veri tabanına erişimine imkan sağlar.
- Olay kayıtlarının otomize edilmesi ve bu kayıtların düzenli tutulmaması sistemde zaafiyet yaratabilir.
- Veritabanına yapılan DOS saldırıları sistem işleyişini yavaşlatacağı gibi sistemde kalıcı hasarlar da bırakabilir.
- Veritabanı yapılandırması esnasında yapılan hatalar.
- Ayrık ve olabildiğince en az yetkili hesaplar oluşturulmalıdır.
- Kullanıcı ve çalışanlara şifre verilirken güçlü, kolay tahmin edilemeyen ve farklı karakterlerin kullanıldığı şifreler seçilmelidir.
- Kullanıcı yetkileri sınırlandırılmalıdır, uzun zaman giriş yapmayan kullanıcı kısıtlanmalı veya silinmelidir.
- Etkileşimli giriş devredışı bırakılmalıdır.
- Veritabanında yapılan işlemler daima kayıt altında tutulmalı ve yetkili kişi hareketleri incelenmelidir.
- Veri tabanı yedeklemeleri şifrelenerek saklanmalıdır.
- İncelemeler ile güvenliğinin sanlanması gereken verilerin tespit edilmelidir.
- İçerdikleri bilgi ve gerekliliği bakımından sistemde yer alan verilerin öncelikli olarak sınıflandırılması gerekmektedir.
- Kullanıcılar sadece belirttikleri sistem üzerinden bağlanmalıdırlar.
- İsimsiz hesaplar sistemden veritabanından silinmelidir.
- Veri tabanı zaafiyetlerinin belirli aralıklarla denetlenmesi gerekir.
Yorumlar
Yorum Gönder