Sicurezza del database: rimuovere il ruolo di superuser

2

Di recente ho sentito parlare di alcune conferenze IT-SEC, che una buona idea per proteggere il database (probabilmente contro l'attacco di escalation di privilegi) è rimuovere il ruolo di superuser e lasciare solo ruoli utente.

Immagino che rimuovendo ad esempio. possibilità di registrazione non shell dell'account di sistema del database e lasciando solo database e utenti in cui dispongono solo di autorizzazioni sui database assegnati.

C'è qualche principio di sicurezza che corrisponde a questa affermazione? Non sono convinto, questo è il giusto approccio.

    
posta Marek Sebera 19.03.2013 - 12:49
fonte

2 risposte

2

Nel tuo caso; il problema che posso comprendere è relativo a Controllo di accesso . Come altri hanno menzionato il principio del minimo privilegio, esiste un concetto simile chiamato "separazione dei doveri". Quest'ultimo concetto è mappato con il concetto di privilegio minimo in un modo in cui un'applicazione è progettata per limitare l'accesso all'utente in base alla sua descrizione del lavoro.

Il ragionamento principale dietro questo concetto non è quello di consentire a un singolo utente / amministratore di compromettere l'intera sicurezza.

Funziona tranquillo come lo stesso se hai visto la caccia al film per ottobre rosso, lì il capitano sottomarino e il gestore delle chiavi hanno entrambe due coppie di chiavi necessarie per attivare i missili nucleari.

Ad esempio, nel contesto del database significa chiudere le vie a cui un DBA può accedere al sistema operativo sottostante - o rimuovere le strutture che gli amministratori IT usano per accedere al database - rende meno probabile che un utente malintenzionato possa comprometterlo.

Lo stesso è spiegato meglio nell'articolo preso Segregating DBA and Admin Duties

Don't install the database under the local IT admin account. This means the database is the local admin, and the DBA has admin rights to the local platform. Similarly, if the database is installed as the local IT admin, then the admin can run database commands. You want the database to run as a separate user who is not the domain or local platform administrator. And you want the database files and archives to be readable by only the account the database is installed under.

    
risposta data 19.03.2013 - 14:54
fonte
3

Non sono sicuro che il Least Privilegio sia necessariamente il termine corretto perché il minimo privilegio è più di dare a un particolare caso d'uso un accesso maggiore del necessario, ma è un principio abbastanza affermato che se una funzione non viene utilizzata in ogni caso d'uso, dovrebbe essere disabilitato.

La sicurezza riguarda il bilanciamento tra rischio e usabilità. Se una funzione ha la capacità di essere abusata e non viene utilizzata, allora è un rischio facile bilanciare. Dal momento che non ci sono benefici e c'è il rischio, lo rimuovi. Se esiste un vantaggio, è necessario valutare il vantaggio della funzionalità rispetto al rischio di un'escalation dei privilegi che riesce a ottenere una sospensione di tale funzionalità.

    
risposta data 19.03.2013 - 14:33
fonte

Leggi altre domande sui tag