Domande sulla sicurezza SQL

Naviga le tue risposte
2

Il CISO della mia azienda è attualmente fuori sede e come responsabile IT mi è stato chiesto di inviare alcune domande di sicurezza a una società nella speranza di implementare un database SQL per gestire gli stipendi, gli ordini ecc.

Ho poca esperienza in merito a SQL, ho incluso la mia lista di 9 domande qui sotto, ho perso alcune domande ovvie?

  • How does your solution protect against SQL Injection attacks? Your application has an wide amount of functionality, do you utilize Prepared Statements, Input Validation etc?

  • How does your product protect the usernames and passwords for accessing the database? Are the passwords hashed and salted, if so which hashing functions and salting mechanisms do you use? Additionally, if salts are being used are different salt values used for each individual password?

  • Is your solution regularly tested with penetration tests? If so how often and please would you provide the name of the company that carried out the testing? Also if we have an independent penetration test will this break any Terms of Use, ie are we still covered to receive full support and services from you?

  • Regarding backups, you mentioned that these can be implemented for automatic backups, can encryption of the backups be done automatically through your product also or is this done manually?

  • I noticed that you are using SQL Server Version 2014, is it possible for this to be migrated to a newer version?

  • You mentioned about costs changing for each database if the workflow is different, regarding this if we wanted to start using your solution only in a LAN environment (no remote access) and wanted to include remote access at a later date would this cost us more? I imagine this is simply a case of opening a port on the server.

  • You mentioned that you are able to implement VPN access to the SQL server, which VPN protocols does your application support? L2TP, IPsec etc?

  • Are there any logging capabilities included? Can the admin see which user logged on, what actions were taken and from which IP address or do you provide an Intrusion Detection System to do this?

    
posta iopa27 19.11.2017 - 23:00
fonte

1 risposta

1

Aggiornamento WRT: non chiedere se è possibile, chiedere di sapere quando sarà aggiornato e vedere il percorso di aggiornamento alle future versioni di SQL.

Registrazione WRT: deve esserci la registrazione. Come cliente, voglio vedere se qualcuno ha fatto qualcosa con il database, inclusi gli amministratori del venditore. Chi ha i diritti per il logging? Quale segnalazione riceverò gratuitamente? Chi può eseguire i report? Chi ha i diritti sui log di audit? (Voglio essere sicuro che, se qualcuno va in giro, che il dipendente canaglia non ha i diritti per rimuovere le sue azioni dal registro di controllo)

Per quanto riguarda la sicurezza fisica per il data center in cui verrà ospitato? Chi ha accesso e in che modo viene determinato l'accesso?

Vengono eseguiti controlli di background sui dipendenti con accesso ai dati?

I "privilegi minimi" sono mantenuti rispetto ai tuoi dati? Con quale frequenza viene riesaminato l'accesso? Quanto tempo ci vuole per rimuovere i diritti dei dipendenti licenziati (volontariamente o non volentieri) dai tuoi dati?

Tutte le password predefinite sono cambiate?

Queste sono alcune delle domande che ci poniamo spesso sui fornitori in outsourcing; mi scuso se hai già fatto queste domande.

    
risposta data 19.11.2017 - 23:12
fonte

Leggi altre domande sui tag

Le e-mail non effettivamente inviate da me vengono visualizzate nella mia cartella "inviata"? Sfruttare XSS nel nome del file senza usare /