Quale livello applicare sicurezza

2

Nella mia organizzazione disponiamo di un database come back-end, server delle applicazioni, quindi server Web e quindi server proxy.

So che di solito è meglio avere la sicurezza implementata il più vicino possibile ai dati e se è possibile farlo nel database è l'ideale. È possibile aggiungere gli altri livelli e i livelli di sicurezza, ma ciò sarebbe in aggiunta.

Puoi dirmi se sono corretto e fare riferimento a una fonte credibile che dice lo stesso?

    
posta j. doe 29.01.2017 - 01:45
fonte

1 risposta

1

best to have security implemented closest as possible to the data (...) in the database it is ideal.

Perché? Che cosa? Dove? Come?

No, l'idea che desideri proteggere i dati non ha nulla a che fare con il livello dati (ad es. database) in un'applicazione a livelli. Nella stragrande maggioranza dei casi sarebbe una cosa terribilmente brutta da fare.

L'idea di salvaguardare i dati è il ragionamento in cui collochi le protezioni in cui i dati vengono mantenuti ed elaborati in ogni livello dell'applicazione (incluso il livello del database se i dati forniti sono essere salvaguardato giace lì). Se qualsiasi livello dell'applicazione in grado di eseguire richieste di dati è compromesso, ignorerà le protezioni nei livelli inferiori.

Per un semplice esempio: se si dispone di un'applicazione in cui l'accesso al database è protetto da una password e il livello dell'applicazione archivia e riutilizza tale password sulle connessioni, è sufficiente compromettere il livello dell'applicazione.

Addendum

Uno scenario in cui l'idea che le protezioni devono essere vicine al database ha un senso è un livello di applicazione che può elaborare dati crittografati. Ad esempio, dove i dati vengono memorizzati crittografati nel database e le operazioni che utilizzano questi dati vengono eseguite esternamente (ad esempio in un HSM).

    
risposta data 29.01.2017 - 05:12
fonte

Leggi altre domande sui tag