Multi-cloudomgeving is een veelgebruikte topologie en wordt zelfs aanbevolen voor een Disaster Recovery Plan (DRP), maar de beveiliging kan hier een risico vormen, omdat u aan de algemene beveiligingscontroles een extra punt moet toevoegen of meer dan één om uw gegevens in Multi-Cloud-omgevingen te verzekeren.
In deze blog bespreken we enkele van de meest voorkomende beveiligingscontroles in een PostgreSQL-omgeving die in de cloud draait, en waar u rekening mee moet houden als u een Multi-Cloud-omgeving gebruikt.
Beveiligingscontroles voor PostgreSQL in de cloud
Laten we eens kijken naar enkele van de meest voorkomende beveiligingscontroles voor een PostgreSQL-database in een cloudomgeving.
Databasetoegang beheren
Je moet de toegang op afstand beperken tot alleen de noodzakelijke mensen en met zo min mogelijk bronnen. Het is hier zeker handig om een VPN te gebruiken om toegang te krijgen, maar er zijn ook andere opties zoals SSH-tunneling of firewallregels.
Database-gebruikersaccounts beheren
Er zijn veel manieren om de beveiliging van uw gebruikersaccounts te verbeteren.
-
Inactieve gebruikers verwijderen.
-
Verleen alleen de benodigde rechten aan de benodigde gebruikers.
-
Beperk de bron voor elke gebruikersverbinding.
-
Definieer een veilig wachtwoordbeleid.
Beveiligde installaties en configuraties
Er zijn enkele wijzigingen die u moet doen om uw database-installatie te beveiligen.
-
Installeer alleen de benodigde pakketten en services op de server.
-
Wijzig het standaard beheerderswachtwoord en beperk het gebruik van alleen de localhost.
-
Wijzig de standaardpoort en specificeer de interface om naar te luisteren.
-
Audit-plug-in inschakelen.
-
SSL-certificaten configureren om data-in-transit te versleutelen.
-
Versleutel gegevens in rust.
-
Configureer de lokale firewall om toegang tot de databasepoort alleen toe te staan vanaf het lokale netwerk of vanaf de corresponderende bron.
Als u een beheerde database gebruikt, zijn sommige van deze punten niet mogelijk.
Implementeer een WAF (Web Application Firewall)
SQL-injecties of DoS-aanvallen (Denial of Service) zijn de meest voorkomende aanvallen op een database, en de veiligste manier om ze te vermijden is door een WAF te gebruiken om dit soort SQL-query's of een SQL op te vangen Proxy om het verkeer te analyseren.
Houd uw besturingssysteem en database up-to-date
Er zijn verschillende fixes en verbeteringen die de databaseleverancier of het besturingssysteem uitbrengt om kwetsbaarheden te verhelpen of te voorkomen. Het is belangrijk om uw systeem zo up-to-date mogelijk te houden door patches en beveiligingsupgrades toe te passen.
Controleer regelmatig CVE (algemene kwetsbaarheden en blootstellingen)
Elke dag worden er nieuwe kwetsbaarheden gedetecteerd voor uw databaseserver. U moet het regelmatig controleren om te weten of u een patch moet toepassen of iets in uw configuratie moet wijzigen. Een manier om dit te weten te komen, is door de CVE-website te bekijken, waar u een lijst met kwetsbaarheden met een beschrijving kunt vinden, en u kunt zoeken naar uw databaseversie en leverancier, om te bevestigen of er iets essentieels is dat zo snel mogelijk moet worden opgelost.
Beveiligingscontroles voor PostgreSQL in een multi-cloudomgeving
Afgezien van de hierboven genoemde controles, is het belangrijkste om te beveiligen in een Multi-Cloud Omgeving de communicatie tussen de Cloud Providers.
Om veiligheidsredenen moet de communicatie tussen de Cloud Providers worden gecodeerd en moet u het verkeer alleen van bekende bronnen beperken om het risico van ongeautoriseerde toegang tot uw netwerk te verminderen.
Het gebruik van VPN-, SSH- of Firewall-regels, of zelfs een combinatie daarvan, is op dit punt een must. U moet het verkeer alleen van bekende bronnen beperken, dus alleen van Cloud Provider 1 naar Cloud Provider 2 en vice versa.
Conclusie
Uw Multi-Cloud Omgeving zal veiliger zijn door de bovengenoemde punten te controleren, maar helaas bestaat er altijd een risico om gehackt te worden omdat er geen 100% beveiligd systeem is.
De sleutel hier is om dit risico te minimaliseren, en daarvoor moet u periodiek beveiligingsscantools zoals Nessus uitvoeren, op zoek naar kwetsbaarheden, en een goed monitoringsysteem zoals ClusterControl hebben, waarmee u niet alleen uw systeem kunt laten bewaken, maar ook herstel uw systemen automatisch in geval van storing, of stel zelfs snel replicatie in een Multi-Cloud-omgeving in en beheer de installatie op een gemakkelijke en vriendelijke manier.