Veritabanı Güvenliği

menu icon

Veritabanı Güvenliği

Veritabanı güvenliğini karmaşık hale getiren unsurlar ve verilerinizin gizliliğini, bütünlüğünü ve kullanılabilirliğini koruyacak bazı teknolojiler, ilkeler ve uygulamalar hakkında bilgi edinin.

Veritabanı güvenliği nedir?

Veritabanı güvenliği; veritabanı gizliliği, bütünlüğü ve kullanılabilirliğini sağlamak ve bunu korumak için tasarlanmış çeşitli araçları, kontrolleri ve önlemleri ifade eder. Bu makalede öncelikle çoğu veri ihlali senaryosunda risk altında olan gizlilik konusu ele alınacaktır.

Veritabanı güvenliği kapsamında korunması ve ele alınması gerekenler şunlardır:

  • Veritabanındaki veriler
  • Veritabanı yönetim sistemi (DBMS)
  • İlişkili uygulamalar
  • Fiziksel veritabanı sunucusu ve/veya sanal veritabanı sunucusu ve temeldeki donanım
  • Veritabanına erişmek için kullanılan bilgi işlem ve/veya ağ altyapısı

Veritabanı güvenliği, bilgi güvenliği teknolojilerinin ve uygulamalarının her yönünü kapsayan karmaşık ve zorlu bir görevdir. Aynı zamanda doğası gereği veritabanı kullanılabilirliğiyle çelişki içindedir. Veritabanı ne kadar erişilebilir ve kullanılabilir ise güvenlik tehditlerine de o kadar açıktır ve veritabanına erişim ve kullanımı bir o kadar zor olur. (Bu paradoks kimi zaman Anderson Kuralı olarak bilinir. (bağlantı IBM dışındadır)

Neden önemlidir?

Veri ihlali, bir veritabanındaki verilerin gizliliğinin korunamaması olarak tanımlanabilir. Bir veri ihlalinin kuruluşunuzda yarattığı hasar, çok sayıda sonuca veya faktöre bağlıdır:

  • Risk altındaki fikri mülkiyet: Ticari sırlar, keşifler, patentli uygulamalar gibi fikri mülkiyetiniz, bulunduğunuz pazarda rekabet avantajınızı sürdürebilmeniz için çok önemli olabilir. Bu fikri mülkiyet çalınırsa ya da tehdit altındaysa, rekabet üstünlüğünün sürdürülmesi veya kurtarılması zor, hatta imkansız olabilir.
  • Marka itibarına zarar: Müşteriler ya da ortaklar, verilerinizi ya da onların verilerini koruyabileceğiniz konusunda size güvenemiyorlarsa ürünlerinizi veya hizmetlerinizi satın almak (veya şirketinizle iş yapmak) istemeyebilirler.
  • İş sürekliliği (veya bunun eksikliği): Bir ihlal durumu çözülünceye kadar bazı işlerin sürdürülebilmesi mümkün değildir.
  • Uyumsuzluğa ilişkin para cezası ya da cezalar: Sarbannes-Oxley Act (SAO) veya Payment Card Industry Data Security Standard (PCI DSS) gibi küresel düzenlemelere, HIPAA gibi sektöre özgü veri gizliliği düzenlemeleri veya Avrupa'daki GDPR gibi bölgesel veri gizliliği düzenlemelerine uyumluluk sağlayamamanın finansal etkisi, en kötü durumlarda her ihlal için milyon dolarları aşan para cezalarıyla son derece yıkıcı olabilir.
  • İhlallerin telafisi ve müşterileri bilgilendirme maliyetleri: Müşteriye bir ihlali bildirme maliyetinin yanı sıra, ihlalin yaşandığı kuruluş adli inceleme ve soruşturma faaliyetleri, kriz yönetimi, triyaj, etkilenen sistemlerin onarımı gibi oluşan birçok maliyeti karşılamalıdır.

Yaygın görülen tehditler ve zorluklar

Çok sayıda hatalı yazılım yapılandırması, güvenlik açığı ya da dikkatsizlik veya yanlış kullanım örnekleri ihlallerle sonuçlanabilir. Veritabanı güvenliği saldırıları ve nedenleri veya en sık karşılaşılan türleri aşağıda yer almaktadır.

İçeriden gelen tehditler

İçeriden gelen bir tehdit, veritabanına ayrıcalıklı erişim yetkisi olan üç kaynaktan herhangi birinden gelen bir güvenlik tehdididir:

  • Zarar vermek niyetinde olan kötü niyetli biri
  • Veritabanını saldırılara açık hale getiren hatalar yapan ihmalkar bir çalışan
  • Kimlik avı (phishing) gibi bir yöntemi kullanarak veya kimlik bilgisi veritabanının kendisine erişerek bir şekilde kimlik bilgilerini ele geçiren, dışarıdan bir casus

İçeriden gelen tehditler, veritabanı güvenliği ihlallerinin en yaygın nedenlerindendir ve genellikle çok fazla sayıda çalışanın ayrıcalıklı kullanıcı erişimi kimlik bilgilerine sahip olmasına izin verilmesinin bir sonucudur.

İnsan hatası

Bildirilen tüm veri ihlallerinin neredeyse yarısının (%49) nedeni hala kazalar, zayıf parolalar, parola paylaşımı ve diğer düşüncesiz ya da bilinçsiz kullanıcı davranışları olarak karşımıza çıkıyor. (Bağlantı IBM dışında bulunur)

Veritabanı yazılımı güvenlik açıklarının kötüye kullanılması

Korsanların işi, veritabanı yönetim yazılımları da dahil olmak üzere her türlü yazılımda güvenlik açıklarını bulmak ve bu açıkları hedef almaktır. Tüm büyük ticari veritabanı yazılımı satıcıları ve açık kaynaklı veritabanı yönetim platformları bu güvenlik açıklarını gidermek için düzenli olarak güvenlik yamaları çıkarırlar, ancak bu yamaların zamanında uygulanamaması riskinizi artırabilir.

SQL/NoSQL yerleştirme saldırıları

Veritabanına özgü bir tehdit olarak bunlar, isteğe bağlı SQL ya da SQL dışı saldırı dizgilerinin web uygulamaları ya da HTTP üstbilgileri tarafından sunulan veritabanı sorgularına yerleştirilmesini içerir. Güvenli web uygulaması kodlama uygulamalarına uymayan ve düzenli aralıklarla güvenlik açığı testleri gerçekleştirmeyen kuruluşlar bu saldırılara açık hale gelir.

Arabellek taşmasını kötüye kullanım örnekleri

Bir işlem sabit uzunluklu bellek bloğuna izin verilenden daha fazla veri yazma girişiminde bulunduğunda arabellek taşması oluşur. Saldırganlar, saldırıların başlatılmasına temel olarak yakındaki bellek adreslerinde depolanan fazla verileri kullanabilir.

Hizmet reddi (DoS/DDoS) saldırıları

Bir hizmet reddi (DoS) saldırısında, saldırgan hedef sunucuyu (bu senaryoda veritabanı sunucusunu) o kadar çok istekle doldurur ki sunucu artık gerçek kullanıcılardan gelen geçerli, yasal istekleri gerçekleştiremez duruma gelir ve çoğu durumda istikrarını kaybeder veya bozulur.

Dağıtık bir hizmet reddi saldırısında (DDoS), bu yığılma birden çok sunucudan gelerek saldırının durdurulmasını daha da zorlaştırır. Daha fazla bilgi için “DDoS Saldırısı nedir”(3:51) konulu videomuzu izleyin:

Zararlı yazılımlar

Zararlı yazılımlar, güvenlik açıklarını kötüye kullanmak veya veritabanını zarara uğratmak için özellikle yazılan yazılımlardır. Zararlı yazılımlar, veritabanının ağına bağlanan herhangi uç nokta cihazı üzerinden gelebilir.

Yedekler üzerindeki saldırılar

Veritabanının kendisini korumak için kullanılan aynı sıkı denetimlerle yedek verileri korumayı başaramayan kuruluşlar, yedekler üzerindeki saldırı senaryolarına açık olabilir.

Bu tehditler aşağıdaki unsurlarla daha ciddi bir boyuta ulaşır:

  • Artan veri hacimleri: Veri yakalama, depolama ve işleme neredeyse tüm kuruluşlarda katlanarak büyümeye devam ediyor. Veri güvenliği araçları ya da uygulamalarının yakın ve uzak gelecekte ihtiyaçları karşılayacak şekilde, son derece ölçeklenebilir olması gerekiyor.
  • Altyapı yayılımı: Ağ ortamları özellikle işletmelerin iş yüklerini çoklu bulut veya hibrit bulut mimarilerine taşımasıyla birlikte her geçen gün karmaşık hale gelerek güvenlik çözümleri seçimi, devreye alımı ve yönetimi sürecini daha da zorlaştırıyor.
  • Bağlayıcılığı artan yasal düzenleme gereksinimleri: Dünya genelinde yasal düzenlemelere uyum ortamı daha sofistike hale geliyor ve tüm kurallara bağlı olmak her geçen gün zorlaşıyor.
  • Siber güvenlik becerilerindeki eksiklik: Uzmanlar, 2022'ye kadar boş siber güvenlik pozisyonu sayısının 8 milyonu bulabileceğini tahmin ediyorlar.

En iyi uygulamalar

Veritabanları neredeyse her zaman ağ üzerinden erişilebilir olduğundan, ağ altyapısının içinde veya bir bölümünde herhangi bir bileşene yönelik güvenlik tehdidi aynı zamanda veritabanı için de bir tehdittir ve bir kullanıcının cihazını ya da iş istasyonunu etkileyen bir saldırı veritabanını da tehdit edebilir. Bu nedenle veritabanı güvenliği, tek başına veritabanı sınırlarının çok daha ötesine de ulaşmalıdır.

Ekibinizin en üstteki önceliklerine karar vermek için ortamınızda veritabanı güvenliğini değerlendirirken aşağıdaki alanların her birini göz önünde bulundurun:

  • Fiziksel güvenlik: Veritabanı sunucunuz ister şirket içinde ister bir bulut veri merkezinde olsun, güvenli, sıcaklığı kontrol altında tutulan bir ortamda bulunmalıdır. (Veritabanı sunucunuz bulut veri merkezindeyse bulut sağlayıcınız sizin yerinize bununla ilgilenecektir.)
  • Yönetim ve ağ erişimi denetimleri: Pratik minimum sayıda kullanıcının veritabanı erişimi olmalıdır ve izinleri işlerini yapmaları için gereken minimum seviyelerle kısıtlanmalıdır. Benzer şekilde, ağ erişimi de gereken minimum izin seviyesiyle sınırlı olmalıdır.
  • Son kullanıcı hesabı/cihaz güvenliği: Her zaman veritabanına kimlerin eriştiğini ve verilerin ne zaman ve nasıl kullanıldığını izleyin. Veri etkinliklerinin olağandışı olması veya riskli görünmesi halinde veri izleme çözümleri sizi uyarabilir. Veritabanının bulunduğu ağa bağlanan tüm kullanıcı cihazları fiziksel olarak güvenli (yalnızca doğru kullanıcının elinde) ve her zaman güvenlik denetimlerine tabi olmalıdır.
  • Şifreleme: Veritabanındaki veriler ve kimlik bilgisi verileri de dahil TÜM veriler, atıl durumda ve aktarım halindeyken birinci sınıf şifrelemeyle korunmalıdır. Tüm şifreleme anahtarları en iyi uygulama yönergelerine uygun olmalıdır.
  • Veritabanı yazılımı güvenliği: Her zaman veritabanı yönetimi yazılımınızın en son sürümünü kullanın ve yayınlandığı anda tüm yamaları uygulayın.
  • Uygulama/web sunucusu güvenliği: Veritabanıyla etkileşim içinde olan herhangi bir uygulama ya da web sunucusu, bir saldırı kanalı olabilir ve sürekli güvenlik testine ve en iyi uygulama yönetimine tabi olmalıdır.
  • Yedekleme güvenliği: Veritabanının tüm yedekleri, kopyaları ya da görüntüleri, veritabanının kendisi ile aynı (ya da eşdeğer düzeyde bağlayıcı olan) güvenlik denetimlerine tabi olmalıdır.
  • Denetim: Veritabanı sunucusu ve işletim sistemine ilişkin tüm oturum açılışları kaydedin ve hassas veriler üzerinde gerçekleştirilen tüm işlemleri de loga alın. Veritabanı güvenliği standardı denetimleri düzenli olarak gerçekleştirilmelidir.

Kontroller ve ilkeler

Veritabanı güvenliği, tüm ağ ortamınızda katmanlı güvenlik denetimlerinin gerçekleştirilmesinin yanı sıra veritabanının kendisine erişim için doğru kontrolleri ve ilkeleri oluşturmanızı gerektirir. Bunlar arasında aşağıdakiler yer alır:

  • Veritabanı için kurulum, değişiklik ve yapılandırma yönetimine ilişkin yönetim kontrolleri.
  • Erişim, şifreleme, belirteç oluşumu ve maskelemeye ilişkin koruyucu kontroller.
  • Veritabanı etkinliğini izleme ve veri kaybını önleme araçlarını izlemeye ilişkin saptayıcı kontroller. Bu çözümler, olağan dışı veya şüpheli etkinliklerin belirlenmesini ve uyarılar oluşturulmasını mümkün kılar.

Veritabanı güvenliği ilkeleri, önemli fikri mülkiyet varlıkları ile siber güvenlik ilkelerinizin ve bulut güvenliği ilkelerinizin korunması gibi genel iş hedeflerinizle bütünleştirilmeli ve bu hedeflerinizi desteklemelidir. Kuruluşunuz içinde güvenlik kontrollerinin sürdürülmesi ve denetlenmesi sorumluluğunu atamanız ve ilkelerinizin ortak sorumluluk sözleşmelerindeki bulut sağlayıcınızın ilkelerini tamamlayıcı nitelikte olması önemlidir. Güvenlik kontrolleri, güvenlik farkındalığı eğitimi ve eğitim programları ile yetkisiz giriş testi ve güvenlik açığı değerlendirme stratejilerinin tümü resmi güvenlik ilkelerinizi destekleyecek nitelikte olmalıdır.

Veri koruma araçları ve platformları

Günümüzde birçok satıcı firma veri koruma araçları ve platformları sunuyor. Tam donanımlı bir çözüm, aşağıdaki yeteneklerin tümünü içermelidir:

  • Keşif: Bulutta veya şirket içinde olmasından bağımsız, tüm veritabanlarınızdaki güvenlik açıklarını tarayıp sınıflandırabilen ve belirlenen güvenlik açıklarının giderilmesine yönelik önerilerde bulunabilen bir araç arayın. Yasal düzenlemelere uyumluluk şartları için genellikle keşif yetenekleri gereklidir.
  • Veri etkinliğini izleme: Çözüm, devreye alımınızın şirket içinde, bulutta veya konteyner içinde olmasından bağımsız olarak, tüm veritabanlarındaki veri etkinliklerinin tamamını izleyebilmeli ve denetleyebilmelidir. Tehditlere daha hızlı müdahale edebilmeniz için şüpheli faaliyetlerle ilgili olarak sizi anında uyarabilmelidir. Kuralları, ilkeleri ve görev ayrılığı yaklaşımını da hayata geçirebilen ve kapsamlı ve birleşik bir kullanıcı arayüzüyle verilerinizin durumuna ilişkin görünürlük sunabilen bir çözüm istersiniz. Seçtiğiniz çözümün uyum gerekliliklerini karşılamak için ihtiyacınız olan raporları oluşturabildiğinden emin olun.
  • Şifreleme ve belirteç oluşturma (tokenization) yetenekleri: İhlal durumunda şifreleme, tehlikeye karşı en son savunma hattı işlevi görür. Seçtiğiniz bir araç, şirket içinde, bulutta, hibrit veya çoklu bulut ortamlarındaki verileri koruyabilen, esnek şifreleme yeteneklerine sahip olmalıdır. Belirteç oluşturma (veri maskeleme) veya gelişmiş güvenlik anahtarı yönetim yetenekleri gerektirebilecek, sektörün uyumluluk gerekliliklerini karşılayan dosya, birim ve uygulama şifreleme yeteneklerine sahip bir araç arayışında olun.
  • Veri güvenliği optimizasyonu ve risk analizi: Veri güvenliği bilgilerini gelişmiş analitikle bir araya getirerek bağlamsal içgörüler yaratabilen bir araç, optimizasyonu, risk analizini ve raporlamayı kolayca başarmanızı sağlayacaktır. Veritabanlarınızın durumu ve güvenliği hakkında büyük hacimlerdeki geçmiş ve güncel verileri koruyabilen ve birleştirebilen bir çözüm seçin ve kapsamlı, ancak kullanımı bir o kadar kolay self servis bir gösterge panosuyla veri keşfi, denetim ve raporlama yetenekleri sunan bir çözüm olmasına da özen gösterin.

Veritabanı güvenliği ve IBM Cloud

IBM yönetimindeki bulut veritabanları, doğası gereği, yerleşik kimlik ve erişim yönetimi, görünürlük, istihbarat ve veri koruma yetenekleri dahil IBM Cloud Security destekli güvenlik yeteneklerine sahiptir. IBM'in yönettiği bir bulut veritabanı sayesinde, veritabanınızın doğal olarak güvenli bir ortamda bulunduğundan ve yönetim yükünüzün çok daha hafif olacağından emin olabilirsiniz.

IBM aynı zamanda şirket içinde, bulutta veya hibrit ortamlarda bulunan tüm veritabanlarınız, veri ambarlarınız, dosya paylaşımları ve büyük veri platformlarınız için veri keşfi, izleme, şifreleme ve belirteç oluşturma ve Güvenlik optimizasyonu ve risk analizi yeteneklerini de içeren akıllı veri koruma platformu IBM Security Guardium'u sunar.

Kusursuz bir risk azaltma yaklaşımıyla içeriden ve dışarıdan gelen tehditlere karşı verilerinizi korumak için veri keşfi ve sınıflandırma, veri etkinliğini izleme ve şifreleme ve temel yönetim yeteneklerini içeren, yönetilen Data Security Services for Cloud olanağı da IBM'in sunduğu olanaklardan biridir.

Başlangıç için hemen bir IBM Cloud hesabı oluşturabilirsiniz.