Kamu menerbitkan rilis terlambat pada malam hari, memeriksa notifikasi, dan menemukan kredential yang tidak seharusnya pernah meninggalkan repositori pribadi. Mungkin itu adalah kata sandi database. Mungkin itu adalah kunci akses ke cloud dengan izin yang lebih luas daripada yang diharapkan. Dalam kasus apapun, masalah bukan hanya orang yang bisa masuk. Masalah adalah keamanan database masih dianggap sebagai masalah login ketika sebenarnya itu adalah masalah siklus penyimpanan.
Hal itu muncul di mana-mana dalam sistem nyata. Tim mengaktifkan enkripsi sekali dan menganggap mereka sudah selesai. Mereka menjaga backup tetapi tidak pernah menguji restore. Mereka membuat akun layanan admin untuk kemudahan dan melupakan bahwa akun itu ada. Mereka memblokir produksi, kemudian meninggalkan staging penuh dengan data pelanggan yang dicopy. Jika kamu sedang membangun aplikasi mobile atau web, penyimpanan database yang aman harus mencakup semua itu: database utama, replika, ekspor, log, backup, dan kunci yang mengontrol semua hal itu.
If Anda juga bekerja melalui mengatasi autentikasi untuk aplikasi berikutnya, ingatlah bahwa autentikasi dan keamanan penyimpanan menyelesaikan mode gagal yang berbeda. Autentikasi memutuskan siapa yang boleh masuk. Keamanan penyimpanan membatasi kerusakan ketika seseorang melakukannya, atau ketika data bocor melalui jalur yang tidak Anda duga. Untuk tim yang mengirimkan aplikasi yang berhadapan dengan pelanggan, juga layak untuk menyelaraskan keputusan penyimpanan dengan kontrol yang berdekatan seperti API standar keamanan untuk kelayakan toko aplikasi.
Kemacetan bukanlah teori. Produksi data global mencapai 64,2 zettabyte pada tahun 2020 dan diproyeksikan untuk naik ke 180 zettabyte pada tahun 2025 menurut Ringkasan Penyimpanan Data Edge Delta. Pada skala itu, penyimpanan yang aman tidak lagi menjadi tugas penguatan dan menjadi arsitektur.
Daftar Isi
- Mengapa Keamanan Basis Data Lebih dari Hanya Kata Sandi
- Mengerti Model Ancaman Database Anda
- Pilar Utama Penyimpanan Database yang Aman
- Polanya Implementasi yang Nyata untuk Enkripsi
- Menguasai Pengelolaan Kunci dan Rahasia
- Mengatur Strategi Cadangan dan Pemulihan yang Tahan Banting
- Daftar Periksa Pengembang untuk Penyimpanan Database yang Aman
- Faq
Mengapa Keamanan Database Lebih dari Hanya Kata Sandi
Kata sandi melindungi pintu masuk. Tidak melindungi data setelah kredential terleak, snapshot dicopy, atau layanan internal yang berkelebihan hak mulai membaca tabel yang tidak pernah dimaksudkan untuk disentuh. Itulah mengapa penyimpanan database yang aman harus dilapis.
Model mental lama sederhana: letakkan database di balik firewall, memerlukan kata sandi yang kuat, dan menjauhkan orang luar. Model tersebut gagal dalam sistem cloud, backend mobile, dan pipeline CI/CD modern. Data bergerak antar layanan. Insinyur membuat ekspor sementara. Pekerja analitis menyalin rekaman. Sistem backup menyimpan salinan di infrastruktur yang berbeda. Serangan tidak perlu menghancurkan mesin database itu sendiri jika mereka bisa mencuri kunci, menyalahgunakan token API, atau menemukan replika dengan kontrol yang lebih lemah.
Kegagalan keamanan terjadi di jalur diam
Kegagalan penyimpanan paling merusak tidak terlihat dramatis pada awalnya. Mereka terlihat biasa saja.
- Kenyamanan pengembang menjadi risiko produksi: Kredensial admin bersama digunakan kembali oleh skrip karena memutarinya akan mengganggu pengembangan.
- A dataset yang dicopy melanggar pengawasan: Catatan produksi dikloning ke tahap pengujian sehingga QA dapat mereproduksi bug.
- Salinan cadangan menjadi titik lemah: Pengawasan produksi kuat, tapi kebijakan bucket cadangan atau snapshot tidak.
Aturan praktis: Jika satu-satunya hal yang menghalangi penyerang dari mengakses data yang dapat dibaca adalah satu kredential, maka Anda tidak memiliki penyimpanan yang aman. Anda memiliki titik kegagalan tunggal.
Pertahanan harus bertahan dari penyalahgunaan kredential
Guidance cloud Microsoft merekomendasikan basis yang termasuk enkripsi dalam transit dan di tempat istirahat, kontrol akses dengan hak yang paling sedikit, dan pemantauan untuk aktivitas tidak sah, seperti yang diuraikan dalam praktik keamanan data cloud. Itu adalah basis yang tepat karena insiden nyata sering dimulai dengan akses yang valid digunakan dengan cara yang salah.
Yang berfungsi dalam praktek adalah yang membosankan dan konsisten. Enkripsi file database. Enkripsi koneksi. Bagi peran layanan. Hapus akses admin yang berdiri di mana pun. Log operasi sensitif. Peringatkan pola akses yang tidak sesuai dengan penggunaan normal. Tidak ada yang glamor, tapi itu mencegah insiden nyata.
Cara yang berguna untuk berpikir tentangnya adalah sebuah vault fisik. Pintu vault berarti. Begitu juga dengan kunci kompartemen, rekaman kamera, log pengunjung, dan kebijakan siapa yang dapat membuka box mana. Penyimpanan database yang aman bekerja sama dengan cara itu. Sandi hanya pintu depan.
Memahami Model Ancaman Database Anda
Sebelum Anda memilih kontrol, peta cara sistem Anda bisa gagal. Model ancaman untuk penyimpanan database tidak perlu akademis. Ini perlu menjelaskan siapa yang bisa menyentuh data sensitif, bagaimana mereka melakukannya, dan apa yang terjadi jika mereka berhasil.
Data sensitif jarang hidup di satu database produksi yang rapi. Panduan modern menekankan penemuan dan manajemen posisi karena informasi sensitif sering kali berakhir di salinan, backup, log, dan lingkungan pengembangan, sehingga gagal sering terjadi di luar database utama, seperti yang disebutkan dalam Ringkasan Sentra tentang keamanan data cloud dan manajemen posisi. Oleh karena itu, perencanaan insiden harus mencakup skenario seperti paparan vendor dan dataset yang dicopy. Ini juga adalah tempat respons yang lebih luas, seperti Praktik terbaik respons bocor pihak ketiga, menjadi relevan.
Mulai dengan aset, bukan alat
Daftarkan apa yang penting sebelum Anda daftarkan produk.
Untuk tim aplikasi kebanyakan, aset yang kritis adalah sederhana:
- Rekaman pelanggan seperti profil, riwayat pesanan, metadata terkait pembayaran, atau konten terkait kesehatan.
- Bahan autentikasi seperti hash kata sandi, catatan sesi, token refresh, atau API rahasia.
- Data operasional seperti log audit, antrian pekerjaan, catatan admin, dan ekspor dukungan.
- Aset pemulihan seperti snapshot, dump logis, log pada waktu tertentu, dan kunci enkripsi.
Itu item terakhir lebih penting daripada tim pikir. Jika seorang penyerang dapat menghapus backup atau mengakses kunci yang dapat memecahkan mereka, cerita pemulihan Anda akan runtuh.
Tiga wadah ancaman yang paling penting
Model sederhana yang saya gunakan dengan pengembang memiliki tiga wadah.
Penyerang eksternal
Wadah ini adalah yang paling banyak dipikirkan orang pertama. Injeksi SQL, token API yang dicuri, kredit cloud yang terbuka, panel admin yang terbuka, dependensi yang rentan. Benang utama adalah seorang penyerang luar yang mendapatkan akses ke data.
Masalah yang perlu ditanyakan:
- Apakah seseorang dapat mengakses database secara tidak langsung melalui aplikasi?
- Apakah kredensial server yang dicuri dapat membaca lebih dari satu layanan yang dibutuhkan?
- Apakah snapshot yang dicopy dapat dibaca secara mandiri?
Ancaman dari dalam
Inklusi insider yang berbahaya dan karyawan yang baik dengan akses yang terlalu luas. Seorang insinyur dukungan mengexport data untuk menyelesaikan tiket. Seorang kontraktor menyimpan salinan lokal. Seorang administrator platform dapat membaca baris produksi meskipun pekerjaannya tidak memerlukannya.
Apa yang membantu di sini adalah pemisahan tugas, akses berdasarkan peran, dan jejak audit yang membuat akses sensitif terlihat.
Jika Anda tidak dapat menjawab siapa yang mengakses rekaman pelanggan, kapan mereka mengaksesnya, dan mengapa akses tersebut diizinkan, maka kontrol database Anda lebih lemah dari yang terlihat.
Pengungkapan tidak sengaja
Kategori ini paling umum di tim yang bergerak cepat. Bucket penyimpanan yang tidak terkonfigurasi. Lingkungan pengujian yang diisi dengan data hidup. Log debug yang mencakup token atau informasi pribadi. Backup yang dipulihkan ditempatkan di lingkungan keamanan rendah untuk troubleshooting.
Pengungkapan tidak sengaja adalah mengapa keamanan penyimpanan data harus beroperasi. Anda tidak menyelesaikannya dengan satu pengaturan. Anda menyelesaikannya dengan klasifikasi data, penghalang, tinjauan, dan pembersihan rutin.
Pilar Utama Keamanan Penyimpanan Database
A serangan jarang datang dari satu kegagalan dramatis. Biasanya datang dari rantai kesalahan-kesalahan biasa. Backup dicopy ke akun yang salah. Layanan mendapatkan izin yang lebih luas daripada yang dibutuhkan. Kunci lama tetap aktif selama beberapa bulan karena rotasi selalu ditunda. Penyimpanan database yang aman harus menghentikan rantai itu di beberapa titik, dan terus melakukannya ketika sistem berubah.
Saya membagi pekerjaan ke empat pilar: enkripsi, pengendalian akses, auditing, dan pengurangan. Backup dan pemulihan juga penting, tetapi mereka layak mendapatkan penanganan operasional sendiri karena data yang dipulihkan sering menjadi jalur ekspose baru jika tidak ada yang menguji di mana data itu berada, siapa yang bisa membacanya, dan kunci apa yang bisa mengenkripsinya.
Enkripsi mengurangi nilai data yang dicuri
Enkripsi membeli waktu dan mengurangi dampak. Jika seseorang mendapatkan snapshot disk, file backup mentah, atau lalu lintas dari jaringan internal, data yang dienkripsi jauh lebih sulit untuk diubah menjadi rekaman pelanggan.
Pada saat istirahat, enkripsi melindungi file database, snapshot, dan artefak backup. Saat berpindah, TLS melindungi koneksi antara server aplikasi, proxy, dan mesin database. NIST menangani kedua kontrol dalam panduan tentang enkripsi penyimpanan dan perlindungan transportasi di SP 800-111 dan rekomendasi terkait data yang berada di penyimpanan.
Operasional adalah trade-off, bukan teoretis. Enkripsi hanya membantu jika pengelolaan kunci terpisah dari jalur data dan dipertahankan dalam waktu lama. Enkripsi amplop bekerja seperti kunci utama bangunan dan kunci kantor yang terkunci. Layanan manajemen kunci melindungi kunci utama, dan kunci utama tersebut mengenkripsi kunci data singkat yang digunakan untuk catatan atau file yang sebenarnya. Desain tersebut membatasi paparan selama rotasi dan membuat lebih mudah untuk membatalkan atau mengganti bahan kunci tanpa menulis semuanya sekali.
Tim akan masuk ke dalam kesulitan ketika mereka mengaktifkan enkripsi sekali dan berhenti di situ. Periksa di mana kunci hidup, siapa yang dapat menggunakannya, apakah rotasi telah direncanakan, dan apakah cadangan lama masih bergantung pada versi kunci yang dilupakan.
Kontrol akses membatasi radius ledakan
Izin akses harus mengikuti batas aplikasi, bukan organisasi.
Peran basis data untuk API checkout tidak boleh dapat membaca data gaji. Pekerja latar belakang tidak boleh memiliki hak untuk mengubah skema karena pada awalnya sangat mudah selama migrasi. Alat dukungan harus menggunakan tampilan yang disaring atau prosedur yang disetujui daripada akses meja yang luas.
Model yang praktis seperti ini:
- Peran aplikasi web: akses membaca dan tulis yang terbatas untuk tabel di balik permintaan pengguna.
- Peran pekerja: akses ke catatan yang dibutuhkan untuk pekerjaan yang dijalankan.
- Peran analitis: akses membaca saja ke dataset yang disaring dengan pengidentifikasi langsung dihilangkan jika memungkinkan.
- Peran administrator darurat: akses yang singkat dan disetujui dengan log yang kuat dan tinjauan.
Pilar ini semakin kuat ketika dipasangkan dengan transformasi data. Jika sebuah tim dapat melakukan pekerjaannya dengan data yang disembunyikan atau dikurangi, berikan versi itu daripada nilai produksi penuh. Untuk data kesehatan yang terregulasi, de-identifikasi PHI seringkali adalah perbedaan antara akses yang berguna dan paparan yang tidak perlu.
Rahasia di sekitar database layak mendapatkan disiplin yang sama. Tim yang memperketat kontrol penyimpanan tetapi meninggalkan kunci mesin yang tercecer di log CI, bangun mobile, atau skrip dukungan masih meninggalkan jalur serangan yang luas. Kebiasaan operasional yang sama berlaku untuk API kunci keamanan untuk kinerja toko aplikasi, terutama ketika aplikasi mobile dan layanan backend berbagi batasan kepercayaan.
Pengauditan menunjukkan apakah kontrol nyata
Suatu kebijakan yang tidak dapat diverifikasi hanya merupakan harapan.
Jejak audit menjawab pertanyaan yang penting selama insiden. Siapa yang membaca rekaman. Siapa yang mengubah izin. Siapa yang menjalankan pekerjaan ekspor. Siapa yang menggunakan kunci untuk mengenkripsi arsip. Mereka juga mengekspos pergeseran lambat, seperti akun layanan yang mulai menyentuh tabel yang tidak perlu sebelumnya.
Pengauditan yang berguna biasanya mencakup:
- Aktivitas autentikasi: log masuk sukses, log masuk gagal, penggunaan token, dan sesi administratif.
- Perubahan otorisasi: pengizinan, penghapusan, pembuatan peran, perubahan kebijakan, dan perubahan skema.
- Polanya akses sensitif: baca massal, ekspor besar, jalur kueri tidak biasa, dan akses di luar jam atau jaringan sumber yang diharapkan.
- Event manajemen kunci: pembuatan kunci, rotasi, upaya dekripsi gagal, versi dinonaktifkan, dan perubahan kebijakan di KMS atau penyimpanan rahasia.
Pertimbangan penyimpanan log di sini. Begitu juga dengan tinjauan. Jika log kadaluarsa sebelum siapa pun menyelidiki, atau jika tidak ada yang memeriksa perubahan hak istimewa kecuali ada sudah ada pelanggaran, sistem audit ada di kertas lebih dari pada dalam praktek.
Berikut adalah penjelasan yang baik sebelum detail implementasi menjadi terlalu abstrak:
Pengurangan menjaga data sensitif keluar dari tempat yang tidak bisa Anda pertahankan dengan baik
Pengurangan adalah di mana banyak tim mendapatkan kemenangan keamanan terbesar untuk upaya rekayasa yang paling sedikit.
Simpan lebih sedikit. Simpan selama waktu yang lebih singkat. Salin ke tempat yang lebih sedikit. Jika fitur hanya memerlukan rentang usia, jangan menyimpan tanggal lahir penuh. Jika dukungan hanya memerlukan empat karakter terakhir dari identifikasi, hindari menampilkan lapangan penuh. Jika lingkungan pengujian tidak memerlukan data pribadi yang hidup, jangan memulihkan cadangan produksi ke dalam mereka dan sebutkan sementara.
Ini juga merupakan disiplin operasional. Jadwal penyimpanan perlu ditegakkan. Ekspor lama perlu dihapus. Sistem-sistem hilir perlu direview karena risiko tumbuh setiap kali lapangan-lapangan sensitif direplikasi ke indeks pencarian, cache, danau data, penyimpanan mobile, dan file CSV ad hoc. Misalnya, alat-alat seperti Capgo’s plugin penyimpanan SQLite untuk Capacitor dapat menyediakan persistensi sisi aplikasi, tetapi Anda masih perlu memutuskan apa yang tidak perlu disimpan secara lokal sama sekali.
Poin dari pilar-pilar ini bukanlah kesempurnaan pada hari pertama. Ini adalah membangun sistem penyimpanan yang tetap dapat dibela setelah rotasi kunci, perubahan staf, tanggapan insiden, pemulihan cadangan, dan pertumbuhan produk. Itulah di mana penyimpanan database yang aman biasanya berhasil atau gagal.
Polanya Praktis untuk Pengenkripsi
Tidak ada pola pengenkripsi untuk setiap sistem. Pilihan yang tepat bergantung pada apa yang Anda lindungi, siapa yang perlu mengaksesnya, dan berapa banyak kompleksitas tim Anda dapat menangani. Kesalahan adalah memilih pola yang terdengar kuat dan kemudian menerapkan dengan buruk.
TDE adalah basis tercepat
Enkripsi Data Transparan, atau TDE, biasanya merupakan tempat yang paling mudah untuk memulai. Mesin database mengenkripsi file di disk dan mendekripsi mereka ketika mesin membaca mereka ke dalam memori. Aplikasi sering kali tidak memerlukan code perubahan.
Ini adalah basis yang kuat untuk:
- Pelindungan database utuh
- Persyaratan kompatibilitas tingkat penyimpanan
- Mengurangi risiko dari disk yang dicuri, snapshot, atau akses file mentah
TDE tidak melindungi dari segalanya. Jika seorang penyerang mendapatkan akses database yang valid, mesin akan masih menyajikan data yang telah didedikasi. Itulah mengapa TDE membantu dengan kompromi penyimpanan, bukan penyalahgunaan kreditensi yang sah.
Enkripsi tingkat aplikasi melindungi bidang yang paling penting
Enkripsi tingkat aplikasi terjadi sebelum data mencapai database. Anda code mengenkripsi bidang yang dipilih, kemudian menulis ciphertext ke penyimpanan. Ini berfungsi baik untuk kolom yang paling sensitif seperti identitas pemerintah, detail bank, rahasia pemulihan, atau catatan pribadi.
Kontrol tambahan tersebut datang dengan konsekuensi:
- Anda memiliki lebih banyak kompleksitas: pemilihan kunci, library enkripsi, perilaku rotasi, dan penanganan kesalahan.
- Pencarian menjadi lebih sulit: cocokan tepat, pencarian sebagian, dan indeks menjadi masalah desain.
- Para pengembang memerlukan disiplin: satu singkatan dalam skrip migrasi dapat menghindari model Anda secara keseluruhan.
Polanya pseudocode sederhana seperti ini:
| Langkah | Aksi |
|---|---|
| 1 | Baca bidang teks plaintext dari permintaan |
| 2 | Tanyakan kunci layanan untuk kunci enkripsi data atau gunakan kunci lokal yang dibungkus |
| 3 | Enkripsi bidang di aplikasi |
| 4 | Simpan ciphertext dan metadata di database |
| 5 | Hanya dekripsi di jalur baca yang disetujui |
Untuk persistensi aplikasi lokal, pertanyaan desain yang sama berlaku. Jika Anda menyimpan token offline atau keadaan sinkron sensitif pada perangkat, jangan asumsikan penyimpanan mobile aman secara default. Gunakan pola yang sadar platform seperti yang dibahas dalam penyimpanan aman untuk token offline di Capacitor.
Enkripsi amplop adalah aman di dalam aman
Enkripsi amplop terdengar menakutkan, tapi ide sederhana. Anda enkripsi data dengan satu kunci, lalu enkripsi kunci itu dengan kunci lain yang lebih terlindungi.
Bayangkan itu sebagai dokumen yang terkunci di dalam lemari aman kecil. Kunci lemari aman kecil itu kemudian terkunci di dalam vault bank. Jika seseorang mencuri layer penyimpanan dokumen, mereka masih perlu akses ke kunci vault yang lebih terlindungi sebelum mereka bisa membuka apa pun yang berguna.
Alur umum:
- Buat kunci data untuk catatan, file, atau batch.
- Enkripsi data dengan kunci data itu.
- Enkripsi Pola Perbandingan Pola
- Kompleksitas Implementasi Dampak Kinerja
- Enkripsi Pembungkus data dengan menggunakan kunci utama di KMS atau HSM..
Simpan ciphertext plus metadata kunci yang dibungkus bersama dengan rekaman atau objek. Hanya ungkapkan selama pembacaan yang diotorisasi
Saran Lapangan:
Pakai enkripsi pembungkus ketika Anda membutuhkan kompartemenalisasi yang kuat tanpa mengekspos kunci utama yang berumur lama kepada setiap server aplikasi.
| Pola ini umum karena seimbang antara kinerja dan kontrol. Aplikasi menggunakan kunci data yang berumur pendek untuk pekerjaan enkripsi sebenarnya, sementara KMS atau HSM melindungi kunci utama yang digunakan untuk membungkus dan melepas mereka. | Gunakan enkripsi pembungkus ketika Anda membutuhkan kompartemenalisasi yang kuat tanpa mengekspos kunci utama yang berumur lama kepada setiap server aplikasi. | Pola ini umum karena seimbang antara kinerja dan kontrol. Aplikasi menggunakan kunci data yang berumur pendek untuk pekerjaan enkripsi sebenarnya, sementara KMS atau HSM melindungi kunci utama yang digunakan untuk membungkus dan melepas mereka. | Terbaik Untuk |
|---|---|---|---|
| Enkripsi disk atau volume | Rendah | Rendah | Pengamanan tingkat infrastruktur untuk server dan penyimpanan terhubung |
| Enkripsi Data Transparan | Rendah hingga sedang | Rendah hingga sedang | Pengamanan database utuh dengan perubahan aplikasi minimal |
| Enkripsi tingkat aplikasi | Sedang hingga tinggi | Bervariasi tergantung penggunaan dan desain kueri lapangan | Kolom yang sangat sensitif dan pemisahan yang ketat memerlukan |
| Enkripsi amplop | Moderat hingga tinggi | Moderat | Sistem yang memerlukan isolasi kunci yang lebih kuat dan kontrol kunci yang skalabel |
Aturan praktisnya sederhana. Mulai dengan dasar yang kuat seperti TDE atau enkripsi di-aktifkan secara otomatis. Tambahkan enkripsi pada tingkat lapangan atau enkripsi amplop hanya jika model ancaman dan sensitivitas data membenarkan biaya tambahan.
Pengelolaan Kunci dan Rahasia
Serangan sering dimulai dengan kesalahan biasa dalam mengelola rahasia. Basis data produksi dienkripsi, cadangan ada, dan akses tampaknya dikontrol pada kertas. Kemudian, pekerjaan CI mencetak token ke log, insinyur menggunakan kembali kredential admin untuk skrip dukungan, atau kunci yang ketinggalan zaman tetap aktif setelah tim yang menciptakannya telah berpindah.
Itulah mengapa pengelolaan kunci dan rahasia adalah praktik operasional, bukan tugas pengaturan.
Basis data yang dienkripsi dengan kunci yang tidak dielola dengan baik bekerja seperti ruang server yang terkunci dengan akses yang tergantung di pegangan pintu. Pedoman pemerintah juga mengemukakan hal yang sama. Enkripsi sendiri tidak menutup celah jika tim melewatkan pengelolaan kunci berbasis KMS atau HSM, akses dengan hak yang paling sedikit, dan rencana pemulihan, seperti yang dijelaskan dalam pedoman NSA dan mitra dalam mengamankan data di awan.
Dimana tim melakukan kesalahan ini
Polanya ini familiar dalam tinjauan insiden:
- Rahasia di sumber code: Kredensial yang dihardikan, sertifikat yang diintegrasikan, atau skrip utilitas yang secara bertahap menjadi dependensi produksi.
- Rahasia di file konfigurasi yang dicopy: File yang dipindahkan antar laptop, disimpan di folder bersama, atau dikomitkan selama perbaikan yang terburu-buru.
- Variabel lingkungan dengan kontrol yang lemah: Praktis, tetapi sering terbuka melalui log pembangunan, riwayat shell, laporan kegagalan, atau izin runtime yang luas.
- Tidak ada kepemilikan untuk rotasi: Kunci ada selama bertahun-tahun karena tidak ada tim yang mengambil alih reissue, rollout, dan rollback.
- Rahasia yang dipakai bersama: Satu kredential yang digunakan oleh aplikasi, insinyur, dan otomatisasi, yang membuat audit dan pengendalian menjadi lebih sulit.
Jika Anda sedang mengstandarkan cara penyimpanan rahasia aplikasi dan infrastruktur, sebuah referensi yang praktis untuk mengelola rahasia lingkungan variabel yang aman bisa membantu tim berpindah dari penyebaran rahasia ad hoc.
Apa yang baik tentang pengelolaan kunci adalah
Pakai sebuah KMS ketika kebijakan pusat, pengendalian akses, log audit, dan rotasi yang dijadwalkan lebih penting daripada kontrol perangkat keras yang disesuaikan. Pakai sebuah HSM ketika risiko, persyaratan kompatibilitas, atau aturan penandatanganan dan perlindungan kunci membenarkan batasan perangkat keras yang dedikasi. Banyak tim tidak membutuhkan HSM di mana-mana. Mereka membutuhkan aturan yang jelas untuk sistem mana yang dapat meminta operasi dekripsi, manusia mana yang dapat mengubah kebijakan, dan bagaimana aksi-aksi tersebut diperiksa.
Enkripsi amplop adalah model mental yang baik di sini. Ini bekerja seperti menjaga uang di dalam kotak kecil yang terkunci, kemudian menyimpan kotak itu di dalam vault bank. Aplikasi mengelola kunci data singkat yang hidup singkat untuk pekerjaan enkripsi. Kunci vault tetap di KMS atau HSM, dan akses kepadanya sangat dibatasi.
Kontrol yang mencegah insiden nyata adalah operasional:
- Rotasi kunci pada jadwal yang dapat dieksekusi dengan aman: rotasi mengurangi umur kunci yang telah dibajak, tetapi hanya jika aplikasi, pekerjaan, dan restore masih berfungsi setelahnya.
- Tugas yang terpisah: layanan yang membaca data pelanggan tidak boleh juga dapat mengubah kebijakan kunci atau mematikan log.
- Tangkap peristiwa kunci sensitif: Pengaturan kunci, rotasi, dekripsi permintaan, upaya akses gagal, dan perubahan kebijakan harus semua terlihat.
- Test jalur re-encryptasi: Menggulung kunci pembungkus biasanya lebih mudah daripada mengenkripsi ulang data aplikasi, tetapi kedua-duanya memerlukan buku rencana dan langkah mundur.
- Matikan dan pensiunkan rahasia lama dengan sengaja: Biarkan waktu untuk proses pergantian, kemudian hapus kredensial yang usang sehingga mereka tidak dapat menjadi pintu belakang yang diam.
CI/CD memerlukan disiplin yang sama seperti runtime produksi. Sistem bangun biasanya memiliki akses yang luas dan visibilitas yang lemah, sehingga menjadi tempat yang umum untuk kebocoran rahasia. Tim yang serius tentang ini biasanya mengatur secara formal Mengelola rahasia di alur proses integrasi dan pengiriman (CI/CD) Alih-alih menganggap kredit pipa sebagai pengecualian sementara.
Satu aturan sederhana. Aplikasi code harus meminta operasi kriptografi dari sistem yang dipercaya, bukan membawa kunci utama mentah di sekitar lingkungan.
The desain enkripsi yang paling kuat di dalam stack Anda tidak lagi berarti apa-apa jika seorang developer, pipeline, atau tool dukungan dapat menyalin kunci utama ke tempat yang salah.
Rancang Strategi Cadangan dan Pengembalian yang Tahan Banting
Cadangan adalah bagian dari penyimpanan database yang aman, bukan tugas administratif terpisah. Jika produksi dilindungi dan cadangan tidak, penyerang akan mengambil jalur yang lebih mudah.
Guidance penyimpanan data yang aman dari Hypertec merekomendasikan menjaga sistem cadangan dan pengembalian pada tingkat perlindungan yang sama dengan produksi karena serangan ransomware dan malware sering kali meninggalkan cadangan yang aman dan teruji sebagai satu-satunya jalur pemulihan yang masuk akal. Cadangan memerlukan batasan keamanan sendiri.
Desain cadangan yang tahan banting memiliki beberapa sifat:
Cadangan dienkripsi dalam perjalanan dan di tempat istirahat.
- Kredensial cadangan terpisah dari kredensial produksi.
- Kontrol penghapusan dan penyimpanan lebih sulit untuk disalahgunakan daripada akses aplikasi normal.
- Sasaran pemulihan tidak menjadi lingkungan produksi sementara dengan kontrol yang lemah.
- Mode gagal umum adalah menyimpan cadangan yang dienkripsi sementara membiarkan peran produksi yang sama yang terkorup menghapusnya. Mode lainnya adalah memulihkan ke lingkungan sementara dengan akses insinyur yang luas dan tidak ada logging. Jalur pemulihan layak mendapatkan perhatian yang sama seperti jalur utama.
A common failure mode is storing encrypted backups while letting the same compromised production role delete them. Another is restoring into a temporary environment with broad engineer access and no logging. Recovery paths deserve the same scrutiny as primary paths.
Restore testing adalah kontrol yang sebenarnya
Sistem cadangan yang tidak pernah diuji hanya merupakan penyimpanan yang berharap.
Tim yang dapat pulih dengan baik tidak hanya memastikan bahwa pekerjaan cadangan selesai. Mereka membuktikan bahwa restorasi berhasil, bahwa data yang diperoleh dapat digunakan, dan bahwa kunci dekripsi, pengaturan koneksi, dan layanan yang terkait semua berada di tempat ketika dibutuhkan.
Program restorasi yang praktis termasuk:
- Latihan restorasi rutin ke lingkungan yang terisolasi.
- Verifikasi fungsi aplikasi setelah pemulihan database, bukan hanya restorasi file.
- Pengecekan ketersediaan kunci agar cadangan yang dienkripsi dapat dienkripsi.
- Ulasan akses pada sistem yang dipulihkan untuk mencegah data sensitif menjadi terlihat luas selama insiden.
Cadangan tidak menyelamatkan Anda. Pengembalian sukses menyelamatkan Anda.
Jika Anda hanya menguji pembuatan cadangan dan tidak pernah menguji pengembalian di bawah tekanan, maka Anda belum memvalidasi strategi pemulihan Anda. Anda telah memvalidasi bahwa file dapat mengumpul di suatu tempat.
Daftar Periksa Pengembang untuk Penyimpanan Database yang Aman
Ini adalah daftar periksa yang saya ingin tim menggunakan selama ulasan desain, ulasan rilis, dan pembersihan setelah insiden.
Desain
- Apakah kita telah mengidentifikasi lapangan sensitif secara jelas: data pribadi, bahan autentikasi, catatan keuangan, dan apa saja yang tunduk pada aturan penyimpanan.
- Apakah kita telah memutuskan apa yang tidak perlu disimpan: lapangan yang tidak diperlukan oleh fitur, dan salinan yang dapat dihindari oleh tim downstream.
- Apakah kita telah memetakan setiap tempat data akan hidup: produksi, pengujian, log, ekspor, sistem analitik, cadangan, dan perangkat klien.
Implementasi
- Apakah data dienkripsi saat istirahat dan dalam transit: untuk database, replika, dan jalur cadangan.
- Apakah peran aplikasi dan layanan ditetapkan dengan ketat: tidak ada superuser bersama untuk lalu lintas aplikasi normal.
- Apakah rahasia dan kunci enkripsi dihandle di luar code dan konfigurasi longgar: dengan akses yang dikendalikan dan auditabilitas.
- Apakah kita merekam akses sensitif dan perubahan hak istimewa: di tempat pusat yang dapat diakses oleh penjaga.
Operasi
- Apakah rotasi kunci dan tinjauan rahasia menjadi bagian dari operasi normal: tidak menjadi kerumunan tahunan.
- Do kita tes restore secara teratur: Inklusi dekripsi, aplikasi startup, dan tinjauan akses pada sistem yang diperoleh.
- Do kita audit penyebaran data secara terus-menerus: Salinan pengembangan, ekspor dukungan, dataset pengembangan, dan lokasi cadangan yang dilupakan.
Pemrosesan database yang aman bukanlah tahap proyek. Ini adalah disiplin yang berulang.
Pertanyaan yang Sering Diajukan
Apakah enkripsi default penyedia cloud cukup baik
Enkripsi default adalah dasar yang kuat, bukan strategi yang lengkap. Enkripsi default membantu melindungi media penyimpanan dan layanan yang dielola, tetapi tidak menyelesaikan akses yang berlebihan, dataset yang dicopy, kontrol cadangan yang lemah, atau pengelolaan kunci yang buruk.
Apakah enkripsi mengganggu kinerja database
Kadang-kadang, ya. Dampaknya tergantung pada pola. Enkripsi infrastruktur dan database biasanya memiliki kompleksitas aplikasi yang lebih sedikit. Enkripsi bidang memberikan kontrol yang lebih kuat untuk data yang dipilih, tetapi dapat memperumit indeks, filtering, dan pencarian. Ukur pada beban kerja Anda sebelum peluncuran luas.
Apakah ini berbeda untuk sistem SQL dan NoSQL
Prinsipnya tetap sama. Anda masih membutuhkan enkripsi, hak istimewa yang paling sedikit, auditing, pengelolaan kunci, dan pemulihan yang dites. Detail implementasi berbeda karena penyimpanan dokumen, penyimpanan nilai kunci, dan sistem relasional menampilkan model akses yang berbeda dan perilaku kueri.
Bagaimana tokenisasi berbeda dari enkripsi
Enkripsi mengubah data sehingga sistem yang diotorisasi dapat mengembalikan kunci yang tepat. Tokenisasi mengganti nilai sensitif dengan nilai pengganti dan menyimpan data asli terpisah. Tokenisasi dapat mengurangi paparan dalam alur kerja aplikasi, tetapi menambahkan kompleksitas desain sistem dan tidak menghilangkan kebutuhan untuk kontrol penyimpanan yang kuat.
Capgo membantu tim mengirimkan perbaikan ke Capacitor dan aplikasi Electron dengan cepat, dengan pengiriman bundle web yang ditandatangani, kontrol peluncuran, perlindungan rollback, dan observabilitas rilis. Jika rencana tanggap darurat Anda bergantung pada mendapatkan perbaikan sisi klien keluar cepat setelah kesalahan penyimpanan, autentikasi, atau API Capgo layak dievaluasi sebagai bagian dari sisi operasional pemulihan.
