Multimolnmiljö är en vanlig topologi och rekommenderas till och med för en Disaster Recovery Plan (DRP), men säkerheten kan vara en risk här eftersom du behöver lägga till en extra punkt till de vanliga säkerhetskontrollerna eller mer än en för att säkerställa dina data i flera molnmiljöer.
I den här bloggen kommer vi att nämna några av de vanligaste säkerhetskontrollerna i en PostgreSQL-miljö som körs i molnet, och vad du behöver ta hänsyn till när du använder en multimolnmiljö.
Säkerhetskontroller för PostgreSQL i molnet
Låt oss se några av de vanligaste säkerhetskontrollerna för en PostgreSQL-databas i en molnmiljö.
Kontrollera databasåtkomst
Du måste begränsa fjärråtkomsten till endast de nödvändiga personerna och från minsta möjliga mängd källor. Att använda ett VPN för att komma åt det är definitivt användbart här, men det finns också andra alternativ som SSH Tunneling eller Firewall Rules.
Hantera databasanvändarkonton
Det finns många sätt att förbättra säkerheten för dina användarkonton.
-
Ta bort inaktiva användare.
-
Ge endast de nödvändiga behörigheterna till de nödvändiga användarna.
-
Begränsa källan för varje användaranslutning.
-
Definiera en säker lösenordspolicy.
Säkra installationer och konfigurationer
Det finns några ändringar att göra för att säkra din databasinstallation.
-
Installera endast nödvändiga paket och tjänster på servern.
-
Ändra standardadminanvändarlösenordet och begränsa användningen från endast den lokala värden.
-
Ändra standardporten och ange gränssnittet att lyssna i.
-
Aktivera granskningsplugin.
-
Konfigurera SSL-certifikat för att kryptera data under transport.
-
Kryptera data-at-rest.
-
Konfigurera den lokala brandväggen så att den endast tillåter åtkomst till databasporten från det lokala nätverket eller från motsvarande källa.
Om du använder en hanterad databas kommer vissa av dessa punkter inte att vara möjliga.
Implementera en WAF (Web Application Firewall)
SQL-injektioner eller DoS-attacker (Denial of Service) är de vanligaste attackerna mot en databas, och det säkraste sättet att undvika dem är att använda en WAF för att fånga den här typen av SQL-frågor eller en SQL Proxy för att analysera trafiken.
Håll ditt operativsystem och din databas uppdaterade
Det finns flera korrigeringar och förbättringar som databasleverantören eller operativsystemet släpper för att fixa eller undvika sårbarheter. Det är viktigt att hålla ditt system så uppdaterat som möjligt genom att installera patchar och säkerhetsuppgraderingar.
Kontrollera CVE (Common Vulnerabilities and Exposures) ofta
Varje dag upptäcks nya sårbarheter för din databasserver. Du bör kontrollera det ofta för att veta om du behöver applicera en patch eller ändra något i din konfiguration. Ett sätt att veta det är genom att granska CVE-webbplatsen, där du kan hitta en lista över sårbarheter med en beskrivning, och du kan leta efter din databasversion och leverantör för att bekräfta om det finns något viktigt att fixa ASAP.
Säkerhetskontroller för PostgreSQL i en miljö med flera moln
Förutom de kontroller som nämns ovan är det viktigaste att säkra i en multimolnmiljö kommunikationen mellan molnleverantörerna.
Av säkerhetsskäl måste kommunikationen mellan molnleverantörerna vara krypterad, och du måste begränsa trafiken endast från kända källor för att minska risken för obehörig åtkomst till ditt nätverk.
Användningen av VPN-, SSH- eller brandväggsregler, eller till och med en kombination av dem, är ett måste för denna punkt. Du måste begränsa trafiken endast från kända källor, alltså endast från Cloud Provider 1 till Cloud Provider 2 och vice versa.
Slutsats
Din multimolnmiljö blir säkrare genom att kontrollera punkterna ovan, men tyvärr finns det alltid en risk att bli hackad eftersom det inte finns ett 100 % säkert system.
Nyckeln här är att minimera denna risk, och för det bör du regelbundet köra säkerhetsskanningsverktyg som Nessus, leta efter sårbarheter och att ha ett bra övervakningssystem som ClusterControl, som inte bara låter dig ha ditt system övervakat, utan också återställ dina system automatiskt i händelse av fel, eller ställ till och med snabbt in replikering i en multimolnmiljö och hantera installationen på ett enkelt och vänligt sätt.