İç güvenlik kullanıcılar ve veri tabanı ile ilgilidir.
Kullanıcıların şifreleri karmaşık ,kolay bulunabilecek şekilde verilmelidir. Büyük harf, sembol, noktalama işaretleri vb. gibi yöntemlerle zorlayıcı olmalıdır.
Dolayısıyla öncelikle iç tehditleri bertaraf etmek ve şeffaflığı sağlamak gerek, daha sonra dış tehditlere odaklanabiliriz.
Kullanıcıların yetkileri sınırlanlı olmalıdır. Bütün kullanıcılar (veri tabanı yöneticisi de dahil) istediği tabloya rahatça erişip veri çekememelidir.
Bu yetkileri yöneten, sınırlayan ve tanıyan kişi ile veri tabanının idaresinden sorumlu olan kişilerin farklı olması çok daha güvenli olacaktır. Aksi halde varsayılan olarak bir veri tabanı yöneticisi dilediği tabloya ve bilgiye erişebilir. Bu da çok güveli bir yöntem olarak düşünlemez.
Veri tabanında bulunan ve uzun zamandır giriş yapmamış kullanıcılar düşürülmelidir, silinmelidir. Bunu bir güvenlik açığı olarak tanımlarız.
Hele ki bu kullanıcılarda geniş yetkiler varsa ve şifreleri de kolay tahmin edilebilirse müthiş bir güvenlik açığı oluştururlar.
Veri tabanındaki veritabanı işlemleri (transaction) kaydedilmelidir. Belki hepsi değil ama özellikle kritik tablolarda gereklidir.
Kim, ne zaman hangi tabloya, hangi sorguyu gönderdi, hangi tablodan, hangi verileri sildi, bu işlemi ne zaman yaptı, neyi güncelledi gibi soruların yanıtının verilmesi gereken işlemlerin tarihçesi mutlaka tutulmalıdır. Daha sonra da anlaşılabilir olması düşünülerek raporlanmalıdır.
Bir veri tabanı yöneticisi, veri tabanının içine kaydedilen bu bilgileri bilerek yada bilmeyerek silebilir. İşte bu sebeple işlemler işletim sistemine (OS) yazılmalıdır. OS, yani işletim sistemi, başka birisi tarafından yönetildiğinden, veri tabanı yöneticisi bile ters bir işlem yapsa, bu kaydedilir.
İşletim sistemine kaydolunan bu bilgileri bir veri tabanı yöneticisi silemeyebilir. Böyle olduğundan tam iç güvenlikten söz edebiliriz.
Veri tabanını yedeklenirken AES şifreleme ile yedeklemeli ve olası kayıplarda verilerin görüntülenmesi engellenmelidir.
Duruma göre Kurum içi ağın da şifrelenmesi gerekebilir. Böylelikle veri aktarımı sırasında oluşacak kayıpların önüne geçilebilir.
Pentest nedir? Penetrasyon ve Sızma Testi Nasıl Yapılır?
Pentest nedir? Penetrasyon ve Sızma Testi Nasıl Yapılır?
Dış Veri Tabanı Güvenlik
Veri tabanına kurum dışından gelecek tüm tehditleri kapsamaktadır.
Bir veri tabanı internete açıksa, dış tehditlere de açık demektir.
Yapılan bilimsel araştırmalar gösteriyor ki bir veri tabanında hırsızlık olduğunda bu, %80 oranında içeriden, %20 dışarıdan tehditle.
Dışarıdan gelebilecek tehditlere karşı mutlaka bir SQL güvenlik durumu olması gerekiyor. SQL’in yapısı anlık olarak incelenmelidir.
SQL injection olarak bilinen bir saldırı ile veri tabanına dışarıdan girerek, içerideki açıkları bulup, veri hırsızlığı yapılabiliyor.
SQL injection’da yapısı bozuk SQL geldiğinden ve veri tabanı bunu varsayılan olarak anlamadığından güvenlik çin araya yazılımlar konumluyoruz.
Bütün bunları göz önünde bulundurarak çalışan bir kurum sorgulanabilir, açık saydam denilebilir bir durumdadır. Hem kendini, hem de çalışanlarını korur.
işte bu noktada bulut olarak adlandırılan depolamam bilişim sistemleriakla geliyor. Bu sistemlerin bugün tüm dünyada yaygınlaşmasının sebebi de işte budur, hesap verilebilirlik.
İşte bu işlemler Karya Teknoloji ve Danışmanlık Hizmetleri AŞ. tarafından sağlandığından ve sözleşme altında olduğundan bir sıkıntı çıkmaz.
Son zamanlarda firmalar için büyük önem kazanmaya başlayan bir çok konuyu da göz önğnde bulundurursak veri güvenliği, KVKK (Kişisel Verilerin Korunumu Kanunu) uyumunda, olası felaketlere karşı Dİsaster Recovery DR (Felaket Korunumu) ve daha bir çok konudan yola çıkarak önem kazanmıştır.
