Bugunlerde izledigimiz haberler gosteriyorki veritabanı guvenligi inanılmaz onemli bir konu. Bu konuda firmaların bakıs acılarını pek begenmiyorum. Benim gordugum kadarı ile firmalarımız guvenlik konusunda cok az yatırım yapıyorlar.
Bir firmadaki verilerin nekadar onemli oldugunu cokda fazla soylemeye gerek yok. Firmalarımız dusunmesi gereken en onemli konu ise bu tarz atakların nasıl oldugu ve bunlara onlem alınıp alınamayacagı.
Bu konuda yapılan arastırmaların gosterdigi firmaların ozelikle icerden yapılan ataklara karsı savunmasız olduklarıdır.Wikileaks skandalıda benim gordugum kadarı ile icerden gerceklestirilen bir saldırı.
Bircok firma firewall tarzı cesitli urunlerle dısardan yapılabilecek saldırılara onlem alınırken, bugun iceride calısan artniyetli bir personelin yapabileceklerini dusunmuyor bile.
Ozelikle konu veritabanı olunca olay dahada hassasiyet kazanıyor. Bir ornek vermek gerekirse bir bankada DBA'lik yapan bir kisi istedigi hesap bilgilerini gormesi son derece kolay bir olay.
Ozelikle DBA secerken bu kisilerin gecmis referanslarını arastırmalı ve guvenilir kisilerden DBA secilmesi ana kural olmalı.
Bugun kendi DBA ni dahi izleyebilen yada onun yetkilerini denetleyebilen TEK veritabanı Oracle'dır.
Ornek vermek gerekirse DBA bir tablo uzerinde performans artırımına yonelik index ekleyebilir ama tabloyu select edemez(içindeki kayıtları göremez). Bir tabloyu yaratan kisi daha sonradan bu tabloyu degistirmesini onleyebiliriz. Bu bahsettigim ozeliklerin cok daha fazlasını Database Vault urunu ile yapabiliyoruz.
Once Tecrubeli DBA'lerden birini Secadmin yapıyorsunuz. Daha sonra o bu konuda gerekli butun kuralları ayarlamaları yapıyor. Bu arada sec admin ayarlama yapmaya yetkisi var ama kendisinin tablolara bakma yetkisi yok. Tabi birde bu olayı Audit vault birlestirip yetkisiz yapılan yada yapılmaya calisan butun isleri izlemeye aldıgınızda sonuc cok net oluyor.
Guvenlik konusunda bir buyuk sıkıntıda performans. Ne kadar cok guvenlik belkide o kadar performans kaybı demektir. Bu islerin ortasını bulmak gereklidir.
Son olarak sunu soylemek isterim bu tarz saldırı sonucu bilgileri ortaya cıkan firmalara soruldugunda guvenli olduklarını dusunduklerinden eminim.
