Распределенная система нуждается в дополнительных мерах безопасности, чем централизованная система, поскольку в ней много пользователей, разнообразных данных, нескольких сайтов и распределенного управления. В этой главе мы рассмотрим различные аспекты безопасности распределенных баз данных.
В распределенных системах связи существует два типа злоумышленников —
-
Пассивные перехватчики — они отслеживают сообщения и получают конфиденциальную информацию.
-
Активные злоумышленники — они не только отслеживают сообщения, но и повреждают данные, вставляя новые данные или изменяя существующие данные.
Пассивные перехватчики — они отслеживают сообщения и получают конфиденциальную информацию.
Активные злоумышленники — они не только отслеживают сообщения, но и повреждают данные, вставляя новые данные или изменяя существующие данные.
Меры безопасности охватывают безопасность связи, безопасность данных и аудит данных.
Безопасность связи
В распределенной базе данных происходит много обмена данными благодаря разнообразному расположению данных, пользователей и транзакций. Таким образом, это требует безопасного взаимодействия между пользователями и базами данных, а также между различными средами баз данных.
Безопасность в общении включает следующее:
-
Данные не должны быть повреждены во время передачи.
-
Канал связи должен быть защищен как от пассивных перехватчиков, так и от активных атакующих.
-
Для достижения вышеуказанных требований должны быть приняты четко определенные алгоритмы и протоколы безопасности.
Данные не должны быть повреждены во время передачи.
Канал связи должен быть защищен как от пассивных перехватчиков, так и от активных атакующих.
Для достижения вышеуказанных требований должны быть приняты четко определенные алгоритмы и протоколы безопасности.
Две популярные, последовательные технологии для обеспечения сквозной безопасной связи:
- Протокол защищенного сокета или протокол безопасности транспортного уровня.
- Виртуальные частные сети (VPN).
Безопасность данных
В распределенных системах крайне важно принять меры для защиты данных помимо связи. Меры безопасности данных —
-
Аутентификация и авторизация — это меры контроля доступа, принятые, чтобы гарантировать, что только аутентичные пользователи могут использовать базу данных. Для обеспечения аутентификации используются цифровые сертификаты. Кроме того, вход в систему ограничен комбинацией имени пользователя и пароля.
-
Шифрование данных . Два подхода к шифрованию данных в распределенных системах:
-
Подход с внутренней к распределенной базе данных: пользовательские приложения шифруют данные и затем сохраняют зашифрованные данные в базе данных. Для использования сохраненных данных приложения извлекают зашифрованные данные из базы данных и затем дешифруют их.
-
Внешняя по отношению к распределенной базе данных. Система распределенных баз данных имеет свои собственные возможности шифрования. Пользовательские приложения хранят данные и извлекают их, не осознавая, что данные хранятся в зашифрованном виде в базе данных.
-
-
Подтвержденный ввод — в этой мере безопасности пользовательское приложение проверяет каждый ввод, прежде чем его можно будет использовать для обновления базы данных. Не подтвержденный ввод может вызвать широкий спектр эксплойтов, таких как переполнение буфера, внедрение команд, межсайтовый скриптинг и повреждение данных.
Аутентификация и авторизация — это меры контроля доступа, принятые, чтобы гарантировать, что только аутентичные пользователи могут использовать базу данных. Для обеспечения аутентификации используются цифровые сертификаты. Кроме того, вход в систему ограничен комбинацией имени пользователя и пароля.
Шифрование данных . Два подхода к шифрованию данных в распределенных системах:
Подход с внутренней к распределенной базе данных: пользовательские приложения шифруют данные и затем сохраняют зашифрованные данные в базе данных. Для использования сохраненных данных приложения извлекают зашифрованные данные из базы данных и затем дешифруют их.
Внешняя по отношению к распределенной базе данных. Система распределенных баз данных имеет свои собственные возможности шифрования. Пользовательские приложения хранят данные и извлекают их, не осознавая, что данные хранятся в зашифрованном виде в базе данных.
Подтвержденный ввод — в этой мере безопасности пользовательское приложение проверяет каждый ввод, прежде чем его можно будет использовать для обновления базы данных. Не подтвержденный ввод может вызвать широкий спектр эксплойтов, таких как переполнение буфера, внедрение команд, межсайтовый скриптинг и повреждение данных.
Аудит данных
Система безопасности базы данных должна обнаруживать и отслеживать нарушения безопасности, чтобы определить меры безопасности, которые она должна принять. Часто очень трудно обнаружить нарушение безопасности во время происшествия. Одним из способов выявления нарушений безопасности является проверка журналов аудита. Журналы аудита содержат такую информацию, как —
- Дата, время и место неудачных попыток доступа.
- Детали успешных попыток доступа.
- Жизненно важные изменения в системе баз данных.
- Доступ к огромным объемам данных, особенно из баз данных на нескольких сайтах.
Вся вышеуказанная информация дает представление о деятельности в базе данных. Периодический анализ журнала помогает выявить любую неестественную активность наряду с ее местом и временем возникновения. Этот журнал идеально хранится на отдельном сервере, чтобы он был недоступен для злоумышленников.