この記事は、4月9日のウェビナーのグラフィックバージョン-MySQL SecuritySolutionsです。
これには主に3つの側面が含まれます。
-
セキュリティの課題に直面します。
-
MySQLのセキュリティ機能。
- 機能デモンストレーションの一部。
データの爆発的な増加に伴い、セキュリティはユーザーにとって最優先事項になり、データはユーザーの最も重要な資産になりました。
このページには、データベースが直面するリスクのすべての側面が含まれています。
構成の欠如:データベースのセキュリティ関連の構成がリセットされていないことを示します。デフォルト値または不適切な構成が使用されています。解決策は、デフォルトの構成と制御を変更することです。
特権アカウント:データベースには複数の特権アカウントがあり、このアカウントの権限が多すぎるため、誤操作が大きな影響を及ぼします。解決策は、権限ポリシー、つまり権限の最小化の原則を策定し、ユーザーに適切な権限を一致させることです。
弱いアクセス制御:専用の管理アカウントが設定されておらず、アカウント属性があいまいです。クエリ作業の実行中に、管理作業も実行されます。解決策は、専用の管理アカウントを設定し、管理アカウントとアプリケーションアカウントに異なる権限を設定することです。
弱い認証:ログインアカウントのパスワードは単純で、長期間変更されないなどです。解決策は、「強力なパスワード」を適用し、それらを定期的にローテーションすることです。
弱い監査:規則や規制の要件を満たしていないため、監査や関連する監査戦略はありません。解決策は、コンプライアンス要件と監査ポリシーに従って関連する監査レコードを構成することです。
暗号化の欠如:データ、バックアップ、およびネットワーク送信を含むリンクの暗号化の欠如により、データ漏洩が発生します。解決策は、データ送信のすべての側面で暗号化を使用することです。
正しい資格情報とキーの管理:暗号化に使用される資格情報とキーが要件に従って保持されていないため、キーが失われたり使用できなくなったりします。解決策は、特別なキーストレージツールを使用してキーと資格情報を保存することです。
安全でないバックアップ:バックアップは暗号化やその他の手段を使用していないため、バックアップデータの漏洩につながります。解決策は、バックアップデータを暗号化することです。
監視なし:システムの監視手段は実行されず、後で検出されます。解決策は、適切な監視システムを使用して、セキュリティ、ユーザー、オブジェクトなどを監視することです。
弱いアプリケーションコーディング:アプリケーションコーディングの経験が不十分で、クエリステートメントに厳密な制限がないため、予期しないクエリステートメントがデータベースに入力されます。解決策は、ファイアウォールを使用してホワイトリスト外のクエリをブロックすることです。
データベースのセキュリティリスクに加えて、データを保持する組織は、データおよび情報保護に関する法律や規制のますます高まる要件に対応する必要があります。世界的に、データ保護、特に個人データ保護は規制要件を強化しています。たとえば、2018年末に開始されたGDRP、中国のサイバー情報セキュリティ法は、近年、セキュリティ仕様とガイドラインを補完し続けており、常設委員会は2019年12月に発表された国民会議の中で、個人データの保護とセキュリティに関する法律の制定は次の立法年度の優先事項であり、中国が近い将来に関連する法律を導入することを示しています。
このページには、現在の国際コンプライアンス要件が表示されます。国際的な事業組織がある場合は、違法な操作を避けるために、関連する法的要件に注意してください。
上記の内容は、データベースが直面する課題とコンプライアンスの要件です。データベースのセキュリティを確保するにはどうすればよいでしょうか。
データベースのセキュリティは、評価、防止、検出、および回復の4つの側面を通じて保証されます。これは一般的な方法です。評価とは、リスクと脆弱性を特定し、必要なセキュリティ制御が正しくインストールされていることを確認することを意味します。防止とは、暗号化アルゴリズム、ユーザー制御、アクセス制御、およびその他の手段を使用して***を可能な限り防止することを意味します。検出とは、監査、監視、および警告ライトを使用して、まだ存在している可能性のあるデータの侵入を検出することを意味します。回復とは、セキュリティインシデントが発生した場合に、サービスが中断されないようにすることもできることを意味します。また、セキュリティインシデントを実証し、その後、セキュリティの脆弱性が解決されたことを確認する必要があります。
この方法論に対応して、MySQLは次のセキュリティ機能を提供します。
次の図は、MySQLのエンタープライズバージョンのセキュリティアーキテクチャの全体的な概要です。
次に、このアーキテクチャの詳細を1つずつ紹介します。
MySQL8.0以降、コミュニティバージョンとエンタープライズバージョンはOpenSSLを使用します。ライセンスの問題により、コミュニティバージョンはOpenSSLを使用できませんでした。この問題は8.0で解決されました(OpenSSLは8.0.18のすべてのバージョンで使用されていました)。OpenSSLを使用すると、1.0から1.3までのさまざまなTLSプロトコルをサポートできます。また、Facebookの貢献に基づいて、SLLの動的オプションは、サーバーを再起動せずに証明書の更新をサポートできます。
8.0でOpenSSLを使用する利点には、次のようなものがあります。アップグレードせずにパッチを適用することをサポートする最適化されたOpenSSLライブラリを使用する。さらに、OpenSSLベースのFIPSオブジェクトモジュールは、FIPS(Federal Information Processing Standards)要件を満たすために、機密性、統合、および情報要約サービスを提供するために使用されます。
TDE暗号化はバージョン5.7から始まり、バージョン5.7はテーブルスペースファイルの暗号化にのみ適用され、8.0はそれをログの暗号化に拡張します。TDE機能のデモンストレーションは次のとおりです。
8.0では、管理専用のポートが追加されています。このポートを使用すると、DBAはサーバーにログインして、最大接続数に制限されることなく接続を管理できます。
system_user権限のセットが追加されました。主な目的は、権限を調整し、一般ユーザーが過度の権限を持たないようにすることです。この権限を持つユーザーは、次の要件をコピーして管理します。
8.0.16は、MySQLのパーミッションをより細かく管理できるいくつかのパーミッションを取り消す機能を追加します。
ロール関数は、MySQLのアクセス制御を改善できます。
MySQL8.0以降、パスワードはデフォルトでSHA2キャッシュを使用するため、接続が高速になります。
さらに、パスワードの変更とアプリケーション層へのプッシュの間の同期の問題を解決するために、ダブルパスワード機能が追加されました。
MySQLパスワードポリシーには、次のものを含めることができます。
次に、KeyringAPIを紹介します
エンタープライズバージョンのTDE機能を含め、このAPIに基づいて実装されています。このAPIを使用すると、キーをホストまたは専用のキーボールトに保存できます。最新のKeyringAPIはHashiCopVaultをサポートしています
キーリングを使用してキーを管理できます。これは、次のシナリオに適しています。
キーリングを使用して、ディスク、テーブルスペース、ログなどに保存されているデータを暗号化します。キーを暗号化ファイル(Enterprise Edition)として保存するか、専用のキーボールトを使用できます。
データシールドおよび識別防止機能は、機密データをシールドおよび匿名化し、機密情報を削除し、法規制の要件を満たすことができます。
機密データのシールドに加えて、テスト用にランダムデータを生成することもでき、ランダムデータはカスタム辞書の使用をサポートします。
MySQL Enterprise Editionの監査機能は、すぐに使用できる、接続の記録、ログイン、クエリログ、およびその他の関連コンテンツをサポートします。
MySQL Enterprise Edition認証機能は、認証を一元化し、管理インフラストラクチャを統合できます。
LDAP認証をサポートします。
最後に、MySQLファイアウォールを紹介します。ファイアウォールは、リストに記録されたステートメントをホワイトリストの形式でサーバーからブロックします。これにより、SQLインジェクションを防ぐことができます***。また、SQLを検出して警告を発行するための***検出システムとして使用できます。
ファイアウォールに関するデモを以下に示します。
MySQL Enterprise Editionの全機能とセキュリティを上の図に示します。興味のある方は、https://edelivery.oracle.com/で試用版をダウンロードして試すことができます。