DDBMS - ความปลอดภัยในฐานข้อมูลแบบกระจาย

ระบบแบบกระจายจำเป็นต้องมีมาตรการรักษาความปลอดภัยเพิ่มเติมมากกว่าระบบรวมศูนย์เนื่องจากมีผู้ใช้จำนวนมากข้อมูลที่หลากหลายมีหลายไซต์และการควบคุมแบบกระจาย ในบทนี้เราจะพิจารณาแง่มุมต่างๆของการรักษาความปลอดภัยฐานข้อมูลแบบกระจาย

ในระบบการสื่อสารแบบกระจายผู้บุกรุกมีสองประเภท -

  • Passive eavesdroppers - พวกเขาตรวจสอบข้อความและรับข้อมูลส่วนตัว

  • Active attackers - พวกเขาไม่เพียง แต่ตรวจสอบข้อความ แต่ยังทำให้ข้อมูลเสียหายโดยการแทรกข้อมูลใหม่หรือแก้ไขข้อมูลที่มีอยู่

มาตรการรักษาความปลอดภัยครอบคลุมถึงความปลอดภัยในการสื่อสารความปลอดภัยในข้อมูลและการตรวจสอบข้อมูล

ความปลอดภัยในการสื่อสาร

ในฐานข้อมูลแบบกระจายการสื่อสารข้อมูลจำนวนมากเกิดขึ้นเนื่องจากตำแหน่งของข้อมูลผู้ใช้และธุรกรรมที่หลากหลาย ดังนั้นจึงต้องการการสื่อสารที่ปลอดภัยระหว่างผู้ใช้และฐานข้อมูลและระหว่างสภาพแวดล้อมฐานข้อมูลที่แตกต่างกัน

ความปลอดภัยในการสื่อสารครอบคลุมดังต่อไปนี้ -

  • ข้อมูลไม่ควรเสียหายระหว่างการโอน

  • ช่องทางการสื่อสารควรได้รับการปกป้องจากทั้งผู้ดักฟังแฝงและผู้โจมตีที่ใช้งานอยู่

  • เพื่อให้บรรลุข้อกำหนดข้างต้นควรใช้อัลกอริทึมและโปรโตคอลด้านความปลอดภัยที่กำหนดไว้อย่างดี

สองเทคโนโลยีที่เป็นที่นิยมและสอดคล้องกันเพื่อให้บรรลุการสื่อสารที่ปลอดภัยแบบ end-to-end ได้แก่ -

  • Secure Socket Layer Protocol หรือ Transport Layer Security Protocol
  • เครือข่ายส่วนตัวเสมือน (VPN)

ความปลอดภัยของข้อมูล

ในระบบแบบกระจายมีความจำเป็นที่จะต้องใช้มาตรการเพื่อรักษาความปลอดภัยข้อมูลนอกเหนือจากการสื่อสาร มาตรการรักษาความปลอดภัยของข้อมูลคือ -

  • Authentication and authorization- นี่คือมาตรการควบคุมการเข้าถึงที่ใช้เพื่อให้แน่ใจว่าเฉพาะผู้ใช้ที่แท้จริงเท่านั้นที่สามารถใช้ฐานข้อมูลได้ ในการจัดเตรียมใบรับรองดิจิทัลสำหรับการรับรองความถูกต้อง นอกจากนี้การเข้าสู่ระบบถูก จำกัด โดยการรวมชื่อผู้ใช้ / รหัสผ่าน

  • Data encryption - สองแนวทางในการเข้ารหัสข้อมูลในระบบกระจายคือ -

    • แนวทางฐานข้อมูลแบบกระจายภายใน: แอ็พพลิเคชันผู้ใช้เข้ารหัสข้อมูลจากนั้นจัดเก็บข้อมูลที่เข้ารหัสไว้ในฐานข้อมูล สำหรับการใช้ข้อมูลที่จัดเก็บไว้แอปพลิเคชันจะดึงข้อมูลที่เข้ารหัสจากฐานข้อมูลแล้วถอดรหัส

    • ภายนอกไปยังฐานข้อมูลแบบกระจาย: ระบบฐานข้อมูลแบบกระจายมีความสามารถในการเข้ารหัสของตัวเอง แอปพลิเคชันของผู้ใช้จะจัดเก็บข้อมูลและเรียกค้นโดยไม่ทราบว่าข้อมูลนั้นถูกเก็บไว้ในรูปแบบที่เข้ารหัสในฐานข้อมูล

  • Validated input- ในมาตรการรักษาความปลอดภัยนี้แอปพลิเคชันผู้ใช้จะตรวจสอบอินพุตแต่ละรายการก่อนจึงจะสามารถใช้ในการอัปเดตฐานข้อมูลได้ อินพุตที่ไม่ผ่านการตรวจสอบความถูกต้องอาจทำให้เกิดช่องโหว่ที่หลากหลายเช่นการบุกรุกบัฟเฟอร์การแทรกคำสั่งการเขียนสคริปต์ข้ามไซต์และความเสียหายในข้อมูล

การตรวจสอบข้อมูล

ระบบรักษาความปลอดภัยของฐานข้อมูลจำเป็นต้องตรวจจับและตรวจสอบการละเมิดความปลอดภัยเพื่อยืนยันมาตรการรักษาความปลอดภัยที่ควรนำมาใช้ มักเป็นเรื่องยากมากที่จะตรวจพบการละเมิดความปลอดภัยในขณะที่เกิดเหตุการณ์ วิธีหนึ่งในการระบุการละเมิดความปลอดภัยคือการตรวจสอบบันทึกการตรวจสอบ บันทึกการตรวจสอบประกอบด้วยข้อมูลเช่น -

  • วันที่เวลาและไซต์ของการพยายามเข้าถึงที่ล้มเหลว
  • รายละเอียดความพยายามในการเข้าถึงที่ประสบความสำเร็จ
  • การปรับเปลี่ยนที่สำคัญในระบบฐานข้อมูล
  • การเข้าถึงข้อมูลจำนวนมากโดยเฉพาะจากฐานข้อมูลในหลายไซต์

ข้อมูลทั้งหมดข้างต้นให้ข้อมูลเชิงลึกเกี่ยวกับกิจกรรมในฐานข้อมูล การวิเคราะห์บันทึกเป็นระยะจะช่วยในการระบุกิจกรรมที่ผิดธรรมชาติพร้อมทั้งไซต์และเวลาที่เกิดขึ้น บันทึกนี้ถูกเก็บไว้ในเซิร์ฟเวอร์แยกต่างหากเพื่อให้ผู้โจมตีไม่สามารถเข้าถึงได้