Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Veritabanı güvenliği, çok çeşitli bilgi güvenliği kontrollerinin kullanımı ile ilgilidir ve veri tabanlarınının(imkân dahilinde verileri, veritabanı uygulamalarını veya kayıt edilmiş işlevleri(stored function), veri tabanı sistemlerini, veritabanı sunucularını ve ilişkili ağ bağlantılarını içerir.) gizliliğini, bütünlüğünü ve erişilebilirliğini saldırılara karşı korur. Teknik, idari, yargı ve fiziksel gibi çeşitli türde ve kategoride kontroller veritabanı güvenliği kapsamı içerisine girer. bilgisayar güvenliği, bilgi güvenliği ve risk yönetimi alanları içerisinde, veritabanı güvenliği uzmanlık gerektiren bir konudur.
Veritabanı sistemlerine yönelik güvenlik riskleri şunları içerir.
- Yetkili veritabanı kullanıcıları, Veritabanı yöneticileri, ağ/sistem yöneticileri, yetkisiz kullanıcılar ya da bilgisayar korsanları tarafından yanlış kullanılması veya bu kişiler tarafından yapılan istenmeyen davranışlar (örneğin veri tabanlarındaki kritik verilere, meta verilere veya işlevlere uygun olmayan erişim ya da veritabanı programlarında, yapılarında veya güvenlik konfigürasyonlarında uygun olmayan değişiklikler);
- Zararlı yazılım etkileri, yetkisiz erişim, kişisel ve şahsi verilerinin sızdırılması veya ifşa edilmesi, verilerin ve programların silinmesi veya hasar alması, veritabanına yetkili erişimin kesilmesi veya reddedilmesi, diğer sistemlere yapılan saldırılar ve veritabanı hizmetlerinin beklenmeyen başarısızlıklara neden olan olaylara yol açan zararlı yazılım enfeksiyonları;
- Fazla yüklenmeler, performans kısıtlamaları ve kapasite sorunlarından dolayı, yetkili kullanıcıların veritabanlarını amaçlandığı gibi kullanamamaları;
- Bilgisayar odasında oluşabilecek yangınlar, seller, aşırı ısınmalar, aydınlatmalar, kaza sonucu sıvı dökülmeleri, statik elektrik boşalmaları, elektronik arızalar/ ekipman arızaları ve eskimeler gibi veritabanı sunucusuna fiziksel hasar veren durumlar;
- Veritabanları içerisindeki program açıkları ve tasarım hataları, ilişkili programların ve sistemlerin oluşturduğu çeşitli güvenlik açıkları(örneğin yetkisiz hak artırma), veri kayıpları/ bozulmaları, performans düşüşleri vb.;
- Geçersiz veri veya komutların girilmesinden kaynaklanan veri bozulması ve/veya kaybı, veritabanı veya sistem yönetim süreçlerinde yapılan hatalar, sabotaj/kriminal hasar vb.
sıklıkla, doğaları gereği büyük veri tabanlarının, güvenlik ihlallerinden dolayı istismardan asla kurtulamayacağını söylerdi. Eğer erişim kolaylığı için büyük bir sistem tasarlanırsa, bu güvensiz olur. Eğer su geçirmez hale getirilirse, kullanmak imkânsız hale gelir. Bu bazen Anderson Kuralı olarak bilinir.
Bilgi güvenliği kontrolünün veritabanlarına uygun birçok türü ve katmanları vardır.
- Erişim kontrolü
- Denetim
- Kimlik doğrulama
- Şifreleme
- Bütünlük kontrolleri
- Yedekleri
- Uygulama güvenliği
Veritabanları, güvenlik duvarları gibi ağ güvenliği önlemleri ve ağ tabanlı saldırı tespit sistemleri aracılığıyla bilgisayar korsanlarına karşı büyük oranda güvence altına alınmıştır. Bu bağlamda ağ güvenlik kontrolleri önemli olmasına karşın, veritabanı sistemlerinin kendilerini, programlarını/fonksiyonlarını ve onların içerisindeki verilerini koruması tartışmalı bir şekilde daha kritik hale geliyor. Çünkü özellikle de internet erişimden dolayı ağlar gittikçe daha geniş erişime açılıyor.Ayrıca sistem, program, fonksiyon ve veri erişim kontrolleri, ilişkili olarak kullanıcı tanımlama, kimlik doğrulama ve hak yönetimi işlevleri, yetkili kullanıcıların ve yöneticilerin faaliyetlerini sınırlamak ve log kayıtlarını tutmak için her zaman önem taşımaktadır. Diğer bir deyişle bunlar olduğu yerde hem içten dışa hem de dıştan içe çalışan, veritabanı güvenliğine tamamlayıcı yaklaşımlardır.
Birçok organizasyon kendi “baseline(temel)(diğer güvenlik standartlara alt yapı sağlayacak temel)” güvenlik standartlarını geliştirir ve kendi veritabanı sistemleri için temel güvenlik kontrol önlemlerini detaylandırarak tasarlar. Bunlar, kurumsal bilgi güvenlik politikaları ve genel olarak kabul görmüş, iyi veritabanı güvenlik uygulamaları(altında yatan sistemlerin uygun bir şekilde güçlendirilmesi gibi) ve muhtemelen ilgili veritabanı sisteminden ve yazılım satıcılarından gelen güvenlik önlemleri ile birlikte yürürlükte bulunan kanunlar ve yönetmelikler (ör. gizlilik, finansal yönetim ve raporlama sistemlerine ilişkin) tarafından maruz bırakılmış genel bilgi güvenliği gereksinimlerini veya yükümlülüklerini yansıtabilir. Belirli veritabanı sistemlerine ilişkin güvenlik tasarımları, genellikle, veritabanı programları ve işlevleri (örn. veri girişi doğrulama ve denetim geçmişleri) içerisindeki çeşitli işe ilişkin bilgi güvenlik kontrolleri ile birlikte, daha fazla güvenlik yönetimi ve yönetme işlevlerini(Kullanıcı erişim haklarının yönetimi ve raporlanması, log yönetimi ve analizi, veritabanı kopyalama/ senkronizasyon ve yedeklemeler gibi) belirtmektedir. Ayrıca, çeşitli güvenlikle ilgili faaliyetler (manuel kontroller) normalde, veritabanı tasarımı, geliştirilmesi, konfigürasyonu, kullanımı, yönetimi ve devam ettirilmesi ile ilgili prosedürlere, yönergelere vb. dahil edilir.
Ayrıcalıklar
Veri tabanı ortamında veritabanı güvenliğine ilişkin iki ayrıcalık türü önemlidir. Bunlar Sistem ve Nesne ayrıcalıklarıdır.
Sistem Ayrıcalıkları
Sistem ayrıcalıkları, bir kullanıcının bir veritabanında yönetime ilişkin işlemleri yapmasına izin verir. Bunlar, veritabanı oluşturma, prosedür oluşturma, yedek veritabanı oluşturma, tablo oluşturma, tetikleyici oluşturma ve çalıştırma ayrıcalıklarını(SQL server da olduğu gibi) içerir.
Nesne Ayrıcalıkları
Nesne ayrıcalıkları, veritabanı nesneleri üzerindeki belirli işlemleri başka bir kullanıcı tarafından yetkilendirilmiş olarak kullanmaya izin verir. Kullanım, seçim, ekleme, güncelleme ve referanslar örnek olarak verilebilir. –
En az Ayrıcalık İlkesi ve Görevlerin Ayrımı:
Veritabanları iç yönetim kapsamına girmektedir. Yani, kamusal raporlama, yıllık raporlar vb. için kullanılan veriler görev ayrımına bağlıdır. Bu anlamda geliştirme ile üretim arasında görev ayrımı yapılmalıdır. Her görev, gerçek kodu yazmayan üçüncü bir kişi tarafından (kod incelemesi ile) onaylanmalıdır.Veritabanı geliştiricisi, gerçekleştirilmekte olan işin belgelerine ve kodlarına ilişkin bağımsız bir inceleme yapmadan üretimde herhangi bir şey yürütememelidir. Tipik olarak geliştiricinin rolü, bir DBA (Oracle veri tabanı yöneticisi) 'ya kod aktarmaktır ancak ekonomik çöküşten kaynaklanan kesintiler göz önüne alındığında bir DBA hazır olmayabilir. Bir DBA’ya kod aktarımı yapılamazsa, en azından bir eşdüzey DBA nin kod incelemesi yapması önemlidir. Bu, geliştiricinin rolünün açıkça ayrı olmasını sağlar.
İç yönetimin bir diğer noktası, özellikle üretimde en az ayrıcalık sağlama ilkesine bağlılıktır. Geliştiricilerin çalışmalarını tamamlamaları için daha fazla erişime ihtiyaç duymaları halinde kimliğe bürünme yöntemi (impersonation)(örneğin, geçici olarak bir şey yapmak için EXECUTE AS veya sudo) kullanılır. Bu tarz yükseltilmiş haklar gerektiren isteklerde kimliğe bürünme kullanımı daha güvenlidir.Çoğu zaman geliştiriciler, kod yazılarak zafere gidilen yolda bunun ek yük(“overhead”) olmasını göz ardı ederler. Bununla birlikte, DBA’lar sorumlu olduğu düşünülen her şeyi yapmak zorundadırlar çünkü bunlar, organizasyonun “de facto” veri sorumlusudur; düzenlemeye ve yasalara uymak zorundadırlar.
Risk ve Uyumluluk Yönetiminde Güvenlik Açığı Değerlendirmeleri
Veritabanı güvenliğini değerlendirmek için güvenlik açığı değerlendirmeleri veya veritabanına karşı sızma testleri içeren bir teknik kullanılır. Test yapan kişiler sistemi tehlikeye atabilen, veritabanına zorla girebilen, güvenlik kontrollerini atlatabilen veya geçmeyi başarabilen güvenlik açıklarını bulmaya çalışırlar. Veritabanı yöneticileri veya bilgi güvenliği yöneticileri, mesela veritabanı yazılımındaki bilinen açıklıklar ile birlikte yukarıda bahsedilen katmanlardaki kontrollerin yanlış yapılandırılmasını (genellikle “sapma”(drift) olarak adlandırılır.) araştırmak için otomatik güvenlik açığı taramaları kullanabilir. Bu tür taramaların sonuçları, veritabanını güçlendirmek (güvenliği artırmak) ve tanımlanmış belirli güvenlik açıklarını kapatmak için kullanılır, ancak diğer güvenlik açıkları genellikle bilinmeyen ve tanımlanmamış olarak kalır.
Güvenliğin kritik olduğu veritabanı ortamlarında, standartlara uyumu sağlamak için yapılan sürekli izleme güvenliği artırmaktadır. Güvenlik uyumluluğu, diğer prosedürlerin yanı sıra yama yönetimini ve veritabanı içindeki nesnelere verilen izinlerin(özellikle halka açık) gözden geçirilmesini ve yönetilmesini gerektirir.Veritabanı nesneleri, tablo bağlantısında listelenen tablo veya diğer nesneleri içerebilir.Nesneler üzerinde SQL dil komutları için verilen izinler bu süreçte değerlendirilir. Uyumluluğu görüntüleme, güvenlik açığı değerlendirmesine benzer, ancak güvenlik açığı değerlendirmelerinin sonuçları genellikle sürekli izleme programına neden olan güvenlik standartlarını yönlendirir.Aslında güvenlik açığı değerlendirmesi, devam eden risk değerlendirme sürecindeki uyum programının olduğu yerlerdeki riski belirlemek için ön prosedür.
Uyumluluk programı uygulama yazılımı düzeyindeki tüm bağımlılıkları dikkate almalıdır çünkü veritabanı düzeyindeki değişikliklerin uygulama yazılımı veya uygulama sunucusu üzerinde etkileri olabilir.
Soyutlama
Uygulama seviyesindeki kimlik doğrulama ve yetkilendirme mekanizmaları, veritabanı katmanından soyutlama sağlamanın etkili araçları olabilir. Soyutlamanın başlıca yararı, birden çok veritabanı ve platformda tek bir kullanıcı kimliği ile oturum açma(single sign on) imkânıdır. Tek bir veritabanı oturum açma sistemi kullanıcının kimlik bilgilerini depolar ve kullanıcı adına veritabanına kimlik doğrulaması yapar.
Veritabani Aktivite İzleme
Daha sofistike nitelikte başka bir güvenlik katmanı da ağ üzerinden protokol trafiğini (SQL) analiz ederek veya her yerel veritabanı sunucusu üzerinde yazılım etmenleri(birimleri)(agent) kullanıp aktiviteyi gözlemleyerek ya da bu yöntemlerin ikisini birden kullanarak gerçek zamanlı veritabanı aktivite izlemeyi içerir. Etmenlerin ya da yerel logların kullanımı sunucuda gerçekleştirilen faaliyetlerini yakalamak için gereklidir. Bu genellikle veritabanı yöneticisinin faaliyetlerini içermektedir. Etmenler bu bilgileri, yerel denetim kayıtlarını devre dışı bırakma veya değiştirme yetkisine sahip olan veritabanı yöneticisi tarafından devre dışı bırakılamayacak şekilde kayıt edilmesine izin verir.
Analiz, bilinen istismarları veya politika ihlallerini belirlemek için yapılabilir veya izinsiz girişi işaret edebilecek anormal aktivitelerin saptanması için kullanılan normal bir model oluşturmak için temel(baselime) zaman içinde yakalanabilir. Bu sistemler, saldırı tespit mekanizmalarına ek olarak kapsamlı bir veritabanı denetim geçmişi sağlayabilir ve bazı sistemler kullanıcı oturumlarını sonlandırarak ve/veya şüpheli davranış gösteren kullanıcıları karantinaya alarak ayrıca koruma sağlayabilir. Bazı sistemler, denetleyicilerin tipik gereksinimleri olan görevlerin ayrımını desteklemek üzere tasarlanmıştır (SOD). SOD, DAM'ın bir parçası olarak genellikle izlenen veritabanı yöneticilerinin DAM işlevini devre dışı bırakamamalarını veya değiştirememelerini gerektirir. DAM denetim geçmişinin, veritabanı yönetim grubu tarafından yönetilmeyen ayrı bir sistemde güvenli bir şekilde depolanmasını gerektirir.
Yerel denetim
İzleme veya denetim için harici araçlar kullanmanın yanı sıra, birçok veritabanı platformu için yerel veritabanı denetim özellikleri de mevcuttur. Yerli denetleme geçmişi düzenli olarak çıkarılır ve veritabanı yöneticilerinin erişiminin bulunmadığı ya da bulunmamasının gerektiği şekilde tasarlanmış bir güvenlik sistemine aktarılır. Bu, görevlerin yerel denetleme geçmişinin kimliği doğrulanmış yöneticiler tarafından değiştirilmediğine dair kanıt sağlayabilecek düzeyde ayrılmasını sağlar ve üretim, okuma hakları olan üst düzey güvenlik sorumlusu bir DBA grubu tarafından yürütülmelidir. Yerli etkinleştirme sunucunun performansını etkiler. Genellikle veritabanlarının yerel denetleme geçmişi görev ayrımı uygulamak için yeterli kontrol sağlamaz. Bu nedenle ağ ve/veya çekirdek(kernel) modül seviyesine sahip ana sistemin izleme yetenekleri, adli tıp ve kanıtların korunması için daha yüksek bir güven derecesi sağlar.
Süreç ve prosedürler
İyi bir veritabanı güvenlik programı, otomatik işlemlerle kullanılan kullanıcı hesaplarını ve hesaplara verilen ayrıcalıkların düzenli olarak incelenmesini içerir. Bireysel hesaplar için iki faktörlü kimlik doğrulama sistemi güvenliği geliştirilebilir ancak bu güvenliği daha karmaşık ve maliyetli hale getirir. Otomatik işlemler tarafından kullanılan hesaplar, yeterli şifreleme ve erişim kontrollerinin uzlaşma riskini azaltmak için şifre saklama depolama etrafında uygun kontrolleri gerektirir.
Sağlam bir veritabanı güvenlik programı ile birlikte, uygun bir felaket kurtarma programı, bir güvenlik olayı sırasında veya birincil veritabanı ortamının kesilmesine neden olan herhangi bir olayda hizmetin kesintiye uğramamasını sağlar. Birincil veritabanları için farklı coğrafi bölgelerde bulunan sitelere çoğaltma bunlara bir örnektir.
Bir olay meydana geldikten sonra, veritabanı adli tıp ihlalin kapsamıyla sistemlere ve süreçlere uygun değişiklikleri belirlemek için kullanılabilir.
Ayrıca bakınız
- Olumsuz veritabanı
- Veritabanı güvenlik duvarı
- Bir şifreleme modülünün kimlik doğrulaması için ABD federal standardı
- Sanal özel veritabanı
Kaynakça
- ^ Guardian gazetesindeki güvenlik ihlali üzerine yazılan makalede, Anderson kuralı formülleştirildi 12 Eylül 2017 tarihinde Wayback Machine sitesinde ..
- ^ a b Stephens, Ryan (2011). Sams teach yourself SQL in 24 hours. Indianapolis, Ind: Sams. ISBN .
- ^ "Database Security Best Practices". 12 Eylül 2017 tarihinde kaynağından . Erişim tarihi: 2 Eylül 2016.
- ^ Seema Kedar (1 Ocak 2009). Database Management Systems. Technical Publications. s. 15. ISBN .[]
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
Veritabani guvenligi cok cesitli bilgi guvenligi kontrollerinin kullanimi ile ilgilidir ve veri tabanlarininin imkan dahilinde verileri veritabani uygulamalarini veya kayit edilmis islevleri stored function veri tabani sistemlerini veritabani sunucularini ve iliskili ag baglantilarini icerir gizliligini butunlugunu ve erisilebilirligini saldirilara karsi korur Teknik idari yargi ve fiziksel gibi cesitli turde ve kategoride kontroller veritabani guvenligi kapsami icerisine girer bilgisayar guvenligi bilgi guvenligi ve risk yonetimi alanlari icerisinde veritabani guvenligi uzmanlik gerektiren bir konudur Veritabani sistemlerine yonelik guvenlik riskleri sunlari icerir Yetkili veritabani kullanicilari Veritabani yoneticileri ag sistem yoneticileri yetkisiz kullanicilar ya da bilgisayar korsanlari tarafindan yanlis kullanilmasi veya bu kisiler tarafindan yapilan istenmeyen davranislar ornegin veri tabanlarindaki kritik verilere meta verilere veya islevlere uygun olmayan erisim ya da veritabani programlarinda yapilarinda veya guvenlik konfigurasyonlarinda uygun olmayan degisiklikler Zararli yazilim etkileri yetkisiz erisim kisisel ve sahsi verilerinin sizdirilmasi veya ifsa edilmesi verilerin ve programlarin silinmesi veya hasar almasi veritabanina yetkili erisimin kesilmesi veya reddedilmesi diger sistemlere yapilan saldirilar ve veritabani hizmetlerinin beklenmeyen basarisizliklara neden olan olaylara yol acan zararli yazilim enfeksiyonlari Fazla yuklenmeler performans kisitlamalari ve kapasite sorunlarindan dolayi yetkili kullanicilarin veritabanlarini amaclandigi gibi kullanamamalari Bilgisayar odasinda olusabilecek yanginlar seller asiri isinmalar aydinlatmalar kaza sonucu sivi dokulmeleri statik elektrik bosalmalari elektronik arizalar ekipman arizalari ve eskimeler gibi veritabani sunucusuna fiziksel hasar veren durumlar Veritabanlari icerisindeki program aciklari ve tasarim hatalari iliskili programlarin ve sistemlerin olusturdugu cesitli guvenlik aciklari ornegin yetkisiz hak artirma veri kayiplari bozulmalari performans dususleri vb Gecersiz veri veya komutlarin girilmesinden kaynaklanan veri bozulmasi ve veya kaybi veritabani veya sistem yonetim sureclerinde yapilan hatalar sabotaj kriminal hasar vb siklikla dogalari geregi buyuk veri tabanlarinin guvenlik ihlallerinden dolayi istismardan asla kurtulamayacagini soylerdi Eger erisim kolayligi icin buyuk bir sistem tasarlanirsa bu guvensiz olur Eger su gecirmez hale getirilirse kullanmak imkansiz hale gelir Bu bazen Anderson Kurali olarak bilinir Bilgi guvenligi kontrolunun veritabanlarina uygun bircok turu ve katmanlari vardir Erisim kontrolu Denetim Kimlik dogrulama Sifreleme Butunluk kontrolleri Yedekleri Uygulama guvenligi Veritabanlari guvenlik duvarlari gibi ag guvenligi onlemleri ve ag tabanli saldiri tespit sistemleri araciligiyla bilgisayar korsanlarina karsi buyuk oranda guvence altina alinmistir Bu baglamda ag guvenlik kontrolleri onemli olmasina karsin veritabani sistemlerinin kendilerini programlarini fonksiyonlarini ve onlarin icerisindeki verilerini korumasi tartismali bir sekilde daha kritik hale geliyor Cunku ozellikle de internet erisimden dolayi aglar gittikce daha genis erisime aciliyor Ayrica sistem program fonksiyon ve veri erisim kontrolleri iliskili olarak kullanici tanimlama kimlik dogrulama ve hak yonetimi islevleri yetkili kullanicilarin ve yoneticilerin faaliyetlerini sinirlamak ve log kayitlarini tutmak icin her zaman onem tasimaktadir Diger bir deyisle bunlar oldugu yerde hem icten disa hem de distan ice calisan veritabani guvenligine tamamlayici yaklasimlardir Bircok organizasyon kendi baseline temel diger guvenlik standartlara alt yapi saglayacak temel guvenlik standartlarini gelistirir ve kendi veritabani sistemleri icin temel guvenlik kontrol onlemlerini detaylandirarak tasarlar Bunlar kurumsal bilgi guvenlik politikalari ve genel olarak kabul gormus iyi veritabani guvenlik uygulamalari altinda yatan sistemlerin uygun bir sekilde guclendirilmesi gibi ve muhtemelen ilgili veritabani sisteminden ve yazilim saticilarindan gelen guvenlik onlemleri ile birlikte yururlukte bulunan kanunlar ve yonetmelikler or gizlilik finansal yonetim ve raporlama sistemlerine iliskin tarafindan maruz birakilmis genel bilgi guvenligi gereksinimlerini veya yukumluluklerini yansitabilir Belirli veritabani sistemlerine iliskin guvenlik tasarimlari genellikle veritabani programlari ve islevleri orn veri girisi dogrulama ve denetim gecmisleri icerisindeki cesitli ise iliskin bilgi guvenlik kontrolleri ile birlikte daha fazla guvenlik yonetimi ve yonetme islevlerini Kullanici erisim haklarinin yonetimi ve raporlanmasi log yonetimi ve analizi veritabani kopyalama senkronizasyon ve yedeklemeler gibi belirtmektedir Ayrica cesitli guvenlikle ilgili faaliyetler manuel kontroller normalde veritabani tasarimi gelistirilmesi konfigurasyonu kullanimi yonetimi ve devam ettirilmesi ile ilgili prosedurlere yonergelere vb dahil edilir AyricaliklarVeri tabani ortaminda veritabani guvenligine iliskin iki ayricalik turu onemlidir Bunlar Sistem ve Nesne ayricaliklaridir Sistem Ayricaliklari Sistem ayricaliklari bir kullanicinin bir veritabaninda yonetime iliskin islemleri yapmasina izin verir Bunlar veritabani olusturma prosedur olusturma yedek veritabani olusturma tablo olusturma tetikleyici olusturma ve calistirma ayricaliklarini SQL server da oldugu gibi icerir Nesne Ayricaliklari Nesne ayricaliklari veritabani nesneleri uzerindeki belirli islemleri baska bir kullanici tarafindan yetkilendirilmis olarak kullanmaya izin verir Kullanim secim ekleme guncelleme ve referanslar ornek olarak verilebilir En az Ayricalik Ilkesi ve Gorevlerin Ayrimi Veritabanlari ic yonetim kapsamina girmektedir Yani kamusal raporlama yillik raporlar vb icin kullanilan veriler gorev ayrimina baglidir Bu anlamda gelistirme ile uretim arasinda gorev ayrimi yapilmalidir Her gorev gercek kodu yazmayan ucuncu bir kisi tarafindan kod incelemesi ile onaylanmalidir Veritabani gelistiricisi gerceklestirilmekte olan isin belgelerine ve kodlarina iliskin bagimsiz bir inceleme yapmadan uretimde herhangi bir sey yurutememelidir Tipik olarak gelistiricinin rolu bir DBA Oracle veri tabani yoneticisi ya kod aktarmaktir ancak ekonomik cokusten kaynaklanan kesintiler goz onune alindiginda bir DBA hazir olmayabilir Bir DBA ya kod aktarimi yapilamazsa en azindan bir esduzey DBA nin kod incelemesi yapmasi onemlidir Bu gelistiricinin rolunun acikca ayri olmasini saglar Ic yonetimin bir diger noktasi ozellikle uretimde en az ayricalik saglama ilkesine bagliliktir Gelistiricilerin calismalarini tamamlamalari icin daha fazla erisime ihtiyac duymalari halinde kimlige burunme yontemi impersonation ornegin gecici olarak bir sey yapmak icin EXECUTE AS veya sudo kullanilir Bu tarz yukseltilmis haklar gerektiren isteklerde kimlige burunme kullanimi daha guvenlidir Cogu zaman gelistiriciler kod yazilarak zafere gidilen yolda bunun ek yuk overhead olmasini goz ardi ederler Bununla birlikte DBA lar sorumlu oldugu dusunulen her seyi yapmak zorundadirlar cunku bunlar organizasyonun de facto veri sorumlusudur duzenlemeye ve yasalara uymak zorundadirlar Risk ve Uyumluluk Yonetiminde Guvenlik Acigi DegerlendirmeleriVeritabani guvenligini degerlendirmek icin guvenlik acigi degerlendirmeleri veya veritabanina karsi sizma testleri iceren bir teknik kullanilir Test yapan kisiler sistemi tehlikeye atabilen veritabanina zorla girebilen guvenlik kontrollerini atlatabilen veya gecmeyi basarabilen guvenlik aciklarini bulmaya calisirlar Veritabani yoneticileri veya bilgi guvenligi yoneticileri mesela veritabani yazilimindaki bilinen acikliklar ile birlikte yukarida bahsedilen katmanlardaki kontrollerin yanlis yapilandirilmasini genellikle sapma drift olarak adlandirilir arastirmak icin otomatik guvenlik acigi taramalari kullanabilir Bu tur taramalarin sonuclari veritabanini guclendirmek guvenligi artirmak ve tanimlanmis belirli guvenlik aciklarini kapatmak icin kullanilir ancak diger guvenlik aciklari genellikle bilinmeyen ve tanimlanmamis olarak kalir Guvenligin kritik oldugu veritabani ortamlarinda standartlara uyumu saglamak icin yapilan surekli izleme guvenligi artirmaktadir Guvenlik uyumlulugu diger prosedurlerin yani sira yama yonetimini ve veritabani icindeki nesnelere verilen izinlerin ozellikle halka acik gozden gecirilmesini ve yonetilmesini gerektirir Veritabani nesneleri tablo baglantisinda listelenen tablo veya diger nesneleri icerebilir Nesneler uzerinde SQL dil komutlari icin verilen izinler bu surecte degerlendirilir Uyumlulugu goruntuleme guvenlik acigi degerlendirmesine benzer ancak guvenlik acigi degerlendirmelerinin sonuclari genellikle surekli izleme programina neden olan guvenlik standartlarini yonlendirir Aslinda guvenlik acigi degerlendirmesi devam eden risk degerlendirme surecindeki uyum programinin oldugu yerlerdeki riski belirlemek icin on prosedur Uyumluluk programi uygulama yazilimi duzeyindeki tum bagimliliklari dikkate almalidir cunku veritabani duzeyindeki degisikliklerin uygulama yazilimi veya uygulama sunucusu uzerinde etkileri olabilir SoyutlamaUygulama seviyesindeki kimlik dogrulama ve yetkilendirme mekanizmalari veritabani katmanindan soyutlama saglamanin etkili araclari olabilir Soyutlamanin baslica yarari birden cok veritabani ve platformda tek bir kullanici kimligi ile oturum acma single sign on imkanidir Tek bir veritabani oturum acma sistemi kullanicinin kimlik bilgilerini depolar ve kullanici adina veritabanina kimlik dogrulamasi yapar Veritabani Aktivite IzlemeDaha sofistike nitelikte baska bir guvenlik katmani da ag uzerinden protokol trafigini SQL analiz ederek veya her yerel veritabani sunucusu uzerinde yazilim etmenleri birimleri agent kullanip aktiviteyi gozlemleyerek ya da bu yontemlerin ikisini birden kullanarak gercek zamanli veritabani aktivite izlemeyi icerir Etmenlerin ya da yerel loglarin kullanimi sunucuda gerceklestirilen faaliyetlerini yakalamak icin gereklidir Bu genellikle veritabani yoneticisinin faaliyetlerini icermektedir Etmenler bu bilgileri yerel denetim kayitlarini devre disi birakma veya degistirme yetkisine sahip olan veritabani yoneticisi tarafindan devre disi birakilamayacak sekilde kayit edilmesine izin verir Analiz bilinen istismarlari veya politika ihlallerini belirlemek icin yapilabilir veya izinsiz girisi isaret edebilecek anormal aktivitelerin saptanmasi icin kullanilan normal bir model olusturmak icin temel baselime zaman icinde yakalanabilir Bu sistemler saldiri tespit mekanizmalarina ek olarak kapsamli bir veritabani denetim gecmisi saglayabilir ve bazi sistemler kullanici oturumlarini sonlandirarak ve veya supheli davranis gosteren kullanicilari karantinaya alarak ayrica koruma saglayabilir Bazi sistemler denetleyicilerin tipik gereksinimleri olan gorevlerin ayrimini desteklemek uzere tasarlanmistir SOD SOD DAM in bir parcasi olarak genellikle izlenen veritabani yoneticilerinin DAM islevini devre disi birakamamalarini veya degistirememelerini gerektirir DAM denetim gecmisinin veritabani yonetim grubu tarafindan yonetilmeyen ayri bir sistemde guvenli bir sekilde depolanmasini gerektirir Yerel denetimIzleme veya denetim icin harici araclar kullanmanin yani sira bircok veritabani platformu icin yerel veritabani denetim ozellikleri de mevcuttur Yerli denetleme gecmisi duzenli olarak cikarilir ve veritabani yoneticilerinin erisiminin bulunmadigi ya da bulunmamasinin gerektigi sekilde tasarlanmis bir guvenlik sistemine aktarilir Bu gorevlerin yerel denetleme gecmisinin kimligi dogrulanmis yoneticiler tarafindan degistirilmedigine dair kanit saglayabilecek duzeyde ayrilmasini saglar ve uretim okuma haklari olan ust duzey guvenlik sorumlusu bir DBA grubu tarafindan yurutulmelidir Yerli etkinlestirme sunucunun performansini etkiler Genellikle veritabanlarinin yerel denetleme gecmisi gorev ayrimi uygulamak icin yeterli kontrol saglamaz Bu nedenle ag ve veya cekirdek kernel modul seviyesine sahip ana sistemin izleme yetenekleri adli tip ve kanitlarin korunmasi icin daha yuksek bir guven derecesi saglar Surec ve prosedurlerIyi bir veritabani guvenlik programi otomatik islemlerle kullanilan kullanici hesaplarini ve hesaplara verilen ayricaliklarin duzenli olarak incelenmesini icerir Bireysel hesaplar icin iki faktorlu kimlik dogrulama sistemi guvenligi gelistirilebilir ancak bu guvenligi daha karmasik ve maliyetli hale getirir Otomatik islemler tarafindan kullanilan hesaplar yeterli sifreleme ve erisim kontrollerinin uzlasma riskini azaltmak icin sifre saklama depolama etrafinda uygun kontrolleri gerektirir Saglam bir veritabani guvenlik programi ile birlikte uygun bir felaket kurtarma programi bir guvenlik olayi sirasinda veya birincil veritabani ortaminin kesilmesine neden olan herhangi bir olayda hizmetin kesintiye ugramamasini saglar Birincil veritabanlari icin farkli cografi bolgelerde bulunan sitelere cogaltma bunlara bir ornektir Bir olay meydana geldikten sonra veritabani adli tip ihlalin kapsamiyla sistemlere ve sureclere uygun degisiklikleri belirlemek icin kullanilabilir Ayrica bakinizOlumsuz veritabani Veritabani guvenlik duvari Bir sifreleme modulunun kimlik dogrulamasi icin ABD federal standardi Sanal ozel veritabaniKaynakca Guardian gazetesindeki guvenlik ihlali uzerine yazilan makalede Anderson kurali formullestirildi 12 Eylul 2017 tarihinde Wayback Machine sitesinde a b Stephens Ryan 2011 Sams teach yourself SQL in 24 hours Indianapolis Ind Sams ISBN 9780672335419 Database Security Best Practices 12 Eylul 2017 tarihinde kaynagindan Erisim tarihi 2 Eylul 2016 Seema Kedar 1 Ocak 2009 Database Management Systems Technical Publications s 15 ISBN 978 81 8431 584 4 olu kirik baglanti