Fitur Pemeriksaan Baseline Keamanan dari Database Autonomy Service (DAS) membantu Anda mengidentifikasi dengan cepat risiko konfigurasi keamanan potensial pada instans database guna meningkatkan keamanan dan keandalannya. Fitur ini memungkinkan Anda menemukan serta memperbaiki risiko keamanan untuk instans di berbagai wilayah dan mesin. Hasil pemindaian yang intuitif memfasilitasi peningkatan keamanan database melalui optimalisasi konfigurasi.
Latar Belakang
-
Laporan Verizon 2023 Data Breach Investigations menunjukkan bahwa sekitar 50% pelanggaran database terkait dengan password lemah dan serangan credential stuffing.
-
Laporan dari Cyberspace Administration of China mengungkapkan bahwa pada tahun 2023, ribuan database di Tiongkok terpapar risiko akibat akses tidak sah dan password lemah. Dari lebih dari 8.000 instans yang diperiksa, 11,3% memiliki masalah tersebut.
Password lemah menimbulkan risiko jauh lebih besar jika instans database terpapar ke internet publik.
Batasan
-
Instans database harus berada di salah satu wilayah berikut:
-
Cloud publik
Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Chengdu), Tiongkok (Guangzhou), Tiongkok (Ulanqab), Indonesia (Jakarta), AS (Virginia), AS (Silicon Valley), Jepang (Tokyo), Jerman (Frankfurt), Inggris (London), Filipina (Manila), Malaysia (Kuala Lumpur), Singapura, dan Tiongkok (Hong Kong).
-
Cloud Keuangan
Tiongkok (Hangzhou) Finance, Tiongkok (Shanghai) Finance, Tiongkok (Beijing) Finance (pratinjau undangan saja), dan Tiongkok (Shenzhen) Finance.
-
-
Hanya instans RDS MySQL, PolarDB for MySQL, dan PolarDB-X 2.0 yang didukung.
CatatanPemeriksaan backup tidak didukung untuk instans PolarDB-X 2.0.
Fitur
Cakupan deteksi
-
Konfigurasi database: Memeriksa kompleksitas kebijakan password, apakah TDE diaktifkan, dan apakah kunci KMS terkait tersedia.
-
Konfigurasi jaringan: Memeriksa kontrol akses berbasis daftar putih dan konfigurasi keamanan SSL.
-
Kontrol akses: Memeriksa adanya password lemah.
-
Penyimpanan: Memeriksa pengaturan backup.
CatatanBackup sangat penting untuk disaster recovery dari peristiwa seperti penghapusan data tidak sengaja atau serangan ransomware.
-
Keamanan pasca-insiden: Memeriksa apakah log audit diaktifkan untuk menyediakan kemampuan pelacakan dan forensik.
Mekanisme eksekusi
Pemeriksaan langsung: Anda dapat memicu pemeriksaan kepatuhan sesuai permintaan kapan saja secara manual.
Item pemeriksaan
|
Item pemeriksaan |
Aturan pemeriksaan |
Deskripsi |
|
Weak Password |
|
Memeriksa akun yang menggunakan password lemah. Catatan
|
|
Whitelist |
|
Memeriksa apakah daftar putih alamat IP mematuhi praktik terbaik keamanan. Catatan
Risiko keamanan daftar putih ada jika akses publik diaktifkan untuk instans dan daftar putih dikonfigurasi dengan |
|
SSL Certificate |
|
Memeriksa apakah enkripsi SSL diaktifkan untuk koneksi database. |
|
Backup |
|
Memeriksa waktu pembuatan set cadangan terbaru, yang bergantung pada kebijakan cadangan. Catatan
|
|
Audit |
|
Memeriksa apakah log audit diaktifkan. |
|
TDE |
|
Memeriksa apakah TDE diaktifkan. |
|
KMS key |
|
Memeriksa apakah kunci KMS instans tersedia. Catatan
Jika TDE tidak diaktifkan, item pemeriksaan ini tidak berlaku. |
Prosedur
Masuk ke Konsol DAS.
-
Di panel navigasi kiri, pilih .
-
Initiate Inspection: Klik Initiate Inspection. Di kotak dialog yang muncul, pilih instans yang ingin Anda periksa, klik ikon panah
untuk memindahkannya ke daftar terpilih, lalu klik OK untuk memulai inspeksi keamanan.Catatan-
Sebelum menjalankan inspeksi, Anda harus memberikan otorisasi kepada Security Center di halaman Instances.
-
Inspeksi keamanan dapat memakan waktu beberapa menit hingga lebih dari setengah jam, tergantung jumlah dan kompleksitas instans Anda. Anda tidak perlu menunggu hingga tugas selesai. Anda dapat kembali ke halaman ini nanti untuk melihat hasilnya.
Hanya instans RDS MySQL, PolarDB for MySQL, dan PolarDB-X yang didukung. Anda dapat memilih hingga 30 instans per inspeksi.
-
-
Tinjau daftar inspeksi: Hasil inspeksi ditampilkan dalam daftar, dengan satu baris untuk setiap instans.
CatatanHasil diberi kode warna untuk identifikasi cepat: merah menunjukkan danger, kuning menunjukkan warning, dan hijau menunjukkan safe.
Daftar menampilkan status setiap item pemeriksaan: Weak password, Whitelist, SSL certificate, Backup, Audit, TDE, dan KMS key. Daftar juga menyediakan informasi dasar seperti task ID, instance ID, database type, region, dan inspection time.
-
Lihat detail: Di kolom Operation untuk suatu tugas, klik Details untuk melihat laporan lengkap.
CatatanDi panel detail, Anda dapat mengklik Inspect Again di bagian bawah untuk menjalankan kembali inspeksi untuk instans saat ini.
Panel detail mencakup informasi dasar (task ID, nama instans, jenis database, waktu inspeksi, dan wilayah) serta hasil untuk setiap item pemeriksaan: Weak password, Whitelist, Backup, Audit, SSL certificate, TDE, dan KMS key. Setiap item diberi tag status seperti Safe, Warning, atau Not Applicable. Klik suatu item untuk memperluasnya dan melihat informasi lebih lanjut.
-
Unduh hasil: Klik ikon unduh
di pojok kanan atas daftar inspeksi untuk mengunduh hasil saat ini. -
Berlangganan notifikasi: Anda dapat mengaktifkan sakelar Subscribe di pojok kanan atas untuk menerima notifikasi.
CatatanSetelah berlangganan, Alibaba Cloud mengirimkan notifikasi keamanan melalui pesan internal dan SMS untuk peristiwa penting.
-
Alibaba Cloud menerima atau menemukan intelijen ancaman keamanan baru.
-
Otoritas pengatur seperti Cyberspace Administration of China menerbitkan persyaratan kepatuhan baru.
-
-
Saran remediasi
Jika inspeksi menemukan risiko, gunakan saran berikut untuk memperbaikinya:
-
Weak password: Pastikan password database Anda memenuhi standar kompleksitas. Hal ini terutama penting untuk database yang terpapar ke internet publik.
CatatanJika Anda menggunakan RDS MySQL, kami menyarankan agar Anda mengaktifkan plugin validate_password. Setelah mengubah password, Anda dapat menggunakan perintah
SHOW VARIABLES LIKE 'validate_password%'untuk memeriksa apakah kebijakan tersebut berlaku.-
Harus terdiri dari 8 hingga 32 karakter.
-
Harus mengandung karakter dari minimal tiga jenis berikut: huruf kapital, huruf kecil, angka, dan karakter khusus.
-
Karakter khusus yang didukung adalah
!@#$%^&*()_+-=. -
Untuk petunjuk cara mengubah password, lihat topik berikut:
-
-
Whitelist: Utamakan memperbaiki pengaturan daftar putih untuk database yang terpapar ke internet publik. Hapus alamat IP yang tidak diperlukan untuk memastikan hanya klien tepercaya yang dapat mengakses database Anda, sehingga mengurangi risiko keamanan potensial.
-
SSL certificate: Untuk database yang dapat diakses publik, kami sangat menyarankan agar Anda mengaktifkan enkripsi SSL untuk melindungi data dalam transmisi. Hal ini membantu mencegah risiko keamanan seperti penyadapan dan perubahan data.
-
Database backup: Untuk memastikan kelangsungan bisnis, backup database Anda secara berkala. Pilih siklus backup, seperti harian atau mingguan, berdasarkan kebutuhan bisnis Anda guna memastikan keamanan dan kemampuan pemulihan data.
-
Audit log: Kami sangat menyarankan agar Anda mengaktifkan log audit database. Hal ini tidak hanya membantu akuntabilitas pasca-insiden dan kepatuhan, tetapi juga menyediakan deteksi risiko keamanan secara real-time serta meningkatkan keamanan keseluruhan database Anda.
-
TDE: Untuk memastikan keamanan data, kami sangat menyarankan agar Anda mengaktifkan TDE untuk melindungi data saat disimpan.
-
KMS key: Di Konsol Key Management Service, pilih wilayah instans Anda dan aktifkan kunci yang sesuai.
Jika Anda memiliki pertanyaan, bergabunglah dengan grup DingTalk dengan ID 58255008752 untuk mendapatkan dukungan teknis.
FAQ
Q: Apakah pemeriksaan baseline keamanan memengaruhi kinerja database?
A: Tidak. Pemeriksaan ini tidak memengaruhi instans Anda. Proses deteksi menggunakan agen pengumpulan ringan, dan pemindaian secara otomatis ditunda selama jam sibuk bisnis untuk meminimalkan dampak potensial.