Настройка прав доступа на базу данных

Настройка прав доступа на базу данных
Безопасность всей вашей сети может оказаться уязвимой для злоумышленников, если вы не сумеете грамотно настроить права доступа на информационную базу данных. Другими словами, всё, что вы считаете ценным, может быть использовано лицами в вашей компании, которым эта информация совсем не должна быть предоставлена. Поэтому, чтобы не было таких «дыр» в вашей системе безопасности, необходимо настроить права доступа, четко регламентирующие то, кто, куда и зачем может зайти.

Как вы можете потерять информацию
Злоумышленник – это не только виртуальное лицо, которое работает для того, чтобы навредить вам, располагаясь извне. Это может быть и ваш сотрудник, который по своему незнанию приоткрывает лазейку для хакера. Таким образом, становясь сообщником, пусть и совершенно случайно.

Внешние угрозы
Вторжения хакеров на вашу территорию – не такая уж и частая ситуация, поскольку для того, чтобы украсть информацию, нужна либо сильная мотивация, либо азарт просто навредить. С первым (с мотивацией) все понятно: если ваша компания на крупный медиа холдинг, или вы не являетесь владельцем нефтяного или газового бизнеса, не проводите крупные финансовые сделки, то ваш бизнес вряд ли заинтересует злоумышленника. Со вторым (с азартом навредить) всё обстоит несколько сложнее. Есть определенная группа хакеров, которые воруют информацию не для того, чтобы ее использовать, а только ради того, чтобы просто ее украсть. Вот здесь вы уже не застрахованы.

Внутренние угрозы
Предоставление лишних прав вашим сотрудникам – главная проблема, которая может привести к большой беде. Вы ведь не будете спорить, если мы скажем, что вы не проверяли всех своих сотрудников на компьютерную грамотность или, если так удобнее, безграмотность? Войдя на сервер с правами администратора такой пользователь может натворить такого, что потом разрешить проблему самостоятельно будет достаточно проблемно.

Что делать?
Чтобы обезопасить свой бизнес от случайных угроз, необходимо настроить: права, роли и аутентификацию.

Роли (серверные и баз данных)
Мы не знаем, какой операционной системой вы пользуетесь, но в большинстве известных для того, чтобы управлять правами, есть группы и пользователи. Если вам нет нужды настраивать права доступа на каждого сотрудника (если есть группы людей, выполняющих в вашей организации одинаковые функции), то можно объединить их в одну группу, назначив определенные права всей этой команде. Такие права называют «ролью», за пределы которой они уже выйти не смогут. При появлении нового сотрудника с такими же правами, мы просто наделяем его уже известной «ролью». Например, для работы на сервере можно создать роль, которой будет позволено только читать, но нельзя будет изменять и копировать данные. Роли бывают серверные (которые заранее определены и не подлежат изменению) и баз данных. На сервере может быть несколько баз данных, и к некоторым из них у пользователя доступ может быть разрешен, а к некоторым, наоборот, запрещен.
Что касается прав доступа на конкретную базу данных, то ее тоже можно ограничить определенной ролью. Мы искренне не советуем наделять всех пользователей правами типа System Administrator, поскольку это приведет к полной, если хотите, тотальной уязвимости системы. ЛЮБОЙ сможет делать все, что ему вздумается. Вполне достаточно, если простой сотрудник будет иметь права роли типа public.
Мы искренне считаем, что сотрудник должен обладать только теми правами, которые предполагает круг его деятельности. То есть не больше и не меньше. Все, что не разрешается пользователю, обязательно нужно запретить. Никакой демократии!

Права доступа
Любая вновь создаваемая роль – бесправна. Поэтому, прежде чем работать, вы должны четко продумать, какие права доступа вы решите предоставить. Чтобы сотрудники компании АйТиДиа (ITDIA.RU) могли четко реализовать вашу стратегию безопасности.
Сотрудник может иметь коллективную «роль», при этом его права доступа могут быть расширены индивидуально на определенное действие.

Индивидуальная ответственность
Мы рассмотрели роли, поскольку они удобны. Но в некоторых случаях лучше настроить индивидуальную ответственность. Например, отследить, кто из вашего финансового отдела поменял какие-либо цифры в важной таблице, очень сложно, если все бухгалтера обладают одинаковыми правами.

Политика прав
По нашему опыту можем заключить, что лучше назначать права, что называется, с нуля, не беря за основу какую-то уже имеющуюся роль, например public.
Стоит так назначать права, чтобы они были минимальны. То есть не больше, но, в то же время, и не меньше, чем это необходимо.

Резюме
Если вы сможете продумать систему ограничений на права доступа, то проблемы с безопасностью будут минимальными.
Мы же, сотрудники компании АйТиДиа, всегда рады помочь вам в решении таких задач!