Is uw MSSQL-omgeving voldoende beveiligd?

Security is meer dan alleen bescherming van data. Dit whitepaper gaat wat dieper in op één aspect van security: bescherming van uw data.

Bij de bescherming van uw data gaat het om twee zaken: Preventie en Repressie. Preventie betreft maatregelen om crisissituaties te voorkomen, repressie betreft handelingen om een crisis op te lossen. Hoe meer aandacht wordt besteed aan preventie, hoe kleiner de kans dat er repressieve acties uitgevoerd moeten worden. In IT-termen wordt vaak de term “High-Availability en Disaster Recovery” (HADR) gebruikt.

Bij preventie gaat het om de bescherming van uw data. Denk hierbij aan zaken als: “Wie mag de data lezen?”, ”Hoe voorkom ik dat mijn data in handen komt van ongeautoriseerde gebruikers?” en “Hoe zorg ik dat ik een veilige kopie heb van mijn data?”

Bij repressie gaat het om de mogelijkheden om data zo snel mogelijk en zo volledig mogelijk te reconstrueren. Hierbij moet gedacht worden aan back-up- en uitwijkprocedures.

Een goede beveiliging begint bij de voordeur. Zorg er daarom voor dat gebruikers alleen complexe wachtwoorden kunnen gebruiken. Neem ook regelmatig de lijst van autorisaties door en let daarbij speciaal op gebruikers met gevoelige autorisaties.

De IT- Infrastructuur moet in de basis al een goede bescherming bieden. Denk hierbij aan firewalls en antivirussoftware, maar ook bewustwording bij gebruikers is belangrijk. De kans dat een gebruiker per ongeluk op een link in een verdacht mailtje klikt is altijd aanwezig en de gevolgen kunnen ernstig zijn.

Een quick-win is het gebruiken van Windows Active Directory-authenticatie voor uw databases. MSSQL Server kan login gegevens overnemen van het Windows domein. Dit vereenvoudigt het inloggen voor gebruikers en zorgt ervoor dat een complex wachtwoord op het domein voldoende is. Voor het beheer is het aan te raden om autorisaties aan groepen toe te kennen en deze groepen vervolgens rechten te geven in MSSQL.

Software bevat fouten, ook beveiligingsfouten. Installeer daarom regelmatig de laatste updates van de gebruikte software.

De recentste versies van MSSQL Server hebben een groot aantal extra opties om data te beveiligen, zo kan de gehele database versleuteld worden, of alleen de back-up van de database. Een kopie van de database kan dan niet gelezen worden op een andere server Ook bestaat er de mogelijkheid om de verbinding tussen de gebruiker en de database te beveiligen. Dit is met name aan te raden voor databases die “in de cloud” staan, maar is ook voor interne systemen geen overbodige luxe. Deze beveiliging is transparant voor de applicatie en vereist dus geen tijdrovende aanpassingen. Met de komst van MSSQL 2016 zijn de beveiligingsmogelijkheden nog verder uitgebreid. Zo kan er nu data worden afgeschermd op basis van wie er inlogt; zelfs voor database-beheerders kunnen gegevens worden afgeschermd!

Het is aan te raden om regelmatig een zekere mate van “auditing” toe te passen op de database servers. Hierdoor worden verdachte situaties sneller opgemerkt. Recent ontdekten we bij een klant op deze manier een hackpoging.

Moet de data snel beschikbaar zijn na een calamiteit, dan is het verstandig om vooraf antwoord te hebben op twee belangrijke vragen: “Hoeveel data mag ik in het ernstigste geval kwijt zijn na een calamiteit?” (Bekend onder de term RPO) en “Hoelang mag het maximaal duren voordat de data weer beschikbaar is?” (Bekend onder de term RTO).

RPO en RTO bepalen de beschikbaarheid van de data en zijn van invloed op de HADR-strategie. Als de RTO van data erg laag is (lees: de maximale hersteltijd is kort), dan is vaak een uitwijk oplossing noodzakelijk. Als de RPO laag is, dan bepaalt dit in grote mate hoe vaak en welke typen back-ups noodzakelijk zijn. Bedenk wel dat een hogere beschikbaarheidseis doorgaans ook hogere kosten met zich meebrengt.

Een goede HADR strategie kan pas goed functioneren als bewezen is dat deze werkt. Het regelmatig terugzetten van een back-up is daarom noodzakelijk. Ook een jaarlijkse uitwijktest is zeker een vereiste.

Hoe weet ik of mijn data voldoende beschermd is?

Security en databescherming zijn belangrijke aspecten voor bedrijven; niet alleen financiële, maar ook maatschappelijke risico’s kunnen ontstaan indien hier niet voldoende aandacht aan wordt besteed. Denk hierbij ook aan de Wet Meldplicht Datalekken!

DBA.nl heeft een uitgebreide security check beschikbaar voor uw MSSQL-omgeving, die een gedetailleerd beeld geeft van de huidige situatie. Daarnaast denken wij graag met u mee over repressieve oplossingen zoals een back-up oplossing of de implementatie van een methode voor verhoogde beschikbaarheid.

Wilt u volledig ontzorgd worden? Wij bieden diensten aan waarin uw MSSQL-omgeving desgewenst 24×7 door ons gemonitord wordt. Graag nemen wij de mogelijkheden met u door. Neemt u bij interesse gerust contact met ons op. Kijk op onze website voor de contactgegevens en de mogelijkheden die wij u kunnen bieden.

 “Kies voor zekerheid, kies voor DBA.nl”