iT邦幫忙

7

【好文分享】傳說中安全無虞的資料庫,真的這麼神?

好康妃,啊不是…好康妹又來分享好文了(抖)~

各位大大各位大大是不是很想要iThome開資料庫應用的研討會啊?

回顧系列前文:
【好文分享】迷思止步!資料庫應用大無限-SQL Server 其實不簡單!
【好文分享】迷思止步!資料庫應用大無限-Big Data 掏金就得砸大錢蓋礦場
【好文分享】關鍵資料庫太「關鍵」,豈能以不變應萬變?
【好文分享】資料庫效能,究竟有無第一名?
【好文分享】沒有好工具,豈能抓住魔鬼細節?(賀歲第二更)
◆迷思止步 資料庫應用大無限!
傳說中安全無虞的資料庫,真的這麼神?

無論ERP、SCM、CRM、MES…等攸關企業營運命脈的系統,幾乎所有資料的儲存與管理,皆對資料庫軟體多所倚賴,因此資料庫即等同企業資訊系統的軸心,直接影響應用服務之運行狀況,其安全性與穩定度,自然成為觀察重點。

對於絕大多數企業,資料庫系統就好比發電機,各式應用服務,都因為它所提供的資料儲存與管理,因而獲致動能,進而繁衍生生不息的力量。

如此重要的系統一旦生病,無法正常滿足應用服務之所需,導致企業賴以維持生計的營運活動,被迫陷入停擺,接踵而至的災難,將比電影情節更加驚悚,無異是一場巨大浩劫。因此企業IT團隊每逢挑選資料庫系統時,除了關切運作效能、平台整合性、程式語言整合性、工具整合性、高可用度、產品價格外,也一定會把安全性這個指標,納入評估重點。

只不過,說到資料庫系統的安全與穩定,其實是一個大哉問,企業無從獲得經過嚴謹實測的報告,少了參考依據,自然難以精確評斷各大廠牌產品之優劣,所以到頭來,又淪為資料庫管理(DBA)憑印象編撰故事的場景,往往因承襲了若干老DBA的共同記憶,便不假思索為某些系統冠上「固若金湯」的美名。

有褒、自然也有貶,某些資料庫系統運氣不太好,老是被部分DBA評為不安全、不穩定,建議應用系統團隊另作他想,能不採用、就不採用!當然,每個廠牌系統都可能不幸成為這個倒楣鬼,SQL Server也不例外。

GUI增添不穩定變數?
被某些DBA視為不穩定的SQL Server,其實某種程度上,揹負了非戰之罪。此乃由於,部分DBA生性念舊且謹慎,認為圖形介面(GUI)徒增人為操作不當的疑慮,干擾因素太多,為求穩定,理應採取具備「閒人勿近」意味的命令行介面(CLI),才足以趨吉避凶,而SQL Server的友善GUI介面就可能為此而背負了不應該有的原罪!

SQL Server的友善GUI真的犯大忌?很顯然的,部分DBA真的誤會了,友善的GUI操作源自於Windows作業系統,SQL Server構築在Windows平台上,所以產生了容易進入與執行操作的連結想像。否則以眾家系統運用的資料存取方式與技術來看,相似度如此之高,為何其他品牌在於穩定性並無太多疑慮,而SQL Server卻容易予人誤解,癥結很可能都在於大家對Windows作業系統相對比較熟悉的想像。

但如果只因這些理由,就加以蓋棺論定,坦白說也失之偏頗。首先,SQL Server隨著版本演進,已擁有愈趨完善的資訊安全功能,以SQL Server 2012為例,單單藉由預設為關閉的內建服務Configuration Manager(註:用戶只啟用所需服務),就足以強化資訊安全的部署,將介面區攻擊減至最低,即使作業系統處在GUI環境,也有高度的安全保障,絕不像部分人對GUI作業環境所以為的如此不堪。

其次,如果DBA仍對GUI不放心,其實也可將Windows作業系統調整為CLI模式,關鍵就在於Windows的Server Core,而且做法並不難。以Windows Server 2012為例,可在一開始安裝過程中,即藉由工具列上的 PowerShell圖示選擇「以系統管理員身分執行」,或是已經採用GUI的過程中,透過管理員的儀表板,選擇「移除角色及功能」,不管是事前或事中,都可以將Windows的使用者介面,轉為既艱澀但卻清爽的CLI。

資料庫安不安全,數字說分明!
除在於穩定性的迷思外,SQL Server在部分DBA心目中,也因為Windows給人的既定印象,莫名揹上了不安全的不白之冤。持平而論,Windows、Unix或Linux等作業系統的安全與否,牽涉到一些由來許久的觀感問題,即使Windows Server 2012已致力營造安全無虞的使用環境,仍是信者恆信、不信者恆不信,似乎多言無益;但既然談論資料庫安全,其實應回歸問題原點,認真檢視資料庫系統本身的安全設計,才不致模糊焦點。

舉例來說,McAfee是一家浸淫資安領域多年的業者,擁有不俗的市場口碑,旗下Lab定期發布的威脅報告,便具有參考價值。在今年第三季,其便針對市場上6個被慣常採用的商用或開原碼資料庫,發表了最新觀察到的安全漏洞,結果顯示,被若干DBA視為無堅不摧的「優質」商用資料庫系統,以及坐擁龐大開發社群,被視為甚具安全免疫能力的開原碼資料庫系統,竟然雙雙上演漏洞百出的驚悚戲碼。[註]

上述的商用系統,在短短一季時間,接連出現兩個足以釀成零日攻擊的弱點,回顧資料庫安全漏洞發展史,可謂前所未見的異常現象,這也意謂著,該系統已成為眾多網路攻擊者眼中的頭號獵物,爾後恐將面臨巨大挑戰。至於上述的開原碼系統,漏洞數量高居所有資料庫之冠,更意謂其用戶陷入危機而不自知。

反觀SQL Server,則以屈指可數的零星漏洞數量屈居末位,同時都已獲得微軟快速處理,顯見這個被若干DBA視為相對不安全的系統,其用戶平日曝露的風險,遠較其他資料庫為低。換言之,假使企業昧於體察事實,反將潛藏安全疑慮之標的列為首選,恐招惹更多禍害進門,不能不慎!

曾有DBA說得貼切,SQL Server無論在帳號管理、資料傳輸、備份加密等方面的表現,隨著版本更新,都一次比一次更加到位,不管你是否認同這些進步成果,但自從SQL Server 鮮少爆發相關安全事故的優良歷史來看,領先業界的安全性是不爭的事實。

註: 原始資料來源請參考McAfee Labs, https://blogs.mcafee.com/enterprise/mcafee-labs-q3-threats-report


1 則留言

0
海綿寶寶
iT邦超人 1 級 ‧ 2013-02-20 15:23:22

對我而言
開發系統不會綁特定資料庫
SQL Server, Oracle一樣好
就看出錢的人想買那一個
下雨

除了價錢以外
我覺得對我最有說服力的
還是reference account
醉

luckymei提到:
即使Windows Server 2012已致力營造安全無虞的使用環境,仍是信者恆信、不信者恆不信,似乎多言無益

不是那麼制式的自賣自誇台詞
這個語氣倒是蠻貼近市場想法的
讚

我要留言

立即登入留言