iT邦幫忙

0

請問資料庫密碼要定期更新嗎?

  • 分享至 

  • xImage

今天資安ISO被問到,資料庫密碼要定期更新嗎?
按照資安要求應該要三個月換一次密碼,但延伸到資料庫的話就會有問題,因為很多應用都是使用固定密碼

李大瑋 iT邦好手 1 級 ‧ 2023-03-30 15:30:27 檢舉
改一次忙三個月
三個月後準備再忙..........
資料庫密碼真要定時改
那還真是有得忙
DennisLu iT邦好手 1 級 ‧ 2023-03-30 23:42:31 檢舉
那需不需要資料庫連線加上SSL加密,憑證定期更新?
小MIS iT邦研究生 1 級 ‧ 2023-03-31 11:19:54 檢舉
謝謝您!
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
hsiang11
iT邦好手 1 級 ‧ 2023-03-31 10:03:33
最佳解答

我覺得這要說到大多公司很多系統沒有規劃兩層或三層式架構
連AP跟DB主機分成不同台的概念都沒有
更何況後面的資安規劃困難重重
DB主機暴露在只有單一網段的環境
那在改密碼的效益也不是那麼高的

像我遇到的ERP,就算主機名有取AP跟DB
實際上根本各自獨立運作DB,很多廠商也都亂搞
從網路架構大多就開始爛了 後面救不回來

小MIS iT邦研究生 1 級 ‧ 2023-03-31 11:19:57 檢舉

謝謝您!

1
whitefloor
iT邦研究生 2 級 ‧ 2023-03-30 16:55:42

AWS Secret Manager 可以解決你這問題
可以根據你的需求設定多久 rotate 密碼
其他我就不知道了,還請知道的大大告訴我XD

https://aws.amazon.com/tw/blogs/security/how-to-use-aws-secrets-manager-rotate-credentials-amazon-rds-database-types-oracle/

小MIS iT邦研究生 1 級 ‧ 2023-03-31 11:20:11 檢舉

謝謝您!

1
kw6732
iT邦研究生 4 級 ‧ 2023-03-30 16:57:02

個人經驗談,如果是只放在MIS可以控管到安全網域內的話根本不用去改它,MIS要負責管理,不管是用Vlan或公司域內的方式均可,因為一般的使用者根本就進不來這個域內。
最外層使用者的密碼,才適用這原則去要求。

小MIS iT邦研究生 1 級 ‧ 2023-03-31 11:19:49 檢舉

謝謝您!

0
lsesroom
iT邦新手 2 級 ‧ 2023-03-31 14:45:03

如果是ISO稽核提問,就照你們自己訂定的ISO文件規定及實際執行狀況回答。

率先提出密碼相關規定建議的NIST,在2017年就取消了定期修改密碼這項建議。當然行之有年,互相抄來抄去的資安規章,何時有人敢去動這條規定,也不知道是什麼時候的事了。

可以參考NIST的文件SP 800-63:Digital Identity Guidelines。

0
leechongnan
iT邦新手 5 級 ‧ 2023-03-31 16:23:48

ISO稽核就是看你程序書而已
把程序書改掉就沒事了

0
流浪大叔
iT邦新手 2 級 ‧ 2023-03-31 17:12:06

===治標不治本===
單純...只是要..達成"更新"..這個行為的話...
如果沒有卡控密碼重複的條件,單純只是為了符合稽核,
...直接變更成相同密碼,也是一種更新...至少密碼異動log時間變動呃..

以上真實事件...

真要解決,只能將用到密碼的config/server都開來換密碼,或是啟動重新架構的大工程..
祝您順利解決。

不明
【**此則訊息已被站方移除**】

我要發表回答

立即登入回答