一则数据泄露案例教你做好安全基线的重要性
副问题[/!--empirenews.page--]
据汹涌消息2月15日动静,2月13日,GDI基金会荷兰安详研究员Victor Gevers在推特上爆料,中国某公司产生大局限数据泄漏变乱。Gevers暗示,该公司所把握的数百万人的跟踪数据可供任何人会见,个中包括高出256万人的小我私人书息,,譬喻身份证号码、身份证刊行日期、性别、国度、住址、生日、照片、店主和已往24小时内的位置,约莫有668万笔记录。Gevers称,该公司的数据库从2018年7月开始就处于任何人都可以会见的状态。 经细心阅读说明该案例后,发明常易被人忽视的一般安详运营之安详基线事变即能轻松提防和停止该类变乱的产生,具体说明如下: 一、案例成因说明 1. 配景信息 2. 数据泄漏缘故起因技能说明 从Gevers在推特上发的截图和描写可以起源说明如下,该公司行使MongoDB数据库存放人脸辨认等小我私人敏感数据,该数据库实例处事行使MongnDB安装缺省端口27017,该处事端口可由互联网直接会见,该数据库未启用身份认证机制,即应承任何人会见。 变乱发生缘故起因:该公司对存放人脸辨认敏感数据的MongoDB数据库行使了进场安装缺省设置,未举办一般安详运营中的安详基线事变,存在严峻安详裂痕导致了此变乱的产生。 二、安详运营之安详基线事变的提防手段先容 在一般安详运营中的安详基线事变中,企业的安详团队会针对公司行使的各类体系、软件和数据库开拓和宣布响应的安详基线尺度,在体系上线前举办陈设和合规性搜查,经搜查只有在与公司的安详基线尺度切合的条件下才应承上线,这样就可以停止因为各类体系、软件和数据库因为行使厂家出厂不安详缺省设置导致的安详裂痕题目,有用地低落和节制安详风险。 下面针对该案例摘录部门MangoDB安详基线内容如下: 1. 端到端安详架构计划 MongoDB端到端安详架构计划如下图所示,从职员、进程和产物(技能)三个维度举办纵深安详系统防护,别离通过会见节制、加密和审计来实验。 收集安详架构陈设参照下图,通过两层防火墙将WEB/应用处事器和MongoDB数据库处事器别隔开离在差异的两个DMZ类举办收集地区断绝和分层收集会见节制,数据库处事器通过防火墙会见法则节制只能由DMZ1地区内的应用处事器会见,停止了将其直接袒露给互联网的安详风险题目。 2. 启用MongoDB数据库身份认证成果 身份认证成果状态搜查:
假如身份认证成果已启用,则Auth的配置值为“True”。 激活身份认证成果步调: (1)启动未激活身份认证成果的MongoDB数据库实例;
(2)建设数据库体系打点员用户,并确保配置的口令切合组织口令计策的要求;
(3)重启已激活身份认证成果的MongoDB数据库实例。
3. 确保MongoDB数据库实例只在授权的接口上侦听收集毗连 当前数据库实例收集侦听状态搜查: 搜查MongoDB设置文件;
搜查相干收集会见节制配置;
设置数据库实例侦听在指定收集接口并用防火墙法则举办严酷会见节制,应只应承DMZ地区里的应用处事器毗连,下面以主机防火墙iptables示例设置如下。
如上比拟说明可以看出,假如企业在一般安详运营中,当真严酷地凭证MongoDB数据库安详基线尺度执行的话,就可以或许有用地提防和停止相同大数据泄漏案例的产生。 Reference: https://github.com/cn-quantumsec/Diaoyu-Castle-Sec-Benchmark-Project (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |