O ambiente multinuvem é uma topologia comum e até recomendado para um plano de recuperação de desastres (DRP), mas a segurança pode ser um risco aqui, pois você precisa adicionar às verificações de segurança comuns um ponto extra ou mais de um para garantir seus dados em ambientes Multi-Cloud.
Neste blog, mencionaremos algumas das verificações de segurança mais comuns em um ambiente PostgreSQL executado na nuvem e o que você precisa levar em consideração ao usar um ambiente multinuvem.
Verificações de segurança para PostgreSQL na nuvem
Vamos ver algumas das verificações de segurança mais comuns para um banco de dados PostgreSQL em um ambiente de nuvem.
Controlando o acesso ao banco de dados
Você deve limitar o acesso remoto apenas às pessoas necessárias e da menor quantidade possível de fontes. Usar uma VPN para acessá-lo é definitivamente útil aqui, mas também existem outras opções, como SSH Tunneling ou Firewall Rules.
Gerenciando contas de usuário do banco de dados
Há muitas maneiras de melhorar a segurança de suas contas de usuário.
-
Remover usuários inativos.
-
Conceda apenas os privilégios necessários aos usuários necessários.
-
Restringir a fonte para cada conexão de usuário.
-
Defina uma política de senha segura.
Instalações e configurações seguras
Existem algumas alterações a serem feitas para proteger a instalação do banco de dados.
-
Instale apenas os pacotes e serviços necessários no servidor.
-
Altere a senha do usuário admin padrão e restrinja o uso apenas do localhost.
-
Altere a porta padrão e especifique a interface para escutar.
-
Ativar plug-in de auditoria.
-
Configure certificados SSL para criptografar dados em trânsito.
-
Criptografar dados em repouso.
-
Configure o firewall local para permitir acesso à porta do banco de dados somente da rede local ou da fonte correspondente.
Se você estiver usando um banco de dados gerenciado, alguns desses pontos não serão possíveis.
Implementar um WAF (Web Application Firewall)
SQL Injections ou ataques DoS (Denial of Service) são os ataques mais comuns a um banco de dados, e a maneira mais segura de evitá-los é usar um WAF para capturar esse tipo de consultas SQL ou um SQL Proxy para analisar o tráfego.
Mantenha seu SO e banco de dados atualizados
Existem várias correções e melhorias que o fornecedor do banco de dados ou o sistema operacional lança para corrigir ou evitar vulnerabilidades. É importante manter seu sistema o mais atualizado possível aplicando patches e atualizações de segurança.
Verifique CVE (vulnerabilidades e exposições comuns) com frequência
Todos os dias, novas vulnerabilidades são detectadas em seu servidor de banco de dados. Você deve verificar com frequência para saber se precisa aplicar um patch ou alterar algo em sua configuração. Uma maneira de saber é revisando o site do CVE, onde você pode encontrar uma lista de vulnerabilidades com uma descrição e procurar a versão e o fornecedor do seu banco de dados para confirmar se há algo crítico para corrigir o mais rápido possível.
Verificações de segurança para PostgreSQL em um ambiente multinuvem
Além das verificações mencionadas acima, o mais importante para proteger em um ambiente multinuvem é a comunicação entre os provedores de nuvem.
Por motivos de segurança, a comunicação entre os provedores de nuvem deve ser criptografada e você deve restringir o tráfego apenas de fontes conhecidas para reduzir o risco de acesso não autorizado à sua rede.
O uso de VPN, SSH ou Regras de Firewall, ou mesmo uma combinação delas, é essencial neste momento. Você deve restringir o tráfego apenas de fontes conhecidas, portanto, apenas do Provedor de Nuvem 1 para o Provedor de Nuvem 2 e vice-versa.
Conclusão
Seu ambiente multinuvem ficará mais seguro verificando os pontos mencionados acima, mas infelizmente sempre existe o risco de ser hackeado, pois não há um sistema 100% seguro.
A chave aqui é minimizar esse risco, e para isso, você deve executar periodicamente ferramentas de varredura de segurança como o Nessus, procurando por vulnerabilidades, e ter um bom sistema de monitoramento como o ClusterControl, que não só permite que você tenha seu sistema monitorado, mas também recupere automaticamente seus sistemas em caso de falha, ou até mesmo configure rapidamente a replicação em um ambiente Multi-Cloud e gerencie a configuração de maneira fácil e amigável.