L'ambiente multi-cloud è una topologia comune e persino consigliata per un piano di ripristino di emergenza (DRP), ma la sicurezza potrebbe essere un rischio in quanto è necessario aggiungere ai controlli di sicurezza comuni un punto in più o più di uno per garantire i tuoi dati in ambienti multi-cloud.
In questo blog menzioneremo alcuni dei controlli di sicurezza più comuni in un ambiente PostgreSQL in esecuzione nel cloud e di cosa devi tenere conto quando utilizzi un ambiente multi-cloud.
Controlli di sicurezza per PostgreSQL nel cloud
Vediamo alcuni dei controlli di sicurezza più comuni per un database PostgreSQL in un ambiente cloud.
Controllo dell'accesso al database
Devi limitare l'accesso remoto solo alle persone necessarie e dalla minor quantità possibile di fonti. L'utilizzo di una VPN per accedervi è sicuramente utile qui, ma ci sono anche altre opzioni come SSH Tunneling o Firewall Rules.
Gestione degli account utente del database
Ci sono molti modi per migliorare la sicurezza dei tuoi account utente.
-
Rimuovi utenti inattivi.
-
Concedi solo i privilegi necessari agli utenti necessari.
-
Limita la sorgente per ogni connessione utente.
-
Definisci una politica per la password sicura.
Installazioni e configurazioni sicure
Ci sono alcune modifiche da fare per proteggere l'installazione del database.
-
Installa solo i pacchetti ei servizi necessari sul server.
-
Cambia la password utente amministratore predefinita e limita l'utilizzo solo al localhost.
-
Cambia la porta predefinita e specifica l'interfaccia su cui ascoltare.
-
Abilita plug-in di controllo.
-
Configura i certificati SSL per crittografare i dati in transito.
-
Crittografa i dati inattivi.
-
Configura il firewall locale per consentire l'accesso alla porta del database solo dalla rete locale o dalla sorgente corrispondente.
Se stai utilizzando un database gestito, alcuni di questi punti non saranno possibili.
Implementare un WAF (Web Application Firewall)
Le iniezioni SQL o gli attacchi DoS (Denial of Service) sono gli attacchi più comuni a un database e il modo più sicuro per evitarli è utilizzare un WAF per catturare questo tipo di query SQL o un SQL Proxy per analizzare il traffico.
Mantieni il tuo sistema operativo e database aggiornati
Ci sono diverse correzioni e miglioramenti che il fornitore del database o il sistema operativo rilasciano per correggere o evitare le vulnerabilità. È importante mantenere il sistema il più aggiornato possibile applicando patch e aggiornamenti di sicurezza.
Controlla frequentemente CVE (Vulnerabilità ed esposizioni comuni)
Ogni giorno vengono rilevate nuove vulnerabilità per il tuo server di database. Dovresti controllarlo frequentemente per sapere se devi applicare una patch o cambiare qualcosa nella tua configurazione. Un modo per saperlo è esaminare il sito Web CVE, dove puoi trovare un elenco di vulnerabilità con una descrizione e puoi cercare la versione del tuo database e il fornitore, per confermare se c'è qualcosa di fondamentale da risolvere il prima possibile.
Controlli di sicurezza per PostgreSQL in un ambiente multi-cloud
A parte i controlli sopra menzionati, la cosa più importante da proteggere in un Ambiente Multi-Cloud è la comunicazione tra i Cloud Provider.
Per motivi di sicurezza, la comunicazione tra i Cloud Provider deve essere crittografata e devi limitare il traffico solo da fonti note per ridurre il rischio di accesso non autorizzato alla tua rete.
L'uso di regole VPN, SSH o Firewall, o anche una loro combinazione, è un must per questo punto. Devi limitare il traffico solo da fonti conosciute, quindi solo dal Cloud Provider 1 al Cloud Provider 2 e viceversa.
Conclusione
Il tuo ambiente multi-cloud sarà più sicuro controllando i punti sopra menzionati, ma sfortunatamente c'è sempre il rischio di essere violato in quanto non esiste un sistema sicuro al 100%.
La chiave qui è minimizzare questo rischio e, per questo, dovresti eseguire periodicamente strumenti di scansione della sicurezza come Nessus, alla ricerca di vulnerabilità e avere un buon sistema di monitoraggio come ClusterControl, che non solo ti permetta di monitorare il tuo sistema, ma anche ripristina automaticamente i tuoi sistemi in caso di guasto o imposta rapidamente la replica in un ambiente Multi-Cloud e gestisci l'installazione in modo semplice e intuitivo.
