Nos ambientes corporativos, o conceito de segurança vai muito além de implementar uma senha forte. Em empresas de grande porte, esta área tem a função de definir regras em todas as esferas da organização, incluindo conceitos de segurança física que devem ser seguidos à risca.
Quando o assunto é segurança, uma palavra é fundamental: confiança. Quando um processo de segurança é fragilizado, a confiança pode ser perdida, e isso pode causar prejuízos à organização. Políticas de trocas de senha devem ser pensadas e adequadas a cada ambiente. Ferramentas podem ajudar neste processo. Firewalls, anti-spam, políticas de acessos, baselines devem ser criados para que no final o resultado seja um ambiente confiável.
No contexto de banco de dados, os SGBDs SQL Server e Oracle não deixam a desejar neste aspecto. Os dois são excelentes ferramentas que se forem bem configuradas podem deixar a informação bem protegida.
O SQL Server tem como grande aliado o seu sistema operacional Windows Server e as ferramentas da Microsoft que, juntas, podem dificultar bastante os programas mal-intencionados. Já o Oracle possui parâmetros que auxiliam nas configurações voltadas para uma boa segurança.
Na prática, implementar estas medidas não é difícil, porém cuidados devem ser tomados e regras devem ser criadas. Uma boa segurança sempre deve estar associada a uma disciplina dentro da empresa. De nada adianta ter todo um processo de segurança bem implementado e não seguir este processo.
O processo de segurança deve ser iniciado com uma análise do ambiente de banco de dados da empresa. Em ambientes grandes, existem várias equipes de desenvolvimento, analistas e pessoas envolvidas em resolver problemas, suporte e outros.
É muito fácil um analista solicitar um acesso full ao banco de dados, desta forma ele não se preocupa em ter que acessar uma ou outra tabela (acessando o banco de dados por completo, ele pode verificar o ambiente como um todo). Estas solicitações de acesso ficam ainda mais complicadas quando o analista conhece profundamente o sistema ou até quando ele já trabalha há muito tempo na empresa. Neste ponto existe uma certa vaidade em “ter que acessar tudo” e dessa forma, se o gerente permite este tipo de acesso, começam a existir “pessoas autorizadas” a fazer tudo e acessar tudo dentro de um database.
Neste artigo iremos demonstrar alguns detalhes que podem melhorar muito a proteção do SQL Server e do Oracle tais como políticas de acesso e uso de roles.
Políticas de acessos
As políticas de
acesso nos databases podem ser tratadas da mesma forma, independente do banco
de dados usado. Tais políticas devem ser criad ...