穿吊帶衫的和尚
這種問題,個人給你的建議是:
1.如果你懂IPSEC來做一下端口限制,比如只允許訪問服務器指定的1433端口,以及軟件必須的端口和你遠程的端口外,其他都不允許訪問。
2.使用的SQL版本儘量打上所有安全補丁,同時SA密碼儘量複雜化,大小寫字母加數字全用上,再一個SQL的GUEST客戶訪問權限也要設置好,不要給他多權限,除了基本的讀取和寫入就不要再給了。
3.如果客戶端訪問是固定IP,可以ipsec,只允許這個IP訪問,這樣效果是最好的。
4.如果有軟件允許還可以雲服務器架設VPN服務器來進行訪問這種就更安全了。
3.
桃妹談美食
一:保證客戶端密碼安全
1. 通過dll/so/dylib對密碼加密也就是說客戶鏈接1433端口的密碼並不是實際密碼,提升破解成本;
2. 增大密碼複雜度防止猜解;
3. 增加密碼錯誤次數,如超過則鎖定ip;
4. 使用動態密碼通過一定算法獲取;
二:服務(器)層防禦
5. 修改默認端口,增加入侵成本;
6. 防火牆策略白名單限制防止其他ip攻擊;
7. 服務器口令與數據庫口令不要設置一樣,增加侵入者入侵服務器的成本;
三:保證數據安全
8. 給內網客戶使用的數據庫用戶權限盡可能小;
9. 數據庫做好日誌記錄以及定期備份,被刪等意外情況下緊急恢復
10. 對數據操作進行審計,發現異常操作進行告警,及早干預防止損失擴大
以措施基本是用來增加入侵成本的。最佳方式就是實時風控和審計,發現異常請求立即終止,但此類成本較高。
對於內網用戶從成本和難度方面考慮除了審計/風控外其他都可以
一隻螞蟻爬牆上
安全也算是運維人員老生常談的話題。針對你的問題,建議如下
1.改端口,不使用默認的1433端口。更換為1024-65535的非默認端口
2.不使用弱口令。設置複雜密碼,包含大小寫,數字,特殊字符組合
3.防火牆設置過濾規則,或者只允許固定IP段訪問
5.加強服務器本身防護,避免木馬病毒的惡意入侵
6.……
極客瀟
運維的角度看,這麼做是一票否決的!但這是在雲上,本質上運維方不是你們公司的任何人,而是雲服務商,但數據卻不是雲服務商的。所以造成主管的不負責,負責的不主管。
公司的運維僅剩下建議權,那就不建議這麼做,如果項目組非要這麼做,則籤安全責任書,項目負責人簽字確認,那麼他們愛怎麼幹就怎麼幹。
乖乖已不在
雲服務器開端口給“非公網用戶”訪問?“非公網用戶”是什麼用戶?你的“雲服務器”是“公有云”還是“私有云”?“非公網用戶”是怎麼訪問的?需要什麼級別的權限?是全數據庫服務器的訪問?特定數據庫的訪問?特定表的訪問?特定字段的訪問?增、刪、改、查全要有?還是部分?你為什麼不能把他要的數據推送過去?為什麼非要他進來訪問呢?
七星無相
1 改1433端口號為其它端口號。 2 禁止sql執行操作系統命令 3 打上所有補丁 4 用戶密碼有多複雜就多複雜
app開發者
把數據庫暴露給外部用戶是個荒唐的主意,應把數據或服務以Api的方式提供給外部,且所有數據要加密以防止劫包。非得如此,還是用vpn吧。
天涯特困生
限制訪問IP,或者在內網訪問 ,數據庫儘量不要開放公網直接訪問,可以說說你的應用場景,便於針對性提出更好方案
隔壁老鄰
不要開放1433 最佳辦法是寫個服務。
媉歨塒蘹
vpn訪問安全。