Fachartikel

Fünf To-dos für sichere MySQL-8.0-Datenbanken

Einbrüche in Datenbanken und der damit einhergehende Informationsklau gehören fast schon zur Normalität. Oft profitieren Angreifer dabei von einer unterlassenen Sicherheitskonfiguration. Der Beitrag legt dar, dass Datenbankupdates wie MySQL 8.0 zwar Verbesserungen hinsichtlich Security bringen, aber von Seiten der IT-Administration ein paar wichtige Anpassungen benötigen.
Der Schutz von Datenbanken bedarf bei IT-Verantwortlichen ganz besonderer Aufmerksamkeit.
Falsche oder unsichere Einstellungen in Datenbanken bergen ein hohes Risiko: Niedrige Security-Standards machen es Angreifern leicht, Passwörter zu knacken und Unternehmensdaten abzuschöpfen. Regelmäßige Datenbankupdates und Plug-ins sorgen für Abhilfe – sie schließen Sicherheitslücken und schützen vor unbefugtem Zugriff. Version 8.0 von MySQL bietet wichtige Neuerungen zur Verbesserung der Sicherheit. Im Fokus stehen vor allem die Absicherung von User-Accounts, die Verwaltung von Passwörtern und Zugriffsrechten sowie die Datenverschlüsselung.

  • Passwortänderungen reglementieren: Passwörter in Nutzerkonten lassen sich relativ einfach ändern, sofern die E-Mail-Adresse des Nutzers bekannt ist. Sicherer wird ein Nutzerkonto, wenn bei jeder Passwortänderung das aktuelle Passwort angegeben werden muss. So hindern IT-Verantwortliche Angreifer daran, die Datenbanksitzung mithilfe einer Web-Shell im Hintergrund zu übernehmen und Anwender durch eine Passwortänderung auszusperren. Darüber hinaus lässt sich festlegen, in welchem Zeitraum Anwender ältere Passwörter erneut verwenden dürfen. Dabei kann sowohl die Anzahl der zurückliegenden Passwörter als auch der Nutzungszeitraum hinterlegt werden. Ebenso kann Nutzern untersagt werden, alte Passwörter erneut verwenden zu dürfen
  • SHA-256-Algorithmen nutzen: Ältere MySQL-Versionen nutzten zur Authentifizierung von Usern SHA1-Algorithmen. Allerdings sind diese anfällig gegenüber Cyberangriffen, weil sich der Hash-Wert mit SHA1 ausschließlich aus dem Passwort des Anwenders errechnet. Nutzen also zwei User dasselbe Passwort, wird ihnen im System auch der gleiche Hash-Wert zugeordnet. Die Generierung eines Hash-Werts unter SHA1 macht es Angreifern leicht, Zugriff zum Hash-Wert und Datenbankzugang des Nutzers zu erlangen und mithilfe einer Rainbow Table das Passwort zu entschlüsseln. Mit MySQL 8.0 wurden hingegen SHA-256-Algorithmen als Standard-Authentifizierungs-Plug-in eingeführt. SHA-256 nutzt 5000 Transformationsrunden eines Salted Passwords (Kombination eines Passworts mit einem zufälligen Datensatz). Das macht es nahezu unmöglich, das Passwort eines anderen Nutzers über Rainbow Tables zu ermitteln und zurückzusetzen.
  • Rollenkonzepte für Zugriffsrechte verwenden: Ebenfalls wichtig in Sachen Sicherheit von Datenbanken sind die Zugriffsrechte für einzelne Anwender. Nicht jeder Mitarbeiter benötigt einen vollen Zugriff auf alle Daten und Unternehmensbereiche. Schränkt die IT-Abteilung den Datenzugriff durch ein Rollenkonzept ein, sind auch Angreifern die Hände gebunden. Ein Rollenkonzept ist wichtig, wie der Verizon Data Breach Investigations Report 2018 zeigt: So standen im vergangenen Jahr mehr als 200 von 2216 Datenlecks im Zusammenhang mit der Ausnutzung von Datenbank-Zugriffsrechten. Um Regularien wie DSGVO, DISA und CIS einhalten zu können, sind rollenbasierte Zugriffsrechte zudem essenziell.
  • Dynamische Berechtigungen einsetzen: Eine weitere Möglichkeit zur Einschränkung von Zugriffsrechten bieten dynamische Berechtigungen. Dabei verknüpft der Administrator das Zugriffsrecht eines Mitarbeiters beispielsweise mit dem Ort oder dem Zeitpunkt des Zugriffs. Loggt sich also ein User von einem anderen Computer ein, bleibt ihm der Zugriff verwehrt. Möglich wird dies dadurch, dass der Server bei jeder Verbindung die Parameter prüft, die für eine Benutzerberechtigung gültig sind. Viele Datenbankanbieter setzen mittlerweile auf rollenbasierte Nutzerprofile in Kombination mit dynamischen Berechtigungen und verzichten auf Super-Privilegien. Das gilt auch für MySQL 8.0.
  • Integrierte Verschlüsselung nutzen: Durch die Verschlüsselung der Daten selbst erlangen Dritte keine Einsicht in Unternehmensdaten. MySQL 8.0 bietet hier den FIPS-Modus und die Überwachung von Schreibprozessen über Redo- und Undo-Daten. Beim FIPS-Modus handelt es sich um einen Verschlüsselungsalgorithmus. Er nutzt Master-/Slave-Replikationen, Gruppenreplikationen und das X-Plug-in. Die verwendeten Algorithmen und Protokolle sind durch die US-amerikanischen Federal Information Processing Standards (FIPS) reglementiert und sorgen für eine chiffrierte Client-Server-Verbindung. Redo-Log und Undo-Log hingegen verschlüsseln und sichern die Vorgänge in einer Datenbank. Sie sind aktiv, sobald ein Mitarbeiter auf die Informationen der Datenbank zugreift, diese verändert, löscht oder neue hinzufügt. Eine Verschlüsselung der Daten ist selbst im Ruhezustand sehr wichtig für die Sicherheit der Datenbank.
27.03.2019/ln/Avidan Reich, Security Research Engineer bei Imperva

Nachrichten

Toshiba Memory heißt ab Oktober Kioxia [18.07.2019]

Nachdem Toshibas hiesige Notebook-Sparte bereits seit Anfang des Jahres Dynabook heißt, steht nun auch für den Flash-Sektor eine Umbenennung an. Ab dem 1. Oktober 2019 firmiert die Toshiba Memory Europe GmbH als Kioxia Europe GmbH. Bei der Namensfindung griff der Konzern auf ein Kunstwort mit japanischen und griechischen Elementen zurück. [mehr]

DataCore präzisiert Storage-Zukunft [9.07.2019]

DataCore Software positioniert mit "DataCore ONE" seine Vision einer zukünftigen Speicherinfrastruktur. Die Neuvorstellung beschreibt die Implementierung von Software-defined Storage in Rechenzentren, in der Cloud und im Edge Computing. Es basiert auf der zentralen Steuerung und Kontrolle verschiedener Speicherklassen, die primär, sekundär und archivübergreifend arbeiten. [mehr]

Tipps & Tools

Katalogbackup regelmäßig durchführen [21.07.2019]

Viele Admins, die Veritas NetBackup nutzen, fragen sich, wie sie bei einem Katalogbackup die ideale Aufbewahrungsrichtlinie (Data Retention Policy) aufsetzen und ob diese identisch zur längsten Periode sein muss, mit der sie beim Backup arbeiten. Auf was tatsächlich geachtet werden sollte, zeigt Ihnen dieser Tipp. [mehr]

Großes Storage-Gewinnspiel [15.07.2019]

Die Datenmengen in Unternehmen wachsen stetig an. Ihre Speicherung und schnelle Bereitstellung wird zu einer immer größeren Herausforderung. storage2day, die neue Konferenz für Speichernetze und Datenmanagement, präsentiert an zwei Tagen im September Grundlagen, bewährte Lösungen für den Praxiseinsatz und zukünftige Entwicklungen. IT-Administrator verlost für die Konferenz drei Eintrittskarten im Wert von jeweils 895 Euro. Außerdem gibt es noch viel Lesematerial zum Thema zu gewinnen. [mehr]

Buchbesprechung

Anzeigen