Beruflich Dokumente
Kultur Dokumente
com
MySQL Security DOAG 2013 Datenbank 14. Mai 2013, Dsseldorf Oli Sennhauser
Senior MySQL Berater, FromDual GmbH
oli.sennhauser@fromdual.com
1 / 24
www.fromdual.com
2 / 24
Inhalt
HA Solutions MySQL Security
www.fromdual.com
Was ist Read scale-out Security? Replication Probleme, Anforderungen, set-up for HA Konsequenzen, Massnahmen Active/passive fail-over Vertraulichkeit MySQL Cluster Integritt Replication Cluster Verfgbarkeit Storage-Engine-Replication Informationsquellen
3 / 24
www.fromdual.com
Vertraulichkeit
Zugriff nur durch autorisierte Nutzer Vernderung der Daten Nachvollziehbarkeit Verhinderung von Systemausfllen
Integritt
Verfgbarkeit
4 / 24
Sicherheitsprobleme (1)
www.fromdual.com
Technische Sicherheitsprobleme
Sind einfach in den Griff zu bekommen Gut wenn schnell kaputt Schlecht wenn langsam kaputt CPU, RAM, I/O-Controller, NW, Motherboard
Stromausfall Disk luft voll, DB crashed, Replikation bleibt stehen... Monitoring Error Log anschauen! Bugs
5 / 24
Sicherheitsprobleme (2)
www.fromdual.com
Menschliche Sicherheitsprobleme
Sind etwas schwieriger in den Griff zu bekommen! UPDATEempSETsalary=salary+10000;WHERE position='manager'; DROP auf Produktion anstatt auf Entwicklungssystem :-(
Unfall: Ups!!!
Interner Datenklau (Schweizer Daten-CD's in D) Externer Angriff (Zerstrung, DoS, Datenklau) Gemss Statistiken kommt interne Angriffe hufiger vor als externe...?
6 / 24
Sicherheitsanforderungen
www.fromdual.com
Was sind die Anforderungen? vs. was sind die Kosten? Wie lange darf ein Restore/Recovery dauern?
Ist es akzeptable, alte Daten erst spter zurckzukriegen? Wer hat Zugriff auf welche Daten?
7 / 24
Konsequenzen
www.fromdual.com
Firma muss geschlossen werden Rechtliche Konsequenzen Finanzieller Schaden (fristlose) Entlassung Reputationsschaden
8 / 24
Massnahmen
www.fromdual.com
Backup + Restore + Restore-Tests HA-Lsungen Logging Regelmssige Upgrades (DB, O/S) Zugriffskontrolle/-beschrnkungen
Organisatorische Massnahmen
9 / 24
www.fromdual.com
Vertraulichkeit
10 / 24
Warum so pingelig?
www.fromdual.com
Reputationsschaden Datendiebstahl
Hoster!
11 / 24
Zugriffsbeschrnkung
www.fromdual.com
root von remote? Passwrter: leer, default, gleich, ndern Privilegien: ALLON*.*
12 / 24
Abwehrmassnahmen
www.fromdual.com
MySQL Konfiguration .history oder .mysql_history Datenbank NIE Internet aussetzen DMZ Firewall SQL-Firewall gegen Angriff aus der Applikation Bekannte Angriffsziele meiden: phpMyAdmin
13 / 24
Upgrades
www.fromdual.com
Upgrade Strategie?
14 / 24
www.fromdual.com
Integritt
15 / 24
Datenintegritt
www.fromdual.com
Binary Log General Query Log Logon Trigger (init_connect) Audit Log Plugin (Enterprise Feature)
16 / 24
www.fromdual.com
Verfgbarkeit
17 / 24
Backup + Restore
www.fromdual.com
18 / 24
Point-in-Time-Recovery (PITR)
Application Application Application
www.fromdual.com
log_bin=on
mysqld
bin-log.1
bin-log.2
...
bin-log.n
full backup
02:00
14:00
19 / 24
HA Lsungen
www.fromdual.com
Master-Slave Replikation Galera Cluster fr MySQL Aktiv/passiv Failover-Cluster SAN/DRBD MySQL Cluster
20 / 24
www.fromdual.com
App
App rw
App
Node 1
wsrep
Node 2
wsrep
Node 3
wsrep
21 / 24
www.fromdual.com
Hardware-Ausfall Wartungsarbeiten
App
App
App
HW/OS/DB Upgrade
Node 1
wsrep
Node 2
wsrep
Node 3
wsrep
Galera replication
22 / 24
Informationen
www.fromdual.com
http://www.fromdual.com/security MySQL/MariaDB/Percona: Release-Notes Oracle CPU MySQL Dokumentation: Security CVE RedHat Security Advisors full-disclosure@lists.grok.org.uk MySQL Security Forum
23 / 24
Q&A
Fragen ? Diskussion?
www.fromdual.com
www.fromdual.com/presentations
24 / 24