SharedIT | 묻고 답하기(AMP)

dbms 보안 문의

안녕하세요.

내부 인프라 운영 현황 파악 중 고민이 되는 부분이 생겨 문의 드립니다.


저희 db의 경우 myxql,mariadb,posgre를 주로 사용합니다. 대부분 rds로 운영 중이나, 일부는 ec2, 실서버에 구축하여 사용중입니다.


개발자 및, 기타 사용자의 경우 db 접근시 디비접근제어솔루션을 통하여, 접근하기에 이슈가 없으나

dba 분들은 실제 작업 및, 빠른 이슈 대응으로 서버으 직접 붙어 사용합니다.

해당 부분은 문제가 없는데, 문제는 서버의 보안 업데이트를 수행하지 않아 권한 상승 취약점이 다수 존재하며, 

db접근 시 db사용자 계정으로 로컬에서 바로 접근이 가능한데(원격 접근은 불가) 혹여나, 침해가 발생. 권한 상승으로 root권한 흭득, db접근의 흐름으로,  침해로 이뤄질수 있지 않을까 싶습니다.


일반적으로 로컬접근도 인증을 부여하는지 문의드립니다.

dba분들은 매우 싫어할꺼 같긴 한데...


추가로 최근 개인정보 유출 이슈가 많이 발생하는데, 이러한 이슈 인지는 보통 어띤식으로 이뤄질까요??

외부에서 sql 인젝션 취약점으로  들어오긴 쉽지 않지만 간간히 발생하고 있고, 보안솔루션(waf,ips)으로 완화를 하지만 그렇다고  우회가 불가능 한것도 아니고, 이것으로 유출을 탐지하긴 어려울꺼 같은데.  이러하 유출사실을 알려면 어떻게 모니터링을 수행하시는 지 궁금합니바


Tags : 태그가 없습니다.

10개의 답변이 있습니다.

hoollachan
  0 추천 | 일 년 이상 전

DB접근제어를 어느정도 수준으로 운영하느냐의 문제인것 같습니다. 

정말 타이트하게 운영해야 한다면 DB접근제어와 서버접근제어를 거치지 않고서는 리소스에 접근을 못하도록 강제화 하는게 맞지 않을까 싶습니다.

다만 그정도까지 안해도 된다라고 하면
제품마다 다르겠지만, 일부 SaaS 형태의 서버/DB 접근제어 제품에서는 패스워드를 일정시간 동안만 유지하는 OTP(?)
비슷한 정책으로 운영할 수 있게 도와주는 제품이 있기는 합니다. 저희도 그런 제품을 사용중이구요, 

기본적인 동작은 Bastion Host를 통한 SSH, DB 접근방식이고, 
DB의 경우 쿼리 내용까지 저장가능합니다(응답 결과는 저장 불가능하구요) 
물론 CLI(커맨드) 및 툴(dbeaver나 datagrip등)을 이용한 접근도 가능합니다

상황에 맞는 좋은 방법 찾으시기 바랍니다~

명동쓰레빠
  0 추천 | 일 년 이상 전

클라우드를 사용 한다고 가정하면  업무용클라우드와 개발 클라우드 보안클라우드 새영역으로 나뉘어 지는대 대개 데이터베이스 접근을 위해서는 보안 클라우드에서 작업을 합니다.

데이터베이스 접근을 하기위해 우선 접근계정을 받고 데이터베이스 접근을 가능하게 하는 DBSAFER등 회사별 도입한 툴을 설치하고 계정과 접속시 마다 발급 되는 패스워드를 받아 실행 한 이후 데이터베이스에 접근을 하는걸로 알고 있습니다.

물론 회사마다 정책이 다르므로 어느게 정답이다고라고는 할수가 없네요.



Simon.Park
  0 추천 | 일 년 이상 전

모든 보안 문제는 실 사용자와 보안담당자와의 줄다리기라고 봅니다.

처음부터 모든 것을 막고, 보안에 취약하니 이렇게 해라 하기 보다는,

차근 차근 하나씩 해결해 나가는게 어떨까요?

담당자나 실무자가 하나씩 양보해 나가면서 개선해 나가는게 최선일 듯 싶은데요~~ 

개복치 | 일 년 이상 전

이게 정말 어려운듯 합느다..

금융권이라면 아에 사업자체가 문제될 수 있으니 강력하게 나갈 수 있는데 ㅎㅎ

서로 좋게 가는게 좋은데 보앋이란게 강하게 가면 가용성이 떨어지고, 특히 개발자들이랑도 중앙통제를 싫어하는데, 저희는 해야하는 입장이다 보니.. 의견 좁히기가 쉽지 않더라구요.. 전회사도 그랬지만 그땐 사고 크게 터저서 요구하면 바로바로 해줘서 좋았는데 .. 

의견차이를 좁히는게 쉽지 않더라구요. 저도 일욕심이 좀 있기도 하고.. 다 포기하고 안하면 머라 할 사람 없지만, 

해당건 부분은 그냥 sudo로 db접근 시 이슈가 없을까 하는 부분인데, 전  권한상승 취약점 때문에 위험할 수 있므니 보완하자 거든요.

Genghis Khan
  0 추천 | 일 년 이상 전

DB 암호화가 필요해 보이고

DB 접근제어 솔루션도 알아보셔야 할 것  같아요

개복치 | 일 년 이상 전

진짜 민감정보는 암호화 되어있습니다. 그냥 우려되는 부분은 dba분들이 서버 접근해서 sudo로 바로 db접근 하는거입니다.. 완전 랜덤 암호사용해서.. 로그인시 인증 넣으면 안되겠냐 하니 엄청 싫어하시더라구요..

wansoo
  0 추천 | 일 년 이상 전

DB 접근 제어 솔루션을 접근 로그 및 접근에 대한 컨트롤을 하면 될걸로 보이네요.

보안이란 건 불편을 감수하고서라도 하는 것이기 때문에 누가 싫어 한다고 안하고, 누구에게 보여 주기 위해서 하는 것도 아니라 생각되고요.

필요하다는 내부 결정이 있다면 그 결정에 맞게 시행하는 되는 거겠고요.

누구 싫어하고, 좋아할 것을 미리 걱정하는 것 보다는 결정 권한이 있는 분들을 설득할 수 있을 지 없을 지를 고민해 보는 게 맞을 것 같네요.

발생가능한 문제점들에 대해 잘 어필해서 보안 적용에 대해 윗분들의 재가를 받는다면, 윗분들이 시행하라 한 것이기 때문에 DBA가 좋아하든 싫어하든 적용시키면 되는 것이고, 윗분들의 재가를 받지 못했다면 발생하는 문제점들에 대해 윗분들께서 책임져야할 문제이기 때문에 보안 문제로 너무 큰 걱정을 하지 않아도 될 것이라 생각되고요.

DB 접근 제어로는 DBSafer샤크라 맥스DB-i 등의 솔루션이 있고요.


개복치 | 일 년 이상 전

디비 접근제어는 도입되어 있습니다.. dba분들이 이용안할 뿐... 그래서 고민이에요... 

가끔가다 보면 그냥 직접 침해 내고, 신고할까? 라 생각도 들더라구요 ㅎㅎ

wansoo | 일 년 이상 전

DBA에게 선택의 여지가 없도록 접근 제어 솔루션을 통하지 않고는 DB에 접근하지 못하게 강제화되도록 구성하는게 맞겠죠.

접근제어 솔루션을 구성하는 방식에 따라 Agent 방식, 탭 방식, 게이트웨이 방식 등등이 있긴 하지만...

대부분 DB 접근 제어 솔루션들이 하드웨어 방식으로 작동되기 때문에 DB 서버 앞단에 물리적으로 연결되게 구성해서 DBA 뿐만 아니라 보안 담당자 조차도 우회해서 접근하지 못하게 구성하는게 맞겠고요.

wansoo | 일 년 이상 전

DB 뿐만 아니라 서버 접근 제어 솔루션까지 도입해서 서버 접근에 대한 로그까지 남기게 구성할 필요도 있어 보이고요.

빨간신발
  0 추천 | 일 년 이상 전

로컬에서 바로 접속이 가능하다는 말이 

해당 DB 서버에 접속에서 콘솔에서

mysql -u root -p

이렇게 하면 패스워드 입력하고 접근하는 것 말하나요?

db에서 localhost에서는 접근을 못 하게 막을 수도 있고,

db서버(o/s)에 ssh 같은 것을 접속할 때 o/s 접근통제를 통해서 인가된 사용자만 접근하게 하는 방법도 있을 듯 하네요.

그런데 콘솔에서 db에 접속할 일이 많이 있나요? 

불편해서 잘안하고, 보통은 원격에서 관리툴(heidisql, dbeaver 등)로 접속하지 않아요?

개복치 | 일 년 이상 전

db서버 접근 자체는 당연 베스천 호스타고 인가된 사용자만 접근 가능합니다. 다만 작업같은 경우 로컬에서 하시는걸 선호하시더라구요.. 굳이 vdi - 접근제어솔루션 - db 이렇게 가야하다보니;;

쿨가이
  0 추천 | 일 년 이상 전

보안과 편의성은 트레이드오프관계라.. 개인적으로 DB는 중요도 우선순위가 높은 만큼 

불편함이 있더라도 보안을 높이는게 정석이라고 생각합니다.

일반적으로 로컬접근까지는 인증하는 경우는 많이 없을것 같긴합니다만. 이것도 개별 기업의 

보안 정책에 따르는지라. 보안을 우선시 하시면 높이는게 맞다고 봅니다.

개복치 | 일 년 이상 전

현재 dba분들은 말씀처럼 그냥 sudo mysql 같이 바로 접근 하고 있는데, ㅎㅎ 이걸 제한하기 쉽지 않네요. 물론 접근 자체는 베스천을 타고 들어가지만, db서버에 쉘탈취까지 이뤄졌을때 걱정스러운데, 막상 여지껏 사고난적이 없어서... 어필이 어렵네요.

개복치
  0 추천 | 일 년 이상 전

디비 접근제어가 있는데 또다른 솔루션이 있나요??

차바라기
  0 추천 | 일 년 이상 전

견적게시판에 문의 해보세요

명동쓰레빠
  0 추천 | 일 년 이상 전

솔루션상담실 이용 바랍니다.