Bezpečnost a zálohy DB

Posted on by Marek Bielik
Bezpečnost a zálohy DB

Proč je bezpečnost a zálohování databází kritické

Databáze jsou srdcem informačních systémů. Každý jejich výpadek či kompromitace může znamenat ztrátu tržeb, reputace i právní důsledky. Cílem je zajistit důvěrnost, integritu, dostupnost a auditovatelnost (CIAA) dat v běžném provozu i při incidentech. Základem je kombinace bezpečnostní architektury, strategie zálohování a obnovy a pravidelného testování.

Hrozby a model rizik

  • Externí útoky: SQL injection, zneužití zranitelností, síťové útoky, ransomware.
  • Interní rizika: nadměrná oprávnění, chybné konfigurace, lidské chyby, insider threat.
  • Provozní události: hardware failure, korupce dat, neúmyslné smazání, chybné skripty migrací.
  • Environmentální a regionální: výpadky napájení, požáry, povodně, selhání regionu cloudu.

Architektonické principy bezpečnosti

  • Zero Trust: žádný implicitní trust; autentizace a autorizace pro každou akci, segmentace přístupu.
  • Least Privilege: minimální potřebná oprávnění, oddělení rolí (DBA, Dev, Ops, Auditors).
  • Defense in Depth: vrstvená ochrana od sítě přes aplikaci po data a klíče.
  • Secure by Default: bezpečné výchozí konfigurace, vypnutí nepoužívaných služeb a rozšíření.

Řízení identit a přístupů (IAM)

  • Silné ověřování: MFA pro administrátory a skokové servery; krátkodobé přístupové tokeny místo statických hesel.
  • Role a politiky: RBAC/ABAC, jemnozrnná privilegia (např. read-only repliky pro reporting).
  • Just-In-Time (JIT) access: dočasné zvyšování oprávnění s auditní stopou a schválením.
  • Federace: SSO přes OIDC/SAML do nástrojů správy DB, jednotné rušení přístupů (offboarding).

Síťová bezpečnost a segmentace

  • Oddělení zón: databázová vrstva v privátní síti bez přímého přístupu z Internetu.
  • Allow-listing: přístup pouze z aplikačních subnetů a bastion hostů; security groups/NSG.
  • Šifrované tunely: TLS, mTLS, IPsec; zákaz plaintextu i uvnitř datacentra.
  • Ochrana proti skenování: firewall, WAF (na aplikační vrstvě), rate limiting, port knocking (kde dává smysl).

Šifrování a správa klíčů

  • Šifrování přenosu: TLS 1.2+ (případně 1.3), moderní sady šifer, HSTS na proxy, mTLS pro interní služby.
  • Šifrování dat v klidu: TDE (Transparent Data Encryption), šifrované tablespaces, šifrované zálohy, šifrované snapshoty.
  • KMS/HSM: centrální správa klíčů, rotace klíčů, oddělení oprávnění „key admins“ a „data admins“.
  • Secrets management: trezory (Vault, KMS Secrets), krátká životnost přihlašovacích údajů, neverzit do kódu/CI.

Audit, logging a detekce anomálií

  • Auditní logy: přihlášení, změny schémat, DDL/DCL, citlivé SELECT/UPDATE/DELETE; neměnitelné úložiště (WORM).
  • SIEM/SOAR integrace: korelace událostí, alerting, automatizované playbooky reakce.
  • Detekce anomálií: neobvyklé dotazy, objemy exportů, přístupy mimo pracovní dobu, geolokační odchylky.

Konfigurační hygiena a zranitelnosti

  • Hardening: vypnutí default účtů, restrikce xp_cmdshell/udf, omezení rozšíření, bezpečné parametry (např. local_infile=OFF).
  • Patching: pravidelné bezpečnostní záplaty DB enginu i OS; rolling aktualizace v HA clusterech.
  • Change management: migrace přes migrační nástroje, code review, canary nasazení, rollback plány.

Ochrana proti SQL injection a logickým útokům

  • Parametrizované dotazy a ORM best practices.
  • Whitelist přístupů k procedurám a pohledům; minimalizace přímých DML oprávnění.
  • Validace vstupů v aplikační vrstvě, WAF pravidla pro typické payloady.

Strategie zálohování: cíle RPO/RTO a vrstvy ochrany

Definujte RPO (maximální ztráta dat) a RTO (maximální doba obnovy) pro jednotlivé systémy. Na jejich základě navrhněte kombinaci metod a vrstev:

  • 3–2–1 pravidlo: 3 kopie, 2 různá média, 1 kopie mimo lokalitu (off-site/offline/immutable).
  • Full / Differential / Incremental: kombinace pro zkrácení zálohovacích oken a rychlé obnovy.
  • PITR (Point-in-Time Recovery): archivace WAL/redo logů/transaction logů.
  • Immutable a air-gapped zálohy: ochrana před ransomware a insider threat.

Typy záloh a konzistence

  • Logické zálohy: dump/export (např. pg_dump, mysqldump) – přenosné, ale pomalejší obnova, pozor na konzistenci.
  • Fyzické zálohy: kopie datových souborů, snapshoty LVM/ZFS/cloud, rychlý restore celé instance.
  • Hot/Warm/Cold zálohy: online vs. s omezením provozu; vždy zajistit aplikativní konzistenci (quiesce, fsfreeze, pre-/post-skripty).
  • Test obnovy: pravidelné restore drills do izolovaného prostředí s ověřením integrity (checksums) a funkčních testů.

Replikace vs. záloha: rozdíl a komplementarita

  • Replikace: HA a škálování čtení, ale chyby a smazání se rychle replikují – nenahrazuje zálohy.
  • Backup: historická ochrana a možnost návratu v čase; doplňuje HA/DR architektury.

Plán obnovy po havárii (DR) a scénáře

  • DR runbook: kontakty, odpovědnosti, pořadí kroků, přístupové klíče, šablony rozhodnutí (go/no-go).
  • Regionální DR: asynchronní replikace do jiné zóny/regionu, pravidelný failover test.
  • Částečná obnova: obnova konkrétního schématu/tabulky (tablespace restore) bez přerušení celého systému, je-li podporováno.

Šifrované zálohy a ochrana metadat

  • Encryption-at-rest pro zálohy, oddělená správa klíčů (KMS/HSM), rotace a přístup na principu need-to-know.
  • Integrita záloh: podpisy, checksums, tamper-evident úložiště.
  • Maskování a tokenizace pro non-prod obnovy (vývoj/test) – ochrana PII a compliance.

Retenční politika a právní požadavky

  • Retention: diferencované retenční lhůty dle kritičnosti a regulace (např. účetnictví, zdravotnictví).
  • Right-to-be-forgotten: procesy pro selektivní výmaz v zálohách (např. expirační okna, kryptografické mazání klíčů).
  • Auditovatelnost: dokumentace záloh, obnov a testů; dohledatelnost přístupů k zálohám.

Specifika podle typů databází

  • PostgreSQL: base backup + WAL archiving; nástroje pg_basebackup, pgBackRest, Barman; pozor na replication slots a disk.
  • MySQL/MariaDB: logické dumpy vs. Percona XtraBackup pro hot fyzické zálohy; binlogy pro PITR.
  • SQL Server: full/diff/log backup, Always On Availability Groups; šifrování záloh, CHECKDB.
  • Oracle: RMAN, FRA, Data Guard; TDE, separace klíčů, Flashback pro logické chyby.
  • NoSQL (MongoDB, Cassandra): per-shard/per-replica zálohy, oplog/commitlog pro PITR; konzistence napříč shardy.

Cloud, DBaaS a multicloud

  • DBaaS snapshoty: ověřte, zda jsou aplikativně konzistentní a zda podporují PITR; nespolehejte se jen na poskytovatele.
  • Cross-region zálohy a replikace; pravidelné testy obnov v cílovém regionu.
  • FinOps: náklady na storage vs. RPO/RTO; archive tier pro dlouhé retenční lhůty.

Automatizace, CI/CD a provozní disciplína

  • Backup-as-Code: infrastrukturní a zálohovací politiky v repo (IaC), peer review.
  • Plánování: okna záloh, škálování workerů, throttling IO; koordinace s ETL a diagnostikou.
  • Monitoring: metriky úspěšnosti záloh, doby trvání, velikosti, míry komprese; alerty na recovery point objective breach.

Ransomware a odolnost

  • Immutable storage a WORM politiky pro zálohy; oddělený účet/tenant pro zálohovací úložiště.
  • Offline kopie (air-gap) pro kritické systémy; rotace médií.
  • Rapid restore: scénáře obnovy na holé železo/nový cluster, předpřipravené AMI/obrazy.

Testování obnovy: jediná „pravá“ metrika

  • Tabletop a technické cvičení: kvartálně simulovat incident, měřit skutečné RTO/RPO, dokumentovat zjištění.
  • Kontrola integrity: po obnově spustit CHECKDB/ANALYZE, aplikační smoke testy a výkonnostní baseline.

Checklist bezpečné databáze

  • Segmentovaná síť, žádný veřejný přístup, mTLS/TLS všude.
  • RBAC/ABAC, JIT přístupy, MFA pro administrátory.
  • TDE/šifrované tablespaces, šifrované zálohy, rotace klíčů v KMS/HSM.
  • Auditní logy v neměnitelném úložišti, SIEM alerting.
  • Pravidelné patchování DB a OS, hardening konfigurace.
  • Backup 3–2–1, PITR, immutable/air-gap kopie, definované RPO/RTO.
  • Čtvrtletní test obnovy a DR runbook; dokumentace a školení týmu.
  • Maskování dat při obnově do non-prod, retenční a právní politika.

Nejčastější chyby a jak se jim vyhnout

  1. „Zálohujeme, ale nikdy jsme nezkusili obnovu“ – zavést povinné restore testy.
  2. Spoléhání na replikaci místo záloh – kombinovat HA/DR s historickou ochranou.
  3. Default konfigurace a široká oprávnění – audit rolí, politik, vypnutí nepoužívaných funkcí.
  4. Nešifrované zálohy a klíče v tom samém úložišti – oddělit správy a úložiště, zavést KMS.
  5. Chybějící dokumentace – runbooky, kontakty, přístupové cesty, postupy pro právní požadavky.

Závěr

Bezpečnost a zálohování databází není jednorázový projekt, ale nepřetržitý proces integrující architekturu, provoz, governance a pravidelná cvičení. Organizace, které disciplinovaně kombinují vrstvenou bezpečnost, robustní zálohovací politiku a testovanou obnovu, získávají předvídatelnou dostupnost a důvěru v data – základ pro stabilní byznys i inovace.

Related Posts

Behaviorálne schopnosti

Behaviorálne schopnosti v manažmente Manažment je oveľa viac než len plánovanie a organizovanie práce. V súčasnej dobe sa stále viac zdôrazňuje význam behaviorálnych schopností v […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *