Як я можу запобігти випадковому злому з виробничою базою даних?

Зовсім недавно у мене був розробник випадково спробував відновити базу даних у виробництві, коли він мав би відновитись до поетапної копії. Це легко зробити, враховуючи, що імена db схожі, тобто, CustomerName_Staging порівняно з CustomerName_Production.

В ідеалі я мав би їх мати на цілком окремих полях, але це коштує непомірно, і, строго кажучи, це не запобігає тому, що відбувається те саме, якщо користувач підключиться до неправильного поля.

Це не є проблемою безпеки, сама по собі - це був правильний користувач, який працював із базою даних інсценізації, і якщо є робота над виробничою базою даних, це був би також він. Я хотів би мати офіцера з розгортання, щоб розділити ці проблеми, але команда для цього недостатньо велика.

Я хотів би почути поради щодо практики, конфігурації та контролю щодо запобігання цього.

Якщо це те, що ви бачите, як часто робите, автоматизуйте це. А оскільки ви обидва розробники, написання якогось коду має бути у вашій рульовій палаті. :) Серйозно, хоча ... автоматизуючи це, ви можете робити такі речі, як:

• Переконайтеся, що ви відновляєте на правильному сервері (тобто не відновлюється dev -> prod)
• Переконайтеся, що це правильний "тип" бази даних (у вашому випадку "постановка" та "виробництво")
• З’ясуйте, які резервні копії (файли) для відновлення автоматично, переглянувши таблиці резервного копіювання в msdb

Et cetera. Ви обмежені лише вашою фантазією.

Я не погоджуюся з припущенням у питанні - це безпека - але я також не погоджуюся з тим, що автоматизація допоможе врятувати день самостійно. Почну з проблеми:

Ви не повинні мати можливість випадково щось робити з виробництвом!

Це включає випадкові випадки автоматизованих речей.

Ви плутаєте безпеку системи з такими поняттями, як "кому дозволено щось робити". Ваші облікові записи розробників повинні мати змогу записувати у свої копії, на сервер управління версіями та базу даних розробників. Якщо вони можуть читати / записувати виробництво, їх можна зламати та використовувати для крадіжки даних про клієнтів або (як ви продемонстрували), можна неправильно поводитись із втратою даних про клієнтів.

Почати потрібно з сортування робочого процесу.

• Ваші облікові записи розробників повинні мати можливість записувати у власні копії, контроль версій і, можливо, переходити з контролю версій у тестувальне середовище.

• Користувачі резервних копій повинні мати змогу читати лише з виробництва та писати у ваш резервний магазин (який повинен бути належним чином захищений).

• Будь-яке інше читання / запис на виробництві повинно вимагати спеціального та незручної автентифікації. Ви не повинні мати можливість проскочити в нього або забути, що ви ввійшли в систему. Фізичний контроль доступу тут корисний. Смарт-карти, фліп-перемикачі для "озброєння" облікового запису, одночасний поворот з двома ключами.

  Доступ до виробництва не повинен бути тим, що потрібно робити щодня. Більшу частину роботи слід проводити на вашій тестовій платформі та позаробочих розгортаннях, виготовлених у виробництві після ретельного контролю. Трохи незручності не вб'ють вас.

Автоматизація є частиною рішення.

Я не сліпий від того, що повний поворот (завантаження у VCS, перевірка покриття, витяг на тестовий сервер, запуск автоматизованих тестів, повторна автентифікація, створення резервної копії, витяг з VCS) - тривалий процес.

Ось де автоматизація може допомогти, відповідно до відповіді Бена. Існує багато різних мов сценаріїв, які значно полегшують виконання певних завдань. Просто переконайтеся, що вам не дуже легко робити дурні речі. Ваші кроки з повторної перевірки повинні бути чітко виражені (і, якщо це небезпечно), вони повинні бути незручними і важко виконати, не замислюючись.

Але поодинці автоматизація гірша, ніж марна. Це просто допоможе вам зробити більші помилки з меншою думкою.

Підходить для команд усіх розмірів.

Я помітив, що ви вказували на розмір своєї команди. Я один хлопець, і я пережив це через те, що нещасний випадок потребує лише однієї людини. Є накладні, але воно того варте. У вас виходить набагато безпечніше та безпечніше середовище розвитку та виробництва.

Один з моїх колег цікавий підхід до цього. Його термінальна кольорова гама для виробництва нечітка . Сіро-рожевий і важко читається, що теоретично передбачає, що все, що він пише, він насправді мав намір писати.

Ваш пробіг може відрізнятися ... і, мабуть, не треба говорити, що навряд чи це бронежилет сам по собі. :)

Розробники не повинні знати пароль до виробничої бази. Пароль продукту повинен бути випадковим і не запам'ятовуватися - щось на кшталт результату зчитування клавіатури ( Z^kC83N*(#$Hx). Ваш DEV пароль може бути $YourDog'sNameабо correct horse battery stapleабо будь-який інший .

Звичайно, ви можете дізнатися, що таке пароль, особливо якщо ви невелика команда, переглянувши файл конфігурації клієнтської програми. Це єдине місце, де повинен існувати пароль prod. Це гарантує, що вам доведеться докласти зусилля, щоб отримати пароль prod.

(Як завжди, у вас повинні бути резервні копії для вашої виробничої бази даних. Наприклад, за допомогою MySQL архівуйте бінарні журнали як додаткові резервні копії. Для PostgreSQL архівуйте журнали попереднього запису. Це ваш крайній захист для будь-яке стихійне лихо, самонанесене чи інше.)

Коротка відповідь - RBAC - рольовий контроль доступу.

Ваші дозволи для будь-якого середовища повинні бути різними - і настільки прикро, як такі речі, як UAC, вони вам потрібні: особливо для PROD середовищ.

Там немає НІКОЛИ причини девів , щоб мати прямий доступ до Prod - незалежно від того, наскільки мала організації / команда. Ваш "Dev" може також носити капелюхи "Stage" і "Prod", але йому потрібно мати різні облікові дані та процеси, щоб потрапити в різні середовища.

Це дратує? Абсолютно. Але чи допомагає це [запобігти] занурювати ваше середовище? Абсолютно.

Швидке та просте рішення: використовуйте два різні облікові записи користувачів, один для вашої звичайної роботи з розробки, який має лише доступ до бази розробок, а інший для фактичної роботи з виробничою базою даних, з повним доступом до неї. Таким чином, вам доведеться активно змінювати обліковий запис, який ви використовуєте, перш ніж вносити будь-які зміни у виробництві, яких має бути достатньо для запобігання випадкових помилок.

Такий же підхід може бути використаний , якщо у вас є два веб - сайту, або два сервера, або цілих два середовища: один обліковий запис користувача для розвитку з відсутністю доступу (або , по крайней мере , НЕ записи доступу) до виробництва, іншого облікового запису користувача для роботи у виробничій системі ( з).

Це той самий підхід, що і для систематичного адміністратора, який має стандартний обліковий запис, який не використовується адміністратором, для звичайної роботи (читання електронної пошти, веб-серфінг, відстеження квитків, графіки подачі документів, написання документації тощо) та окремий обліковий запис повного адміністратора, який буде використовуватися під час фактичної роботи на серверах та / або Active Directory.