DBRE 輪読会 vol.09

# DBRE 輪読会 vol.09 2021/08/26 [@kdnakt](https://twitter.com/kdnakt) --- ### 復習 - 1章:学習を続け、チームを超えて改善を進める - 2章:SLOが全ての基礎 - 3章:SLOのためにリスクを認識し低減する - 4章:SLOへの影響を知るための見える化 - 5章:インフラ構築の実践 - 6章:インフラ構築の管理 - 7章:リスクに応じたバックアップ・リカバリの実践 - 8章:DBの安全なリリースのための施策 --- ### 今日の範囲 - 9章セキュリティ - 9.1 セキュリティの目的 - 9.2 機能としてのデータベースのセキュリティ - 9.3 脆弱性と悪用 - 9.4 データの暗号化 - 9.5 まとめ --- ### 今日の概要 - DBREの最重要の仕事：データを守る - 複数のチームで協調して守る - バランスのよい対策と最後の砦「暗号化」 --- ### 1.DBREの最重要の仕事：データを守る - 攻撃者の目的：会社への損害 - 外部犯だけでなく内部犯も - データの盗難・破損への対策が必要 - 意図的でない破損も考慮 - セキュリティ標準や法律について組織に教育 ---- #### 第1章の復習 - DBのプロフェッショナルとしての原則 - **データを守れ** - 周囲を巻き込め - 骨折り仕事を減らせ - サーバーの家畜化は時代の流れ - 分業制に囚われるな ---- #### 攻撃対象 - オンラインデータベースのデータ - データストア間で移動中のデータ - バックアップやアーカイブされたデータ - データストアからアプリやクライアントに送信されるデータ - アプリサーバーのメモリ上のデータ - インターネット経由でアプリからユーザーに送信されるデータ ---- #### 内部犯による意図的な破損の事例 - データを利用できなくして損害を与えたい - [2020年12月の運転免許証データ不正削除事件](https://news.yahoo.co.jp/articles/c638f517418d9259950e15dd65d1344f2130eadc) - 有効期限延長データ26万人分削除 - 2日後にデータは復元 - 悪用や外部流出はなし --- ### 2.複数のチームで協調して守る - チームを超えた協業を - DBRE、InfoSec、SWE、SRE/Ops - セキュリティプロセスを組織へ浸透させる - スケーラブルにするためにIaC活用 - 定期的なユニットテスト、侵入テスト - 見える化 - アプリ、DB、OSの各レイヤで攻撃を検知 - InfoSec、SWE、SRE/Opsとの連携必須 ---- #### あるべき姿 - 自然とDBセキュリティが話題になり、改善が進む - そのために、以下の点を組織に広めよう - DBアクセスの設定と管理の安全な方法 - 暗号化、アクセス制御などのセキュリティ機能の有効な使い方 - 攻撃を助長するログやメトリクスが公開されていないか調べる方法 - CVE公開時の脆弱性対応方法 ---- #### IaCで守るべき観点 - 安全なバージョンを利用しているか？ - デフォルトのDB認証情報を削除する - 不要なポートを開放しない - 不正にアクセス可能な設定を削除する - SSL/TLS通信を利用する - パスワードポリシーの確認・適用のスクリプトを利用する - アクセスログを転送し監視する ---- #### セキュリティと見える化 - 包括的データ収集・追跡・アラートで攻撃を検出 - アプリケーションレイヤ - 発行した全SQLを記録（DBレイヤでも） - SQL構文エラーがないか - 操作したデータ情報を記録 - DB/OSレイヤ - 設定変更 - 新規リソース、オブジェクト - ログインの失敗成功 - 応急処置 --- ### 3. 攻撃への対策 - 攻撃の分類と優先順位からバランスを取る - STRIDEとDREAD - 攻撃例から予防策・戦略をさぐる - DoS、SQLi、プロトコルや認証のバグ - 各種ベストプラクティスの適用 - 不要な設定・デフォルトユーザー削除、パッチ適用、認証情報の保護など - 最後の砦としての暗号化 - ファイルシステム/転送中/クライアント - コストも考慮しつつ ---- #### 暗号化仕様のチェックリスト - 全データが機密性ごとに分類 - 暗号スイートの規格は監査 - 脆弱性や攻撃方法の継続的学習 - 内製ライブラリや暗号化標準の教育 - 暗号キーの管理 - ログ、バックアップ、重要なテーブルなどの自動侵入テスト ---- #### データの分類と各種規制 - 財務情報：PCI DSS、SOX、NCUAなど - 健康情報：HIPAA - 個人情報：プライバシー法 - 政府や軍の情報：個々の規約・手順 - その他機密および部外秘の情報：社内規定など ---- #### 暗号化の手法 - データの暗号化 - アプリ：移植性○、開発コスト× - DB：開発コスト○、移植性× - セキュリティアプライアンス：汎用性○、オーバーヘッド× - メタデータ、ログ、バックアップの暗号化 - ファイルシステム上で実施 --- ### 今日の概要 - DBREの最重要の仕事：データを守ること - 複数のチームで協調して守る - 攻撃への対策と最後の砦としての暗号化 --- ### おまけ1： CVEの例 - [2021-05-13 PostgreSQL released an update](https://www.postgresql.org/about/news/postgresql-133-127-1112-1017-and-9622-released-2210/) - [CVE-2021-32027: Buffer overrun](https://www.postgresql.org/support/security/CVE-2021-32027/) - [CVE-2021-32028: Memory disclosure](https://www.postgresql.org/support/security/CVE-2021-32028/) - [CVE-2021-32029: Memory disclosure](https://www.postgresql.org/support/security/CVE-2021-32029/) - [RDS PostgreSQLの対応](https://aws.amazon.com/jp/about-aws/whats-new/2021/07/amazon-rds-for-postgresql-supports-new-minor-versions/) --- ### おまけ2： SSL/TLSについて - [Ivan Ristić著、齋藤孝道監訳『プロフェッショナルSSL/TLS』](https://www.lambdanote.com/products/tls) - [『プロフェッショナルSSL/TLS』読書メモ](https://zenn.dev/kdnakt/scraps/1146d7c00cd3ce)