1.使用数据库代理防止攻击

数据库代理或网关代理介于应用程序和数据库之间，接收来自应用程序的链接，然后代表这些应用程序连接到数据库。智能数据库代理提供最大范围的过滤，其模块提供安全、可靠、可扩展性和性能优势。

MaxScale数据库防火墙过滤解析查询可以阻止白名单上你不想通过的查询类型的情况发生。例如，您可能会说，给定的连接只能执行更新和插入，而另一个连接必须与某些正则表达式相匹配，等等。

代理MaxScale也能保护你抵御DDos攻击：当太多的连接，直接进入数据库服务器，它可以被重载。但是一个代理吸收了一些负载来限制这种攻击的影响。

2.建立审计和日志

审计和日志记录相互关联，但是审计日志比一般日志复杂得多。审计日志给你所有的信息，你需要调查可疑活动，并进行根本原因分析，如果你确实经历了违反。此外，审计日志帮助确保与规定如GDPR、PCI、HIPPA和SOX。

MariaDB审计插件可以记录大量的信息：所有传入连接，所有执行查询，甚至所有的单个访问。您可以看到谁在给定的时间内进行了访问，以及谁插入或删除了数据。审计插件可以记录到一个文件或日志，所以如果你现有的工作流程，依靠日志，你可以直接绑定。

3.实行严格的用户账户管理

仔细管理数据库用户帐户是非常重要的。这几乎适用于您IT生态系统的所有方面，我们在此不一一详述。相反，我们只需要提醒您用户帐户管理的关键方面：

·只允许本地客户端访问root权限。
·始终使用密码。
·为每个应用程序都有一个独立的数据库用户帐户。
·限制访问数据库服务器的IP地址的数量。

4.保持数据库软件和操作系统的更新

我们都知道保持软件更新的重要性，但这并不能阻止我们中的许多人运行遗留操作系统和几个版本的旧数据库服务器。在此我们必须提醒您，保持当前的一切是保护您的数据免受所有最新威胁的唯一方法。

这不仅适用于您的服务器软件，也适用于您的操作系统。别忘了，想哭勒索软件攻击就是因Windows操作系统的安全补丁lackadaisical应用为由发生的。

5．加密应用程序中的敏感数据

我们保存了最不常用的最后实现的实践。许多组织忽视加密文件，但它可以是相当有价值的。毕竟如果在访问之后试图破解密码，那么就减少了黑客的动机。

在数据到达数据库之前，第一阶段的加密发生在应用程序中。如果数据在应用程序中被加密，那么破坏数据库的黑客就看不到数据是什么（这只适用于那些不是密钥的数据）。

接下来是对传输中数据的加密。这意味着数据在网络从客户端移动到数据库服务器（或代理）时进行加密。这基本上与在Web浏览器中使用HTTPS相同。显然，服务器可以看到信息，因为它需要读取您填写的表单，并且您可以读取信息，因为您将其输入表单中，但是服务器和服务器之间的任何人都不应该读取它。

最后，我们对静止数据进行加密。你可以使用这个加密InnoDB表空间，InnoDB联机重做日志和二进制日志。这意味着你可以加密几乎所有的事情都写在MariaDB服务器盘里。

作者：ShaneJohnson
原文链接：https://dzone.com/articles/5-essential-practices-for-database-security
刘妮娜译