تبلیغات
وبلاگ شخصی رسول حسین زاده - امنیت در دیتابیس های NoSQL ...
وبلاگ شخصی رسول حسین زاده
مقالات متنوع
گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من
درباره وبلاگ


سلام دوستان عزیز
به وبلاگ خودتان خوش آمدید .
امیدوارم از این وبلاگ خوشتان آمده باشد
و ساعات خوشی را سپری کرده باشید .
در این وبلاگ مطالب متنوعی همچون
مقالات کامپیوتر ( اینترنت , شبکه
ویندوز , نرم افزار , سخت افزار
تحقیق های رشته کامپیوتر )
طنز , اس ام اس , مقالات علمی پزشکی
فلسفی ,تست های روانشناسی
تلفن همراه , عکس های جالب و ....
وجود دارد .
لطفا من را از نظرات خود بهرمند سازید .
با تشکر

r.hosseinzadeh89@yahoo.com

مدیر وبلاگ : رسول حسین زاده
نظرسنجی
نظر شما درمورد این وبلاگ چیست؟






سیستم های پایگاه داده NoSQL طوری طراحی شده است که بازدهی در لحظه داشته باشد و بتواند با حجم عظیمی از داده کار کند. این بازدهی که در اصل پیاده سازی فلسفه بی هزینگی در بیشتر محصولات NoSQL بوده است، یکی از عوامل مهم جلب توجه شرکت ها به آن به شمار می رود. هر چند شرکت ها نباید پیاده سازی NoSQL را بدون در نظر گرفتن دغدغه های امنیتی آن انجام دهند.

این دیتابیس های NoSQL تفاوت هایی اساسی با دیتابیس های رابطه ای (RDBMS) دارند.

● چه کسی از NoSQL استفاده می کند؟

NoSQL می تواند برای هر شرکتی که داده های بزرگ دارد، ابزار مهمی باشد. داده های بزرگ در حقیقت مجموعه ای از داده است که دیگر نمی توان به صورت لحظه ای و از طریق دیتابیس های سنتی با آنها برخورد کرد.

NoSQL مجموعه ای بزرگ تر از سیستم های مدیریت دیتابیس است و مانند دیگر دیتابیس های سنتی رابطه ای نیست.
این دیتابیس ها از SQL به عنوان زبان اصلی query استفاده نمی کند و نیازی به اسکیماهای ثابت هر جدول داده ندارد. NoSQL توسط یک شرکت تغذیه نمی شود و بسیاری از آنها منبع باز است ؛ در حقیقت NoSQL یک واژه کلی است که به تمام سیستم های آلترناتیو غیر رابطه ای اطلاق می شود.

در حال حاضر، دیتابیس های NoSQL در مرحله تکامل است. برخلاف رقبای RDBMS خود مثل DB۲ یا MySQL، اوراکل و SQL سرور، میزان حملات به این نوع سرورها هنوز مشخص نشده است و انتظار می رود حملات به این نوع دیتابیس ها ساختار و شکل متفاوتی داشته باشد.

ورود به دیتابیس از طریق تزریق NoSQL نباید خیلی دور از انتظار باشد. بخش عمده ای از پیاده سازی های NoSQL بدون احراز هویت و از طریق موتورهای پردازشی جاوااسکریپت است.

البته بخش عمده ای از این ایده را، در کنفرانس کلاه سیاه آمریکا، برایان سالیوان مطرح کرد که با کمک یک اسکریپت در سمت سرور موفق شد به دیتابیس NoSQL نفوذ کند و دستورهای پایه و اولیه را اجرا کند.

● آیا NoSQL ناامن است؟

دیتابیس های NoSQL با دیدگاه امنیت محض طراحی نشده و اولویت اصلی آن سرعت دسترسی به داده های بزرگ بوده است. بنابراین توسعه دهندگان یا تیم های امنیتی باید لایه های امنیتی خاص خود را به ابزارهای NoSQL سازمانی شان اضافه کنند.

طی یکی دو سال گذشته، بسیاری از مشاغل کوچک وارد قلمرو داده های بزرگ شده اند و به دنبال مدیریت داده ها همیشه در حال افزایش شغلی بوده اند؛ بنابراین طبیعی است که روزانه هدف حملات بیشتر امنیتی قرار بگیرند. آمارهای شرکت های امنیتی هم همین موضوع را ثابت می کند و هر روز به تعداد این حملات افزوده می شود.

بخشی از این رویداد به این موضوع بر می گردد که اغلب مشاغل کوچکی که این دیتابیس ها را راه اندازی می کنند، از شیوه مدیریت امنیت این گونه جدید اطلاعات کافی ندارند و همین سبب می شود به طور کلی تهدیدهای امنیتی را نادیده بگیرند و به صورت پیش فرض سیستم را نصب کنند. این در حالی است که نصب پیش فرض در دیتابیس های رابطه ای سنتی با رعایت بسیاری از نکات امنیتی همراه است.

برای مثال، بیشتر محصولات NoSQL، اجازه می دهد دستورها در محیط معتمد (Trusted Environment) بدون در نظر گرفتن امنیت و هویت فرد اجرا شود و بعضا حتی این اقدام را توصیه و تشویق نیز می کند.

در این حالت ها، تنها ماشین هایی خاص می تواند به پورت TCP دیتابیس دسترسی پیدا کند. اما این که اجازه بدهیم شبکه مان بخش امنیتی را کنترل کند ـ آن هم در جایی که تقریبا رایانه ای را نمی توان پیدا کرد که تا به حال به اینترنت وصل نشده باشد ـ یعنی دعوت کردن از تهدیدهای امنیتی برای دزدیدن اطلاعات اساسی.

ماژول های امنیتی Kerberos هم اکنون توسعه یافته است و می تواند رفتاری شبیه NTLM در تشخیص کاربر داشته باشد.

● امن سازی دیتابیس هایNoSQL

به دلیل آن که اغلب دیتابیس های NoSQL منبع باز است، کمک به این جوامع و پیاده سازی روش های بهتر امنیتی از سوی شرکت هایی که این سیستم ها را پیاده می کنند، گزینه بهتری خواهد بود؛ چرا که در نهایت ایرادهای آن روش امنیتی مشخص شده وNoSQL ها به مراتب بهتر از گذشته خواهد بود.

دیتابیس های NoSQL همانند دیتابیس های رابطه ای سنتی با دغدغه های امنیتی مشابهی مواجهند و بهتر است دغدغه های زیر هنگام نصب این دیتابیس ها بررسی شود:

ـ رمزگذاری فیلدهای حساس دیتابیس

ـ نگهداشتن داده های بدون رمزگذاری در محیط Sandbox و ایزوله

ـ استفاده مناسب از فیلدهای ورودی

ـ اجرای سیاست های قوی احراز هویت

البته، حالت ایده آل آن موقع خواهد بود که استانداردی قابل قبول برای ورود به این گونه سیستم ها ایجاد شود و رمزگذاری در این نوع دیتابیس ها، شکل واقعی به خود بگیرد. تا رسیدن به مرحله استانداردسازی، بهترین روش برای جلوگیری از مشکلات امنیتی، اعمال کنترل در میان افزار و نه سطح بیرونی است. بیشتر نرم افزارهای میان افزاری در حال حاضر از سیستم های احراز هویت پشتیبانی می کنند. برای مثال اگر جاوا در حال استفاده است، JAAS ، گزینه خوبی است J۲EE یا SpringSource نیز قابل دسترسی است.

مهم ترین نکته ای که در پیاده سازی این نوع دیتابیس ها باید به یاد داشت، این است که: پیش از آن که در استفاده از این سیستم ها عجله شود، باید دغدغه های امنیتی را درک سپس راه حلی برای آنها پیدا کرد. این مساله را باید همواره به یاد داشته باشیم که دیتابیس های NoSQL امنیت مطلق ندارد و همانند دیگر سیستم های نرم افزاری، نگه داشتن سپر محافظ برای پیشرفتن در چنین محیطی الزامی است.





نوع مطلب : نرم افزار، 
برچسب ها : امنیت، دیتابیس، امنیت در دیتابیس، امنیت در دیتابیس های NoSQL،
لینک های مرتبط :
رسول حسین زاده
چهارشنبه 22 آذر 1391
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر




پیوند روزانه
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
امکانات جانبی
آگهی رایگان - آگهی رایگان
به سایت ما خوش آمدید
نام و نام خانوادگی      
آدرس ایمیل      
کلیه حقوق این وبلاگ برای وبلاگ شخصی رسول حسین زاده محفوظ است