Proxy de Autenticación para DBaaS
Las plataformas Database-as-a-Service proporcionan acceso a la base de datos sin la necesidad de implementar hardware físico e instalar software. Muchas organizaciones eligen bases de datos en la nube debido a su escalabilidad, precios ventajosos y aprovisionamiento rápido. Sin embargo, hay algunos temas esenciales que podrían disuadirlos de usar DBaaS. Los proveedores de bases de datos en la nube son responsables de la seguridad de los datos almacenados en bases de datos alojadas, pero no pueden proteger contra ataques de suplantación y secuestro de cuentas.
Las bases de datos en la nube están disponibles a través de la red y se pueden acceder usando solo el inicio de sesión y contraseña proporcionados por un proveedor de DBaaS, lo cual llama la atención de los hackers y representa una amenaza para la privacidad de los datos.
DataSunrise presenta un proxy de autenticación de base de datos para reducir en gran medida el riesgo de acceso no autorizado y mantener una conexión segura a Amazon Redshift, Greenplum, PostgreSQL, Vertica, Netezza y otras bases de datos en la nube. DataSunrise mantiene las políticas de autenticación organizacional de Microsoft Active Directory y el protocolo Kerberos. Una vez que se configura el mapeo de usuarios, los usuarios podrán conectarse a la base de datos en la nube a través del proxy de DataSunrise usando las credenciales de usuario de Active Directory.
Cuando una máquina, integrada en un dominio de Active Directory, intenta acceder a la base de datos a través del proxy de DataSunrise, DataSunrise se conecta con el servicio de Active Directory y verifica si el equipo está en el dominio AD. Realizando la autenticación completa de Kerberos basada en el intercambio de tickets, DataSunrise asegura una conexión segura a la base de datos. Los mensajes del protocolo Kerberos están protegidos contra escuchas y ataques de repetición. DataSunrise soporta algoritmos de cifrado MD5, SHA-256 y SHA-512 para almacenar contraseñas.
Los usuarios de Active Directory pueden ser mapeados a un usuario de base de datos (Figura 1.b) o cada usuario de AD puede ser mapeado a un usuario de base de datos por separado (Figura 1.a).
Figura 1. Proxy de Autenticación de DataSunrise.
Por defecto, las plataformas de bases de datos en la nube tienen una falla de seguridad crucial en la autenticación de bases de datos que puede ser fácilmente eliminada implementando soluciones de autenticación de terceros que soporten el protocolo Kerberos o LDAP, como el DataSunrise Database Security Suite.
Contáctanos, para obtener el manual de instrucciones sobre cómo configurar el mapeo de usuarios en DataSunrise.
Siguiente