Preguntas de seguridad SQL

2

El CISO de mi empresa actualmente está ausente y, como gerente de TI, se me ha pedido que envíe algunas preguntas de seguridad a una empresa que espera implementar una base de datos SQL para administrar salarios, pedidos, etc.

Tengo muy poca experiencia con respecto a SQL, he incluido mi lista de 9 preguntas a continuación, ¿me he perdido alguna pregunta obvia?

  
  • ¿Cómo protege su solución contra los ataques de inyección de SQL? Su aplicación tiene una amplia funcionalidad, ¿utiliza declaraciones preparadas, validación de entrada, etc.?

  •   
  • ¿Cómo protege su producto los nombres de usuario y las contraseñas para acceder a la base de datos? ¿Están las contraseñas con hash y con sal, si es así, qué funciones de hash y mecanismos de salado utilizas? Además, si se usan sales, ¿se usan valores de sal diferentes para cada contraseña individual?

  •   
  • ¿Se prueba regularmente su solución con pruebas de penetración? De ser así, ¿con qué frecuencia y por favor, proporcionaría el nombre de la empresa que realizó las pruebas? Además, si tenemos una prueba de penetración independiente, esto infringirá los Términos de uso, es decir, ¿todavía estamos cubiertos para recibir su apoyo y servicios completos?   

  • Con respecto a las copias de seguridad, mencionó que éstas pueden implementarse para copias de seguridad automáticas, puede el cifrado de las copias de seguridad también a través de su producto o esto se hace manualmente?

  •   
  • Noté que está utilizando SQL Server versión 2014, ¿es posible que esto se migre a una versión más nueva?

  •   
  • Usted mencionó sobre el cambio de costos para cada base de datos si el flujo de trabajo es diferente, al respecto, si quisiéramos comenzar a usar su solución solo en un entorno LAN (sin acceso remoto) y desea incluir el acceso remoto en una fecha posterior ¿Nos costaría más esto? Me imagino que esto es simplemente un caso de abrir un puerto en el servidor.

  •   
  • Usted mencionó que puede implementar el acceso VPN al servidor SQL. ¿Qué protocolos VPN admite su aplicación? L2TP, IPsec, etc.?

  •   
  • ¿Hay alguna capacidad de registro incluida? ¿Puede el administrador ver qué usuario inició sesión, qué acciones se tomaron y desde qué dirección IP o proporciona un sistema de detección de intrusos para hacer esto?

  •   
    
pregunta iopa27 19.11.2017 - 23:00
fuente

1 respuesta

1

Actualización de WRT: No pregunte si es posible, solicite saber cuándo se actualizará y ver la ruta de actualización a futuras versiones de SQL.

Registro WRT: debe haber registro. Como cliente, quiero ver si alguien ha hecho algo con la base de datos, incluidos los administradores de proveedores. ¿Quién tiene derechos de registro? ¿Qué informes recibiré de forma gratuita? ¿Quién puede ejecutar informes? ¿Quién tiene derechos sobre los registros de auditoría? (Quiero estar seguro de que, si alguien se deshonra, el empleado deshonesto no tiene derechos para eliminar sus acciones del registro de auditoría)

¿Qué pasa con la seguridad física del centro de datos donde se alojará? ¿Quién tiene acceso y cómo se determina ese acceso?

¿Se realizan verificaciones de antecedentes de sus empleados con acceso a sus datos?

¿Se mantienen los "privilegios mínimos" con respecto a sus datos? ¿Con qué frecuencia se revisa el acceso? ¿Cuánto tiempo lleva eliminar los derechos de los empleados despedidos (voluntariamente o no) de sus datos?

¿Se cambiaron todas las contraseñas predeterminadas?

Esas son algunas de las preguntas que solemos hacer a proveedores externos; disculpas si ya haces estas preguntas.

    
respondido por el baldPrussian 19.11.2017 - 23:12
fuente

Lea otras preguntas en las etiquetas