Usuarios y seguridad - script

From Ibbddunq

Contents 1 Qué usuarios hay de una BD / qué usuarios hay de un SI 2 Control de acceso y autorización 3 Conceptos 4 Operaciones 5 Otras herramientas de seguridad

Qué usuarios hay de una BD / qué usuarios hay de un SI

De una BD:

• administradores de bases de datos (DBA)
• aplicaciones
• otros sistemas
• esporádicamente usuarios especiales

De un SI:

• administradores de sistema
• usuarios con distintos perfiles
• otros sistemas

Control de acceso y autorización

Tanto en una BD como en un SI me tengo que autenticar, eso es un tema. P.ej. uno podría tener ganas de manejar autenticaciones unificadas para varios SI, entonces hay un sistema más que es el de autenticación y habla con los otros.

Hay que recordar que algunas veces (cada vez más) los SI se acceden via Web, eso implica más peligro de que se te cuele gente que no debería.

Tengo que decir quién soy porque eso determina qué puedo hacer. ¿Qué podría tener ganas de que un usuario no haga sobre una BD?

• Algunas bases de un servidor, p.ej. puedo querer que una app vea solamente la BD de caja chica.
• Datos sensibles, típicamente sueldos o datos personales.
• Datos que no son tuyos, p.ej. un vendedor tal vez no debería ver las facturas que hicieron otros vendedores. También para sistemas multiempresa.
• Lo que no está asociado a lo que hace la aplicación. P.ej. si tengo una base integrada para varias app, entre ellas la de caja chica, la aplicación de caja chica debe ver sólo las tablas que corresponden.
• Tal vez una app tenga que tener acceso sólo a datos muy particulares, p.ej. ciertos reportes que pueden cruzar datos de varias tablas. En estos casos es raro que esta app pueda modificar datos. Como son apps que ven la base muy de costado, a veces no les se quiere exponer el esquema real de la BD, para ser más libres de cambiarlo.

Conceptos

Usuario

Qué usuarios de BD hay: DBA / aplicaciones / raramente otros humanos.
Posibilidad de definir connection pools.

Qué usuarios de SI hay: administrador / usuarios con diferentes perfiles. A nivel SI sí identifico a cada usuario persona.

Permisos

Qué permisos hay sobre una BD

• manejar el esquema, p.ej. crear o modificar tablas / vistas / sp.
• modificar la instancia o parte de la instancia.
• ver la instancia o parte de la instancia (p.ej. algunas tablas y/o vistas).
• ejecutar sp.
• manejar usuarios, p.ej. crear otros usuarios y darles permisos.
• manejar parámetros generales de una base o del servidor.
• otros.

Qué permisos hay sobre un SI

• acceder a ciertas operaciones / subsistemas.
• ver o modificar ciertos datos.

Operaciones

Sobre una BD: crear y dar de baja usuarios, crear y dar de baja permisos.

De los escenarios, qué se cubre y qué no hasta acá.

Uso de las vistas para cuestiones de seguridad.

Otras herramientas de seguridad

• encriptación.
• fruteo de datos para BD de test.