No cenário atual, onde a segurança é uma preocupação constante, é essencial evitar qualquer falha que possa permitir acessos indevidos a dados valiosos para as empresas. Com ameaças sempre presentes, estabelecer políticas eficazes de segmentação e auditoria de acesso é uma prioridade, assim como adotar a prática do princípio do menor privilégio.
Nesta palestra, vamos explorar as configurações de segurança mais recomendadas para clusters Postgres. Abordaremos também as principais técnicas de auditoria e segmentação de usuários, utilizando roles, grants, users e diferentes métodos de autenticação. Para encerrar, apresentaremos uma demonstração de como obter credenciais dinâmicas integrando o PostgreSQL com o HashiCorp Vault.
Listo abaixo os principais tópicos para esta palestra:
1. Autenticação: Métodos como trust, password, peer, MD5, SCRAM-SHA-256.
2. Autorização e Controle de Acesso: Uso de roles e permissions, incluindo o princípio de privilégio mínimo (least privilege), para limitar o acesso aos dados.
3. Criptografia: Implementação de criptografia em trânsito (SSL/TLS) e em repouso, além de criptografia de colunas específicas.
4. Gerenciamento de Senhas: Políticas para criação e armazenamento seguro de senhas, incluindo a rotação regular e uso de hashes seguros.
5. Auditoria e Monitoramento: Configuração de logs de auditoria para rastrear acesso a dados e alterações, incluindo logs de acesso (login/logout) e consultas SQL.
6. Gerenciamento de Patches e Atualizações: Manutenção regular para aplicar patches de segurança e atualizar para versões mais seguras do PostgreSQL (correção de vulnerabilidades).
7. Configurações de Segurança do Sistema Operacional: Proteções de sistema, como firewalls, SELinux/AppArmor, e configuração de permissões de arquivos.
8. Isolamento de Rede: Uso de VPNs, sub-redes seguras e regras de firewall para limitar o acesso ao servidor de banco de dados.
9. Backup e Recuperação: Procedimentos para realizar backups seguros e garantir a recuperação de dados de forma segura.
10. Integração com Sistemas de Gerenciamento de Identidade e Acesso: Integração com ferramentas como LDAP, OAuth, ou soluções de gerenciamento de identidades, como o HashiCorp Vault, para gerenciamento centralizado de credenciais.
Melhores Práticas de Segurança no PostgreSQL
Charly Batista, Wagner Bianchi
Percona, BIANCHI.LABS
2024-11-07 14:00:00 - AUDITORIO 1
No cenário atual, onde a segurança é uma preocupação constante, é essencial evitar qualquer falha que possa permitir acessos indevidos a dados valiosos para as empresas. Com ameaças sempre presentes, estabelecer políticas eficazes de segmentação e auditoria de acesso é uma prioridade, assim como adotar a prática do princípio do menor privilégio. Nesta palestra, vamos explorar as configurações de segurança mais recomendadas para clusters Postgres. Abordaremos também as principais técnicas de auditoria e segmentação de usuários, utilizando roles, grants, users e diferentes métodos de autenticação. Para encerrar, apresentaremos uma demonstração de como obter credenciais dinâmicas integrando o PostgreSQL com o HashiCorp Vault. Listo abaixo os principais tópicos para esta palestra: 1. Autenticação: Métodos como trust, password, peer, MD5, SCRAM-SHA-256. 2. Autorização e Controle de Acesso: Uso de roles e permissions, incluindo o princípio de privilégio mínimo (least privilege), para limitar o acesso aos dados. 3. Criptografia: Implementação de criptografia em trânsito (SSL/TLS) e em repouso, além de criptografia de colunas específicas. 4. Gerenciamento de Senhas: Políticas para criação e armazenamento seguro de senhas, incluindo a rotação regular e uso de hashes seguros. 5. Auditoria e Monitoramento: Configuração de logs de auditoria para rastrear acesso a dados e alterações, incluindo logs de acesso (login/logout) e consultas SQL. 6. Gerenciamento de Patches e Atualizações: Manutenção regular para aplicar patches de segurança e atualizar para versões mais seguras do PostgreSQL (correção de vulnerabilidades). 7. Configurações de Segurança do Sistema Operacional: Proteções de sistema, como firewalls, SELinux/AppArmor, e configuração de permissões de arquivos. 8. Isolamento de Rede: Uso de VPNs, sub-redes seguras e regras de firewall para limitar o acesso ao servidor de banco de dados. 9. Backup e Recuperação: Procedimentos para realizar backups seguros e garantir a recuperação de dados de forma segura. 10. Integração com Sistemas de Gerenciamento de Identidade e Acesso: Integração com ferramentas como LDAP, OAuth, ou soluções de gerenciamento de identidades, como o HashiCorp Vault, para gerenciamento centralizado de credenciais.