Si su organización usa MariaDB para administrar sus bases de datos como una alternativa a MySQL, probablemente ya sepa que tiene muchas opciones diferentes cuando se trata de asegurar y respaldar sus bases de datos o restaurar datos si alguna vez experimenta un problema. Sin embargo, no siempre está claro qué opciones debe tomar para maximizar su seguridad y proteger mejor los activos de su empresa.
Para ayudar, este artículo destaca muchas mejores prácticas y recomendaciones específicas para partes críticas de su configuración de MariaDB. También ofrecerá una mirada más cercana a la mejor solución para proteger los datos de misión crítica: una combinación bien diseñada de estas mejores prácticas de configuración, así como el uso de un sistema de copia de seguridad y restauración granular con reconocimiento de aplicaciones.
Opciones de configuración y consideraciones
Hay muchas opciones de configuración diferentes a tener en cuenta al configurar y mantener MariaDB. Las siguientes secciones discutirán la autenticación, las contraseñas, las redes, el uso de MariaDB como una imagen de Docker y consideraciones adicionales para futuras actualizaciones de MariaDB.
Autenticación sin contraseñas
Si su organización prefiere permitir que los usuarios se autentiquen sin contraseñas, tiene algunas opciones diferentes según su sistema operativo (Linus o Windows).
1. Linux: en Linux, use el complemento de autenticación Unix_socket de MariaDB . Esto permite a los usuarios iniciar sesión en MariaDB a través del socket de Unix, pero solo si el nombre del usuario coincide con el usuario del sistema.
Además, el usuario root está efectivamente configurado para usar la autenticación de socket de Unix de forma predeterminada, una ventaja importante que evita la concesión accidental de acceso root a conexiones externas a través de un puerto de escucha.
2. Windows: en entornos de Windows, puede usar el complemento de canalización con nombre , que proporciona una funcionalidad similar para las implementaciones basadas en Windows. Este complemento permite al usuario usar las credenciales del sistema operativo cuando se conecta a MariaDB a través de una canalización con nombre en Windows.
Múltiples métodos de autenticación
MariaDB permite múltiples métodos de autenticación por usuario. Esto proporciona una mayor flexibilidad donde los usuarios pueden autenticarse usando un socket Unix, o si eso no funciona, usar una contraseña.
Complemento de complejidad de contraseña
Además, puede instalar el complemento cracklib-password-check para asegurarse de que los usuarios de MariaDB creen contraseñas complejas y no triviales en todo momento, un paso importante para maximizar la seguridad.
Reflexiones sobre el almacenamiento de contraseñas
Si debe almacenar contraseñas, le sugerimos que siga estas mejores prácticas específicas:
· Nunca almacene contraseñas en texto claro.
· Asegúrese de que las contraseñas del servidor estén encriptadas. Tenga en cuenta que el valor predeterminado en MariaDB es sha 1, que ya no se considera seguro.
· Además, ed_25519 no está configurado de forma predeterminada, pero es muy recomendable.
Redes MariaDB seguras
Si su configuración de implementación lo permite, puede ser mejor ejecutar saltear redes en el servidor con socket Unix siempre que sea posible. Sin embargo, si esto no es posible, use nombres de host específicos para que los usuarios limiten las direcciones IP aceptadas externamente. Tenga en cuenta que solo se aceptarán conexiones provenientes de 192.168.1.10.
Crear usuarios específicos de la aplicación
Un escenario a tener en cuenta: la implementación predeterminada es permitir el acceso a la raíz de la aplicación. No solo no es necesario, sino que no es una buena idea, ya que puede generar vulnerabilidades en el futuro. Por ejemplo, en el caso de un error de seguridad en la aplicación, todo el servidor de la base de datos puede verse comprometido. En su lugar, debe crear usuarios dedicados y solo otorgar derechos según sea necesario utilizando el principio de privilegios mínimos.
En el caso de una red no confiable
En el caso de que esté tratando con una red que no es de confianza, asegúrese de que las comunicaciones cliente-servidor estén encriptadas. Esto requiere certificados SSL para que el servidor se genere y configure. (Use el comando CREATE USER para obtener información sobre los certificados especificados).
Todo esto lo ayuda a crear un usuario que puede conectarse localmente sin necesidad de SSL. Al mismo tiempo, asegúrese de requerir SSL cuando se conecte desde un host externo.
MariaDB como una imagen de Docker
MariaDB también se envía como una imagen de Docker. Esto significa que hay muchas formas de configurar el servidor, incluido compartir el socket de Unix a través de un volumen o exponer el puerto TCP/IP (3306).
Para variables de entorno útiles, puede usar MARIADB_ROOT_PASSWORD/MYSQL_ROOT_PASSWORD.
Actualizaciones de MariaDB
Con MariaDB, se mantiene la compatibilidad con versiones anteriores en todas las versiones. Las funciones rara vez se eliminan y, cuando lo hacen, generalmente se relacionan con conflictos con el estándar MySQL.
Debe hacer todo lo posible para asegurarse de que el servidor MariaDB se mantenga actualizado. Esto es importante porque MariaDB publica correcciones de seguridad tan pronto como sea posible después del lanzamiento de MySQL de Oracle (generalmente 1 o 2 días), por lo que actualizar el servidor garantizará que tenga acceso a todos estos parches lo antes posible.
Descripción general de la solución de Acronis
La mejor solución para proteger sus valiosos datos y bases de datos es una asociación entre las mejores prácticas de la aplicación y una solución de copia de seguridad y restauración granular y consciente de la aplicación .
Acronis ofrece una copia de seguridad de un solo paso para las cargas de trabajo de MySQL y MariaDB que permite la recuperación completa, así como la recuperación granular de las bases de datos y tablas de MySQL/MariaDB si los datos alguna vez se dañan. La solución realiza copias de seguridad a nivel de servidor, máquina virtual, base de datos o incluso tablas individuales. Esto se convierte en una ventaja importante para los usuarios que ejecutan múltiples sitios web o aplicaciones en una sola instancia.
Los proveedores de alojamiento y servicios en la nube también apreciarán que la solución Acronis Cyber Protect Cloud sea completamente configurable e implementable a través de los paneles de control y los sistemas de automatización que usan ahora : cPanel Plesk, DirectAdmin, WHMCS y más.
La combinación de ciberseguridad, protección de datos y respaldo garantiza una mejor protección que requiere menos recursos, lo que es fundamental para evitar infracciones y garantizar recuperaciones seguras y sin malware. Para obtener más información sobre las ventajas de usar Acronis Cyber Cloud como plataforma MSP, visite nuestra página de soluciones para proveedores de servicios hoy mismo.
