AA11-1 CARACTERISTICAS Y FUNCIONES DE SEGURIDAD DEL SMBD SELECCIONADO

AA11-1 CARACTERISTICAS Y FUNCIONES DE SEGURIDAD DEL SMBD SELECCIONADO

Características y funciones de seguridad de PostgreSQL 11

LUISA FERNANDA FONTECHA SANCHEZ

Aprendiz

Hugo Andrés Trujillo Montealegre

Instructor

SERVICIO NACIONAL DE APRENDOZAJE SENA

GESTION Y SEGURIDAD DE BASES DE DATOS

ESPECIALIZACION TECNOLOGICA

2020

INTRODUCCION

Hoy día está la necesidad dominante de que la información incluida en su base de datos se conserve segura, cumpliendo requisitos tales como la integridad y confidencialidad.

Por lo que se hace obligatorio realizar mecanismos de seguridad que limiten el acceso a la información de personas no autorizadas. El presente documento detalla los elementos que permiten garantizar la seguridad de los datos en el SMBD PostgreSQL, como es el uso del protocolo SSL, la creación de roles, vistas y asignación de niveles de privilegios.

El progreso de la industria del software y el crecimiento de la competencia en el mercado exige como requisito fundamental para las aplicaciones informáticas la presencia de altos niveles de seguridad. En las organizaciones es importante adoptar medidas orientadas a prevenir acciones que pongan en riesgo la confidencialidad e integridad de la información que se maneja.

CARACTERISTICAS DE POSTGRESQL

PostgreSQL es uno de los sistemas de gestión de bases de datos más usados en la actualidad. Está orientado a objetos, es multisistemas, por tanto se puede usar en cualquier sistema operativo y bajo licencia libre.

Esta desarrollado desde 1996 por una comunidad de desarrolladores a partir del SGBD POSGRES, que surgió a partir de un proyecto de investigación militar estadounidense con participación civil.

Las características más importantes de PostgreSQL son las siguientes:

• El lenguaje SQL que usa es muy próximo al estándar ISOMEC gracias a lo que resulta relativamente sencillo portar consultas y scripts de otros y sistemas de bases de datos y así aprender fácilmente las variantes de otro lenguaje.
• Cumple con ACID, es decir promueve atomicidad, consistencia, aislamiento y durabilidad para sus operaciones.
• Permite crear esquemas, tablas heredadas y triggers orientados a eventos que no poseen otros motores.
• Permite definir procedimientos, no solo en PostgreSQL, sino también en otros muchos lenguajes como Pearl, TCL, Pyton. Incluso si el lenguaje que desea usar no está soportado, puede definirlo con nuevas extensiones.
• Puede extender la funcionalidad con otras extensiones provistas por el propio PostgreSQL
• También posee una excelente escalabilidad vertical.

SEGURIDAD EN BASES DE DATOS POSTGRESQL

La seguridad de los datos indica protegerlos de acciones indebidas que pongan en peligro su definición, existencia, consistencia e integridad independientemente de la persona que los accede.

La seguridad de una base de datos se refiere a la protección de la información contra el acceso por parte de las personas no autorizadas y la indebida destrucción o alteración. Es un componente fundamental de la estrategia global en materia de seguridad informática es muy importante como para quedarse con las configuraciones por defecto.

Para mantener la seguridad en una base de datos, deben cumplirse requisitos tales como:

Confidencialidad: condición que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados.

Integridad: condición que garantiza que la información solo puede ser modificada, incluyendo su creación y borrado, por el personal autorizado. El concepto de integridad significa que el sistema no debe modificar o corromper la información que almacene o permitir que alguien no autorizado lo haga.

Para garantizar que se cumplan estos requisitos se definen niveles de seguridad como:

SEGURIDAD DE ACCESO AL SISTEMA

Permite definir desde  que equipos se pueden conectar los usuarios a las bases de datos, así como definir que usuarios y a que bases de datos se van a conectar. Las configuraciones de este nivel de seguridad se realizan en los archivos postgresql.conf, pg_ident.conf y pg_hba.conf.

El archivo postgresql.conf presenta parámetros importantes para configurar las conexiones, así como para la seguridad y autenticación.

Configuración de las conexiones:

• Listen_addresses (string). Específica las direcciones ICP/IP por las cuales el servidor va a escuchar las conexiones desde aplicaciones cliente.el valor toma la forma de una lista separada por comas de nombres de host y/o direcciones IP numéricas.
• Port (integer): especifica el puerto TCP por el cual escucha el servidor, por defecto es 5432. El número de puerto es el mismo para todas las direcciones IP por las que se escucha el servidor.
• Max_connections (integer): determina el número máximo permitido de conexiones simultáneas al servidor de base de datos. El valor predeterminado es de 100conexiones.

Seguridad y autenticación:

• Authentication_timeout (interger): establece el tiempo máximo para completar la autenticación del cliente en cuestión de segundos.
• SSL (boolean): secure sockets Layer por sus siglas en ingles. Protocolo cryptografico que permite autenticar y entregar privacidad a la información entre el cliente y el servidor de forma segura. Especifica si se permiten conexiones SSL. El valor predeterminado es off. Comunicaciones SSL solo son posibles con conexiones TCP/IP
• Password_encryption (boolean): cuando se especifica una contraseña en CREATE USER o ALTER USER sin escribir: cifrado o no cifrado, este parámetro determina si la contraseña debe ser encriptada. El valor predeterminado es ON (cifrar la contraseña).
• Row_security (boolean): especifica si se aplican o no las directivas de seguridad de fila. El valor predeterminado es on.

El archivo pg_hba.conf controla la autenticación del cliente.

En el archivo se debe definir un registro para cada acceso que se pueda conectar al servidor. Cada registro especifica el tipo de conexión (TYPE), nombre de la base de datos a la que tendrá acceso (DATABASE), nombre de usuario (USER), dirección IP del cliente (ADDRESS) y el método de autenticación que se va a utilizar (METHOD).

TYPE:

• Local se define para las conexiones que se realizaran desde el propio servidor.
• Host se utilizara para conexiones remotas no-SSL y SSL.
• Hostssl solo se utilizara para conexiones SSL.
• Hostnossl solo se utilizara para las conexiones remotas no-SSL.

DATABASE:

• All permite la conexión a cualquier base de datos
• Sameuser/Samerole: se empleara para bases de datos que su nombre sea el mismo que el usuario/rol que se conecta.
• Nombd1, nombd2,… permite la conexión a cualquiera de las bases de datos de la lista.
• @archivo permite la conexión a las bases de datos incluidas en el archivo. Debe estar en el mismo directorio que pg_hba.conf.

USER:

• ALL permite la conexión de cualquier rol.
• Role1, role2,… permite la conexión de los roles de la lista y además permite la conexión de cualquier rol que sea miembro de role2.
• @archivo permite la conexión de los roles incluidos en el archivo. Debe estar en el mismo directorio pg_hba.conf.

METHOD

• Trust permite todos los accesos sin necesidad de autenticarse (solo recomendables para conexiones desde el equipo local).
• reject rechaza la conexión sin condiciones.
• password solicita la contraseña sin encriptar
• md5 solicita la contraseña con el método de encriptación md5.
• ident utiliza el usuario del sistema desde el que se está intentado conectar.
• cert autenticar utilizando certificados SSL.

SEGURIDAD DE LOS DATOS

Cuando se permite un acceso es importante restringirlo a personal autorizado. La seguridad de los datos es responsabilidad del sistema gestor de bases de datos (SGBD) que se estén utilizando, por lo que debe ser configurada con roles, privilegios y permisos adecuados para evitar los accesos malintencionados. Por lo general se puede garantizar a través del

...