ฉันจะป้องกันการหลอกลวงโดยไม่ตั้งใจกับฐานข้อมูลการผลิตได้อย่างไร

เมื่อเร็ว ๆ นี้ฉันมีนักพัฒนาซอฟต์แวร์โดยไม่ได้ตั้งใจพยายามคืนค่าฐานข้อมูลเป็นการผลิตเมื่อเขาควรได้รับการคืนค่าไปยังสำเนาการจัดเตรียม เป็นเรื่องง่ายที่จะทำเพราะชื่อ db นั้นคล้ายกันคือ CustomerName_Staging กับ CustomerName_Production

เป็นการดีที่ฉันจะมีสิ่งเหล่านี้ในกล่องที่แยกจากกันโดยสิ้นเชิง แต่นั่นเป็นราคาที่ห้ามปรามและพูดอย่างเคร่งครัดมันไม่ได้ป้องกันสิ่งเดียวกันที่เกิดขึ้นหากผู้ใช้เชื่อมต่อกับกล่องผิด

นี่ไม่ใช่ปัญหาด้านความปลอดภัยต่อผู้ใช้ที่ถูกต้องทำงานกับฐานข้อมูลการจัดเตรียมและหากมีงานที่ต้องทำในฐานข้อมูลการผลิตก็จะเป็นเขาเช่นกัน ฉันชอบที่จะมีเจ้าหน้าที่จัดวางเพื่อแยกข้อกังวลเหล่านั้นออก แต่ทีมก็ไม่ใหญ่พอสำหรับเรื่องนั้น

ฉันชอบที่จะได้ยินคำแนะนำในแง่ของการปฏิบัติการกำหนดค่าและการควบคุมเกี่ยวกับวิธีการป้องกันสิ่งนี้

หากนี่คือสิ่งที่คุณเห็นว่าตัวเองกำลังทำอยู่โดยอัตโนมัติ และเนื่องจากคุณเป็นทั้งนักพัฒนาซอฟต์แวร์การเขียนรหัสควรอยู่ใน Wheelhouse ของคุณ :) อย่างจริงจังแม้ว่า ... โดยอัตโนมัติคุณสามารถทำสิ่งต่าง ๆ เช่น:

• ตรวจสอบว่าคุณกำลังกู้คืนบนเซิร์ฟเวอร์ที่ถูกต้อง (เช่นไม่มี dev -> prod คืนค่า)
• ตรวจสอบว่าเป็นฐานข้อมูล "ประเภท" ที่ถูกต้อง (ในกรณีของคุณ "การจัดเตรียม" และ "การผลิต")
• กำหนดว่าแบ็กอัพใดที่จะกู้คืนโดยอัตโนมัติโดยดูที่ตารางสำรองข้อมูลใน msdb

เป็นต้น คุณถูก จำกัด ด้วยจินตนาการของคุณ

ฉันไม่เห็นด้วยกับข้อสันนิษฐานในคำถาม - นี่คือความปลอดภัย - แต่ฉันก็ไม่เห็นด้วยเช่นกันว่าระบบอัตโนมัติกำลังจะบันทึกวันด้วยตัวเอง ฉันจะเริ่มต้นด้วยปัญหา:

คุณไม่ควรทำอะไรกับการผลิตโดยไม่ตั้งใจ !

ซึ่งรวมถึงการทำสิ่งอัตโนมัติโดยไม่ตั้งใจ

คุณกำลังสับสนความปลอดภัยของระบบด้วยแนวคิดเช่น "ใครได้รับอนุญาตให้ทำอะไร" บัญชีการพัฒนาของคุณควรจะสามารถเขียนไปยังสำเนาเซิร์ฟเวอร์การควบคุมเวอร์ชันและฐานข้อมูล dev เท่านั้น หากพวกเขาสามารถอ่าน / เขียนการผลิตพวกเขาสามารถแฮ็กและใช้ประโยชน์จากการขโมยข้อมูลลูกค้าหรือ (ดังที่คุณแสดง) อาจผิดพลาดไปในการสูญเสียข้อมูลลูกค้า

คุณต้องเริ่มต้นด้วยการแยกเวิร์กโฟลว์ของคุณออก

• บัญชีนักพัฒนาซอฟต์แวร์ของคุณควรจะสามารถเขียนไปยังสำเนาของตนเองการควบคุมเวอร์ชันและอาจดึงจากการควบคุมเวอร์ชันไปสู่สภาพแวดล้อมการทดสอบ

• ผู้ใช้การสำรองข้อมูลควรจะสามารถอ่านได้จากการผลิตและเขียนไปยังที่เก็บข้อมูลสำรองของคุณ (ซึ่งควรได้รับการปกป้องอย่างเหมาะสม)

• การอ่าน / เขียนในการผลิตอื่น ๆ นั้นจำเป็นต้องมีการพิสูจน์ตัวตนแบบพิเศษและไม่สะดวก คุณไม่ควรแอบเข้าไปหรือลืมว่าคุณเข้าสู่ระบบการควบคุมการเข้าถึงทางกายภาพมีประโยชน์ที่นี่ สมาร์ทการ์ดสวิตช์พลิกไปที่ "แขน" บัญชีการเข้าถึงคีย์คู่เปิดพร้อมกัน

  การเข้าถึงการผลิตไม่ควรเป็นสิ่งที่คุณต้องทำทุกวัน งานส่วนใหญ่ควรอยู่บนแพลตฟอร์มทดสอบของคุณและการใช้งานนอกเวลาผลิตเพื่อการผลิตหลังจากการตรวจสอบอย่างละเอียด ความไม่สะดวกเล็กน้อยจะไม่ฆ่าคุณ

ระบบอัตโนมัติเป็นส่วนหนึ่งของโซลูชัน

ฉันไม่ได้ตาบอดกับความจริงที่ว่าการเปลี่ยนแปลงทั้งหมด (การอัปโหลดไปยัง VCS, การตรวจสอบความครอบคลุม, การดึงไปยังเซิร์ฟเวอร์ทดสอบ, การทดสอบแบบอัตโนมัติ, การรับรองซ้ำ, การสร้างการสำรองข้อมูล, การดึงจาก VCS) เป็นกระบวนการที่ยาวนาน

นั่นคือสิ่งที่ระบบอัตโนมัติสามารถช่วยได้ตามคำตอบของ Ben มีภาษาสคริปต์ต่าง ๆ มากมายที่ทำให้การทำงานบางอย่างง่ายขึ้นมาก แค่ทำให้แน่ใจว่าคุณไม่ได้ทำเรื่องโง่ ๆ ง่ายเกินไป ขั้นตอนการตรวจสอบสิทธิ์ซ้ำ ๆ ของคุณควรจะยังคงเด่นชัด (และหากเป็นอันตราย) พวกเขาควรจะไม่สะดวกและยากที่จะทำโดยไม่ต้องคิด

แต่เพียงอย่างเดียวระบบอัตโนมัติแย่กว่าไร้ประโยชน์ มันจะช่วยให้คุณทำผิดพลาดครั้งใหญ่ด้วยความคิดที่น้อยลง

เหมาะสำหรับทีมทุกขนาด

ฉันสังเกตเห็นคุณชี้ให้เห็นขนาดของทีมของคุณ ฉันเป็นผู้ชายคนหนึ่งและฉันใส่ตัวเองผ่านสิ่งนี้เพราะใช้เวลาเพียงคนเดียวที่จะเกิดอุบัติเหตุ มีค่าใช้จ่าย แต่ก็คุ้มค่า คุณจะจบลงด้วยการพัฒนาและการผลิตที่ปลอดภัยและปลอดภัยยิ่งขึ้น

หนึ่งในเพื่อนร่วมงานของฉันมีแนวทางที่น่าสนใจในเรื่องนี้ โทนสีของเขามินัลสำหรับการผลิตเป็นfugly สีเทาและชมพูและยากที่จะอ่านซึ่งในทางทฤษฎีควรให้แน่ใจว่าสิ่งที่เขาเขียนเขาตั้งใจจะเขียน

ระยะของคุณอาจแตกต่างกันไป ... และฉันอาจไม่ต้องบอกว่ามันเป็นกระสุนที่แทบจะไม่มีในตัว :)

นักพัฒนาไม่ควรรู้รหัสผ่านไปยังฐานข้อมูลการผลิต รหัสผ่านของการผลิตควรเป็นแบบสุ่มและไม่เป็นที่จดจำ - บางอย่างเช่นผลลัพธ์ของการบดแป้นพิมพ์ ( Z^kC83N*(#$Hx) รหัสผ่าน dev ของคุณสามารถเป็น$YourDog'sNameหรือcorrect horse battery stapleหรืออะไรก็ตาม

แน่นอนว่าคุณสามารถทราบได้ว่ารหัสผ่านคืออะไรโดยเฉพาะอย่างยิ่งถ้าคุณเป็นทีมเล็กโดยดูที่ไฟล์กำหนดค่าของแอปพลิเคชันไคลเอนต์ นี่เป็นที่เดียวที่ควรใช้รหัสผ่านการผลิต เพื่อให้มั่นใจว่าคุณจะต้องใช้ความพยายามอย่างรอบคอบในการรับรหัสผ่านการผลิต

(เช่นเคยคุณควรมีการสำรองข้อมูล ณ จุดเวลาสำหรับฐานข้อมูลการผลิตของคุณตัวอย่างเช่นด้วย MySQL ให้จัดเก็บบันทึกการทำงานแบบไบนารีเป็นการสำรองแบบส่วนเพิ่มสำหรับ PostgreSQL ให้เก็บบันทึกการเขียนล่วงหน้าไว้ก่อน ภัยพิบัติชนิดใด ๆ การทำร้ายตนเองหรืออื่น ๆ )

คำตอบสั้น ๆ คือ RBAC - การควบคุมการเข้าถึงตามบทบาท

สิทธิ์ของคุณในทุกสภาพแวดล้อมจะต้องแตกต่าง - และน่ารำคาญเหมือนสิ่งต่าง ๆ เช่น UAC คือคุณต้องการ: โดยเฉพาะอย่างยิ่งสำหรับสภาพแวดล้อมที่มีการควบคุม

นอกจากนี้ไม่เคยเป็นเหตุผลสำหรับ devs ที่จะมีการเข้าถึงโดยตรง Prod - ไม่คำนึงถึงวิธีการขนาดเล็กองค์กร / ทีม "Dev" ของคุณอาจสวมหมวก "Stage" และ "Prod" แต่เขาต้องมีข้อมูลประจำตัวและกระบวนการที่แตกต่างกันเพื่อให้เข้ากับสภาพแวดล้อมที่แตกต่างกัน

มันน่ารำคาญไหม อย่างแน่นอน แต่ [ช่วย] ป้องกันไม่ให้บอร์กสภาพแวดล้อมของคุณหรือไม่ อย่างแน่นอน

วิธีแก้ปัญหาที่ง่ายและรวดเร็ว: ใช้บัญชีผู้ใช้ที่แตกต่างกันสองบัญชีบัญชีหนึ่งสำหรับงานพัฒนาปกติของคุณซึ่งมีเพียงการเข้าถึงฐานข้อมูลการพัฒนาและอีกบัญชีหนึ่งสำหรับการทำงานจริงบนฐานข้อมูลการผลิตพร้อมการเข้าถึงแบบเต็ม ด้วยวิธีนี้คุณจะต้องเปลี่ยนบัญชีที่คุณใช้ก่อนที่จะทำการเปลี่ยนแปลงใด ๆ ในการผลิตซึ่งควรจะเพียงพอที่จะป้องกันข้อผิดพลาดโดยไม่ตั้งใจ

วิธีการเดียวกันนี้สามารถใช้ได้หากคุณมีสองเว็บไซต์หรือสองเซิร์ฟเวอร์หรือสองสภาพแวดล้อมทั้งหมด: บัญชีผู้ใช้หนึ่งบัญชีสำหรับการพัฒนาที่ไม่มีการเข้าถึง (หรืออย่างน้อยไม่มีการเข้าถึงการเขียน ) เพื่อการผลิตบัญชีผู้ใช้อื่นสำหรับการทำงานบนระบบการผลิต s)

นี่เป็นวิธีการเดียวกันกับดูแลระบบที่มีบัญชีที่ไม่ใช่ผู้ดูแลระบบมาตรฐานสำหรับการทำงานประจำ (อ่านอีเมล, ท่องเว็บ, ติดตามตั๋ว, ยื่นแผ่นเวลา, เขียนเอกสาร ฯลฯ ) และบัญชีผู้ดูแลระบบเต็มรูปแบบที่แตกต่างกันเมื่อใช้งานจริง บนเซิร์ฟเวอร์และ / หรือ Active Directory