最近公司在做安全合规这块,请了一个三方安全服务公司过来,端着电脑一条一条的与旁边的同事核对,随意听见几条。
乙:你们 MySQL 密码有设置定期修改吗?
甲:没有。
乙:为什么不呢,会不会产生安全问题呢?
甲:可...能...会吧
......
乙:你们数据库默认的 db 都删掉了吧?
甲:删了,我们是云数据库,不存在这个 test
乙:我看到 redis 里面好多 db0,db1,db2...这些默认的没删啊
甲:这个...不用吧
乙:为什么不呢,会不会产生安全问题呢?
......
乙:你们数据有做异地备份吗?
甲:我们是云 RDS,备份上传到了 OSS
乙:在同一个华东 1 可用区吗
甲:是的
乙:那就算没异地备份了
类似的问题有很多,感觉就是为了一个安全证书,说啥咱都点头。很多都不实际呀,像数据库密码,业务 7×24 访问,定期修改密码,业务还怎么用嘛,没办法做到同时修改数据库密码和应用配置的密码啊
不知各位 V 友怎么看
 |
1
hcymk2 Mar 16, 2018
你去问下 oracle
|
 |
2
Len1133 Mar 16, 2018
应用接入到配置中心,可以自动化数据库配置
|
 |
3
xmh51 Mar 16, 2018
甲:我们是云 RDS,备份上传到了 OSS
乙:在同一个华东 1 可用区吗 赞同啊,同物理节点,还叫毛线异地备份。 |
 |
4
SuperMild Mar 16, 2018 via iPhone
甲说的都很对啊
|
 |
5
timwei Mar 16, 2018
ISO27001
CIS Benchmark |
|
6
SuperMild Mar 16, 2018 via iPhone
密码肯定要定期更换的,不然是有安全隐患。
|
 |
7
mentalkiller Mar 16, 2018
我怎么感觉三方安全公司问的没什么毛病啊?
|
 |
8
gefranks Mar 16, 2018
都是很基本的安全问题。。
oracle db 本来就有默认的密码安全策略。。。经常要改一堆密码,改过来再改过去 |
 |
9
yzyun08 Mar 16, 2018
你们到底需要这种安全服务吗?
|
 |
10
seanlook OP |
|
12
seanlook OP @mentalkiller 比如各位 redis 里面的 db1-db15 都删掉了吗,站在运维和开发的角度,这些 db 多多少少都有在用的。mysql 里面 test 删掉那是必然的
|
 |
13
julyclyde Mar 18, 2018
这几条问题都没错
|
Select Language