Difesa in profondità

È errore comune tra i sistemisti e gli amministratori di basi dati trattare il DBMS come un sistema a sé stante, dimenticando invece che è un server, dunque nodo di una rete, che offre servizi ad altre applicazioni. Va perciò considerato come un servizio interconnesso, pur con le sue peculiarità: l’operazione di rendere sicuro un database deve pertanto integrarsi con le politiche di sicurezza dell’infrastruttura, degli applicativi e dei sistemi operativi utilizzati.

Ciò consente di ottimizzare l’investimento di risorse umane ed economiche: per fare un esempio pratico, non avrebbe senso concentrare tutte le attenzioni sulla sicurezza del database, trascurando magari che il luogo in cui risiede il data server è insicuro e chiunque potrebbe sottrarre la macchina o i suoi hard disk. In tali casi, piuttosto, sarebbe meglio implementare un sistema di cifratura del file system e dei dati che ne garantirebbe ragionevolmente la segretezza anche in caso di furto.

La parola “ragionevolmente” è usata di proposito. Non può esistere infatti un sistema informatico completamente sicuro: dati tempo e risorse sufficienti, qualsiasi sistema può essere compromesso. Ciò da una semplice considerazione: chi amministra una rete, un server, un database deve operare correttamente sempre, senza mai fallire, mentre all’aggressore basta un’unica occasione a lui favorevole per penetrarne le difese.


Non potendo annullare il rischio di effrazione, si è col tempo giunti alla conclusione che la soluzione migliore sia complicare al massimo il lavoro dell’aggressore, mediante un approccio derivato dalle pratiche militari, definito difesa in profondità (defense-in-depth - l'immagine è tratta da Control Systems Cyber Security: Defense in Depth Strategies) . Essa si basa su un modello a livelli di sicurezza multipli: la sicurezza del database sarà quindi parte di tale strategia, insieme alle tecniche di protezione della rete, dei server che la compongono e dei sistemi operativi utilizzati, nonché delle regole di utilizzo stabilite. L’aggressore sarà così costretto a superare più barriere, invece di doverne violare una soltanto.

Una strategia di difesa in profondità potrà essere basata su un'efficace sinergia tra metodi di autenticazione e autorizzazione, firewall perimetrali e segmentazione interna della rete, VPN, IDS e IPS (Intrusion Detection/Protection Systems), crittografia a chiave pubblica, strumenti per l'identificazione delle vulnerabilità e la gestione delle patch, auditing e processi di incident response.

Il collante dei livelli di sicurezza multipli della difesa in profondità sarà la politica di sicurezza aziendale, che definisce regole, procedure e processi con l’obiettivo di proteggere i sistemi informativi e di rispondere prontamente alle violazioni. Non tutte le misure di protezione andranno necessariamente adottate: ragioni di costi, tempo e opportunità detteranno le scelte implementative; specie nel contesto italiano, dove a parte le poche grandi organizzazioni pubbliche e private dotate di infrastrutture complesse, la maggior parte delle realtà aziendali è di piccole-medie dimensioni, con esigenze specifiche e in qualche modo circoscritte. In questi casi, una seria analisi dei rischi individuerà i punti critici dell'infrastruttura e indirizzerà l'adozione delle contromisure opportune. Sempre che si vogliano fare le cose seriamente.