这是一个创建于 2775 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近公司在做安全合规这块,请了一个三方安全服务公司过来,端着电脑一条一条的与旁边的同事核对,随意听见几条。
乙:你们 MySQL 密码有设置定期修改吗?
甲:没有。
乙:为什么不呢,会不会产生安全问题呢?
甲:可...能...会吧
......
乙:你们数据库默认的 db 都删掉了吧?
甲:删了,我们是云数据库,不存在这个 test
乙:我看到 redis 里面好多 db0,db1,db2...这些默认的没删啊
甲:这个...不用吧
乙:为什么不呢,会不会产生安全问题呢?
......
乙:你们数据有做异地备份吗?
甲:我们是云 RDS,备份上传到了 OSS
乙:在同一个华东 1 可用区吗
甲:是的
乙:那就算没异地备份了
类似的问题有很多,感觉就是为了一个安全证书,说啥咱都点头。很多都不实际呀,像数据库密码,业务 7×24 访问,定期修改密码,业务还怎么用嘛,没办法做到同时修改数据库密码和应用配置的密码啊
不知各位 V 友怎么看
 | 1 hcymk2 2018-03-16 17:21:02 +08:00 你去问下 oracle |
 | 2 Len1133 2018-03-16 17:22:55 +08:00 应用接入到配置中心,可以自动化数据库配置 |
 | 3 xmh51 2018-03-16 17:25:18 +08:00 甲:我们是云 RDS,备份上传到了 OSS 乙:在同一个华东 1 可用区吗 赞同啊,同物理节点,还叫毛线异地备份。 |
 | 4 SuperMild 2018-03-16 17:26:27 +08:00 via iPhone 甲说的都很对啊 |
 | 5 timwei 2018-03-16 17:27:26 +08:00 ISO27001 CIS Benchmark |
| 6 SuperMild 2018-03-16 17:29:11 +08:00 via iPhone |
 | 7 mentalkiller 2018-03-16 17:34:10 +08:00 我怎么感觉三方安全公司问的没什么毛病啊? |
 | 8 gefranks 2018-03-16 17:48:57 +08:00 都是很基本的安全问题。。 oracle db 本来就有默认的密码安全策略。。。经常要改一堆密码,改过来再改过去 |
 | 9 yzyun08 2018-03-16 18:47:07 +08:00 你们到底需要这种安全服务吗? |
 | 10 seanlook OP |
| 12 seanlook OP @mentalkiller 比如各位 redis 里面的 db1-db15 都删掉了吗,站在运维和开发的角度,这些 db 多多少少都有在用的。mysql 里面 test 删掉那是必然的 |
 | 13 julyclyde 2018-03-18 16:18:08 +08:00 这几条问题都没错 |
Select Language