Làm thế nào tôi có thể ngăn chặn vô tình jacking với cơ sở dữ liệu sản xuất?

Mới gần đây, tôi có một nhà phát triển vô tình cố gắng khôi phục cơ sở dữ liệu để sản xuất, khi anh ta đáng lẽ phải khôi phục lại bản sao. Thật dễ dàng để làm, với điều kiện là các tên db tương tự nhau, nghĩa là CustomerName_Staging so với CustomerName_ Producttion.

Lý tưởng nhất là tôi có những thứ này trên các hộp hoàn toàn riêng biệt, nhưng đó là chi phí cấm, và nói đúng ra, nó không ngăn điều tương tự xảy ra nếu người dùng kết nối với hộp sai.

Đây không phải là vấn đề bảo mật, vì đó là người dùng chính xác làm việc với cơ sở dữ liệu dàn dựng và nếu có công việc phải làm trên cơ sở dữ liệu sản xuất, thì đó cũng sẽ là anh ta. Tôi muốn có một nhân viên triển khai để loại bỏ những mối quan tâm đó, nhưng nhóm không đủ lớn cho điều đó.

Tôi muốn nghe một số lời khuyên về thực hành, cấu hình và kiểm soát về cách ngăn chặn điều này.

Nếu đây là điều bạn thấy mình làm thường xuyên, hãy tự động hóa nó. Và vì bạn là cả hai nhà phát triển, nên viết một số mã nên có trong nhà xe của bạn. :) Nghiêm túc mặc dù ... bằng cách tự động hóa nó, bạn có thể làm những việc như:

• Xác minh rằng bạn đang khôi phục trên đúng máy chủ (nghĩa là không có dev -> prod khôi phục)
• Xác minh rằng đó là "loại" cơ sở dữ liệu phù hợp (trong trường hợp của bạn là "dàn dựng" và "sản xuất")
• Chỉ ra (các) bản sao lưu nào để khôi phục tự động bằng cách xem các bảng sao lưu trong msdb

Vân vân. Bạn chỉ bị giới hạn bởi trí tưởng tượng của bạn.

Tôi không đồng ý với giả định trong câu hỏi vì điều đó là bảo mật, nhưng tôi cũng không đồng ý rằng tự động hóa sẽ tự cứu lấy ngày. Tôi sẽ bắt đầu với vấn đề:

Bạn không thể vô tình làm bất cứ điều gì để sản xuất!

Điều đó bao gồm làm những điều tự động vô tình.

Bạn đang nhầm lẫn bảo mật hệ thống với các khái niệm như "ai được phép làm gì". Tài khoản phát triển của bạn chỉ có thể ghi vào bản sao của chúng, máy chủ kiểm soát phiên bản và cơ sở dữ liệu dev. Nếu họ có thể đọc / ghi sản xuất, họ có thể bị hack và khai thác để đánh cắp dữ liệu của khách hàng hoặc (như bạn đã chứng minh) có thể bị xử lý sai làm mất dữ liệu khách hàng.

Bạn cần bắt đầu bằng cách sắp xếp công việc của bạn.

• Tài khoản nhà phát triển của bạn sẽ có thể ghi vào các bản sao của chính họ, kiểm soát phiên bản và có thể kéo từ kiểm soát phiên bản vào môi trường thử nghiệm.

• Người dùng sao lưu chỉ có thể đọc từ sản xuất và ghi vào cửa hàng sao lưu của bạn (cần được bảo vệ một cách khéo léo).

• Thực hiện bất kỳ đọc / ghi khác trên sản xuất nên yêu cầu xác thực đặc biệt và bất tiện . Bạn không thể truy cập hoặc quên bạn đã đăng nhập. Kiểm soát truy cập vật lý rất hữu ích ở đây. Thẻ thông minh, công tắc lật để "khoanh vùng" tài khoản, truy cập khóa kép đồng thời.

  Tiếp cận sản xuất không phải là điều bạn cần làm mỗi ngày. Hầu hết các công việc nên trên nền tảng thử nghiệm của bạn và triển khai ngoài giờ được thực hiện để sản xuất sau khi xem xét kỹ lưỡng. Một chút bất tiện sẽ không giết bạn.

Tự động hóa là một phần của giải pháp.

Tôi không mù quáng về thực tế rằng việc quay vòng đầy đủ (tải lên VCS, kiểm tra vùng phủ sóng, kéo đến máy chủ thử nghiệm, chạy thử nghiệm tự động, xác nhận lại, tạo bản sao lưu, kéo từ VCS) là một quá trình dài.

Đó là nơi tự động hóa có thể giúp đỡ, theo câu trả lời của Ben. Có nhiều ngôn ngữ kịch bản khác nhau giúp cho việc chạy một số tác vụ nhất định trở nên dễ dàng hơn nhiều. Chỉ cần chắc chắn rằng bạn không làm cho nó quá dễ dàng để làm những điều ngu ngốc. Các bước xác nhận lại của bạn vẫn nên được phát âm (và nếu nguy hiểm) chúng sẽ bất tiện và khó thực hiện mà không cần suy nghĩ.

Nhưng một mình , tự động hóa là tồi tệ hơn vô dụng. Nó sẽ chỉ giúp bạn phạm sai lầm lớn hơn với ít suy nghĩ hơn.

Thích hợp cho các đội thuộc mọi quy mô.

Tôi nhận thấy bạn chỉ ra kích thước của đội của bạn. Tôi là một chàng trai và tôi đã vượt qua điều này bởi vì chỉ có một người gặp tai nạn. Có một chi phí nhưng nó đáng giá. Bạn kết thúc với một môi trường sản xuất và phát triển an toàn hơn và an toàn hơn nhiều.

Một trong những đồng nghiệp của tôi có một cách tiếp cận thú vị về điều này. Sơ đồ màu thiết bị đầu cuối của mình cho sản xuất là fugly . Xám và hồng và khó đọc, về mặt lý thuyết được cho là để đảm bảo rằng bất cứ điều gì anh ta viết, anh ta thực sự có ý định viết.

Số dặm của bạn có thể thay đổi ... và tôi có lẽ không cần phải nói rằng nó khó có thể tự chống đạn. :)

Các nhà phát triển không nên biết mật khẩu cho cơ sở dữ liệu sản xuất. Mật khẩu prod nên ngẫu nhiên và không dễ nhớ - giống như kết quả của việc trộn bàn phím ( Z^kC83N*(#$Hx). Mật khẩu dev của bạn có thể $YourDog'sNamehay correct horse battery staplehoặc bất cứ điều gì.

Chắc chắn, bạn có thể tìm ra mật khẩu là gì, đặc biệt nếu bạn là một nhóm nhỏ, bằng cách xem tệp cấu hình của ứng dụng khách. Đó là nơi duy nhất tồn tại mật khẩu prod. Điều đó đảm bảo rằng bạn sẽ phải thực hiện một nỗ lực có chủ ý để có được mật khẩu prod.

(Như mọi khi, bạn nên có các bản sao lưu theo thời gian cho cơ sở dữ liệu sản xuất của mình. Ví dụ: với MySQL, lưu trữ nhật ký nhị phân dưới dạng bản sao lưu gia tăng. Đối với PostgreQuery, hãy lưu trữ nhật ký ghi trước. bất kỳ loại thảm họa, tự gây ra hoặc cách khác.)

Câu trả lời ngắn gọn là RBAC - kiểm soát truy cập dựa trên vai trò.

Quyền của bạn đối với tất cả các môi trường cần phải khác nhau - và khó chịu như những thứ như UAC, bạn cần chúng: đặc biệt là đối với môi trường SẢN XUẤT.

Có bao giờ một lý do để các nhà phát triển để có thể truy cập trực tiếp đến Prod - bất kể nhỏ cách tổ chức / nhóm là. "Dev" của bạn cũng có thể đội mũ "Giai đoạn" và "Prod", nhưng anh ta cần phải có thông tin và quy trình khác nhau để đạt được các môi trường khác nhau.

Có khó chịu không? Chắc chắn rồi. Nhưng nó [giúp] ngăn chặn làm hỏng môi trường của bạn? Chắc chắn rồi.

Một giải pháp nhanh chóng và đơn giản: sử dụng hai tài khoản người dùng khác nhau, một tài khoản cho công việc phát triển bình thường của bạn chỉ có quyền truy cập vào cơ sở dữ liệu phát triển và một tài khoản khác để thực sự hoạt động trên cơ sở dữ liệu sản xuất, với toàn quyền truy cập vào nó. Bằng cách này, bạn sẽ phải chủ động thay đổi tài khoản bạn đang sử dụng trước khi bạn có thể thực hiện bất kỳ thay đổi nào trong sản xuất, điều này đủ để ngăn ngừa các lỗi vô ý.

Cách tiếp cận tương tự có thể được sử dụng nếu bạn có hai trang web, hoặc hai máy chủ hoặc hai môi trường: một tài khoản người dùng để phát triển không có quyền truy cập (hoặc ít nhất là không có quyền truy cập ghi ) vào sản xuất, một tài khoản người dùng khác để làm việc trên hệ thống sản xuất ( S).

Đây là cách tiếp cận tương tự như một sysadmin có tài khoản không phải quản trị viên tiêu chuẩn cho công việc thường ngày (đọc email, lướt web, theo dõi vé, bảng chấm công, viết tài liệu, v.v.) và sử dụng tài khoản quản trị viên đầy đủ riêng biệt khi thực sự hoạt động trên các máy chủ và / hoặc Active Directory.