Bir üretim veritabanına yanlışlıkla girmeyi nasıl önleyebilirim?

Kısa süre önce, bir geliştiriciyi yanlışlıkla bir aşamalı kopyaya geri yüklemesi gereken bir veritabanını prodüksiyona geri yüklemeyi denedim. Db adlarının benzer olduğu göz önüne alındığında kolay, yani, MüşteriAdı_Staging - MüşteriAdı_Üretim.

İdeal olarak, bunları tamamen ayrı kutular üzerinde bulundururdum, ancak bu maliyet engelleyicidir ve kullanıcı yanlış kutuya bağlanırsa kesinlikle aynı şeyin olmasını engellemez.

Bu bir güvenlik problemi değil, kendi başına - hazırlama veritabanında çalışan doğru kullanıcıydı ve üretim veritabanında yapılacak işler varsa, o da olacaktır. Bu endişeleri ayırmak için bir dağıtım görevlisi olmasını isterdim, ancak takım bunun için yeterince büyük değil.

Bunun nasıl önleneceği ile ilgili uygulama, yapılandırma ve kontroller hakkında bazı tavsiyeler almayı çok isterim.

Bu, sık sık yaptığınız bir şeyse, otomatikleştirin. İkiniz de geliştiriciniz olduğunuz için, bazı kodları yazmak evinizde olmalı. :) Cidden olsa ... otomatikleştirerek, gibi şeyler yapabilirsiniz:

• Doğru sunucuya geri yüklediğinizi doğrulayın (örn. Dev -> prod geri yüklemesi yok)
• Bunun doğru "tip" veritabanı olduğunu doğrulayın (sizin durumunuzda "evreleme" ve "üretim")
• Msdb'deki yedekleme tablolarına bakarak hangi yedeklemelerin otomatik olarak geri yükleneceğini belirleyin.

Et cetera. Sadece hayal gücünle sınırlısın.

Sorudaki varsayıma katılmıyorum - bu güvenliktir - ama aynı zamanda otomasyonun günü kendi kendine kurtaracağı konusunda hemfikirim. Sorunla başlayacağım:

Sen mümkün olmamalıdır yanlışlıkla yapmak üretime şey!

Buna yanlışlıkla otomatik şeyler yapmak da dahildir.

Sistem güvenliğini "kimin ne yapmasına izin verilir" gibi kavramlarla karıştırıyorsunuz. Geliştirme hesaplarınız yalnızca kopyalarına, sürüm kontrol sunucusuna ve dev veritabanına yazabilmelidir. Üretimi okuyabilir / yazabilirlerse, müşteri verilerini çalmak için saldırıya uğrayabilirler veya istismar edilebilirler veya (gösterdiğiniz gibi) müşteri verilerini kaybetmek için yanlış şekilde kullanılabilirler.

İş akışınızı düzenleyerek başlamanız gerekir.

• Geliştirici hesaplarınız kendi kopyalarına, sürüm kontrollerine yazabilmeli ve belki de sürüm kontrolünden bir test ortamına çekebilmelidir.

• Yedekleme kullanıcıları yalnızca üretimden okuyabilir ve yedekleme mağazanıza yazabilir (ki bunlar uygun bir şekilde korunmalıdır).

• Üretim üzerine başka bir okuma / yazma yapmak, özel ve uygunsuz kimlik doğrulaması gerektirmelidir . İçeri giremezsiniz veya giriş yaptığınızı unutmamalısınız. Fiziksel erişim kontrolü burada faydalıdır. Akıllı kartlar, hesap "flip" anahtarları, aynı anda çift anahtar erişim.

  Üretime erişmek, her gün yapmanız gereken bir şey olmamalıdır. İşin çoğu, dikkatli bir incelemeden sonra test platformunuzda ve mesai dışı dağıtımların yapımında olmalıdır. Biraz rahatsızlık sizi öldürmez.

Otomasyon çözümün bir parçasıdır .

Tam geri dönüşün (VCS'ye yükleme, kapsama alanı denetleme, test sunucusuna çekme, otomatik testler yapma, yeniden doğrulama, yedekleme oluşturma, VCS'den çekme) uzun bir süreç olduğu gerçeğine kör değilim.

Budur Ben'in Yanıt başına, nerede otomasyon kutu yardımı. Belirli görevleri yerine getirmeyi çok daha kolay hale getiren birçok farklı betik dili vardır. Sadece aptalca şeyler yapmayı çok kolay yapmadığından emin ol. Doğrulama adımlarınız yine de açıklanmalı (ve tehlikeliyse) düşünmeden yapılması uygun ve zor olmalıdır .

Ancak yalnız , otomasyon yararsızdan daha kötü. Daha az düşünce ile daha büyük hatalar yapmanıza yardımcı olacaktır.

Her boyutta takım için uygundur.

Takımının büyüklüğünü işaret ettiğini fark ettim. Ben bir erkeğim ve kendimi bunun içine soktum, çünkü yalnızca bir kişinin kaza geçirmesi gerekiyor. Tepegöz var ama buna değer. Daha güvenli ve çok daha güvenli bir geliştirme ve üretim ortamı ile son buluyorsunuz.

İş arkadaşlarımdan birinin buna ilginç bir yaklaşımı var. Üretim için yaptığı terminal renk şeması titizdir . Gri ve pembe ve okunması zor olan, teorik olarak yazdığı her şeyi yazmayı hedeflediğinden emin olması gerekiyordu.

Kilometreniz değişebilir ... ve muhtemelen tek başına kurşun geçirmez olmadığını söylemek zorunda değilim. :)

Geliştiriciler, üretim veritabanındaki şifreyi bilmemelidir. Prod şifresi rastgele ve unutulmaz olmalıdır - klavyenin karıştırılması ( Z^kC83N*(#$Hx) gibi bir şey . Dev şifreniz $YourDog'sNameya correct horse battery stapleda her neyse olabilir.

Elbette, müşterinin uygulamasının konfigürasyon dosyasına bakarak, özellikle küçük bir takımsanız, şifrenin ne olduğunu öğrenebilirsiniz. Ürün şifresinin olması gereken tek yer orası. Bu, prod parolasını almak için kasıtlı bir çaba göstermeniz gerektiğini garanti eder.

(Her zamanki gibi, üretim veritabanınız için anında yedeklemeniz gerekir. Örneğin, MySQL ile ikili günlükleri artımlı yedeklemeler olarak arşivleyin. PostgreSQL için önceden yazılan günlükleri arşivleyin. her türlü felaket, kendi kendine bulaşan veya başka türlü.

Kısa cevap RBAC - rol tabanlı erişim kontrolü.

Tüm ortamlar için izinlerinizin farklı olması gerekir - UAC gibi şeyler gibi can sıkıcı olduğu için onlara ihtiyacınız var: özellikle PROD ortamları için.

Orada asla bakmaksızın kuruluş / takımdır ne kadar küçük - Devs Prod doğrudan erişim olması için bir sebep. "Dev" iniz aynı zamanda "Stage" ve "Prod" şapkalarını da takabilir, ancak farklı ortamları vurmak için farklı kimlik bilgilerine ve işlemlerine sahip olması gerekir.

Can sıkıcı mı? Kesinlikle. Ancak bu, ortamlarınızı etkilemekten kaçınmanıza yardımcı oluyor mu? Kesinlikle.

Hızlı ve basit bir çözüm: biri yalnızca geliştirme veritabanına erişimi olan normal geliştirme çalışmanız için ve gerçekte üretim veritabanında çalışmak için farklı bir hesap olan iki farklı kullanıcı hesabı kullanın. Bu şekilde, üretimde herhangi bir değişiklik yapmadan önce kullandığınız hesabı aktif olarak değiştirmeniz gerekecektir ; bu, yanlışlıkla hataları önlemek için yeterli olacaktır.

İki web siteniz veya iki sunucunuz veya iki tüm ortamınız varsa, aynı yaklaşım kullanılabilir: geliştirme için bir kullanıcı hesabı üretime erişimi olmayan (veya en azından yazma erişimi yok ), üretim sistemi üzerinde çalışmak için başka bir kullanıcı hesabı ( s).

Bu, rutin işler için standart bir yönetici olmayan hesaba (e-posta okumak, webde gezinmek, bilet izlemek, dosyalama zaman çizelgeleri, belge yazmak, vb.) Ve gerçekten çalışırken kullanılabilecek farklı bir tam yönetici hesabı olan bir sysadmin ile aynı yaklaşımdır. sunucularda ve / veya Active Directory'de.