Come posso evitare il jack accidentale con un database di produzione?

Proprio di recente, uno sviluppatore ha tentato accidentalmente di ripristinare un database in produzione, quando avrebbe dovuto ripristinare una copia temporanea. È facile da fare, dato che i nomi db sono simili, ad esempio CustomerName_Staging contro CustomerName_Production.

Idealmente, li avrei su scatole completamente separate, ma ciò è proibitivo in termini di costi e, a rigor di termini, non impedisce che accada la stessa cosa se l'utente si collega alla scatola sbagliata.

Questo non è un problema di sicurezza, di per sé - è stato l'utente corretto a lavorare con il database di gestione temporanea e se c'è del lavoro da fare sul database di produzione, lo sarebbe anche lui. Mi piacerebbe avere un ufficiale di spiegamento per separare quelle preoccupazioni, ma il team non è abbastanza grande per quello.

Mi piacerebbe ricevere alcuni consigli in termini di pratica, configurazione e controlli su come evitarlo.

Se questo è qualcosa che ti vedi fare spesso, automatizzalo. E poiché entrambi siete sviluppatori, scrivere del codice dovrebbe essere nella vostra timoniera. :) Seriamente però ... automatizzandolo, puoi fare cose come:

• Verifica che stai ripristinando sul server corretto (es. Nessuno sviluppatore -> ripristini prodotti)
• Verifica che sia il "tipo" giusto di database (nel tuo caso, "stadiazione" e "produzione")
• Scopri quali backup ripristinare automaticamente guardando le tabelle di backup in msdb

Eccetera. Sei limitato solo dalla tua immaginazione.

Non sono d'accordo con il presupposto della domanda - questa è sicurezza - ma non sono nemmeno d'accordo sul fatto che l'automazione salverà la giornata da sola. Inizierò con il problema:

Non dovresti essere in grado di fare accidentalmente nulla alla produzione!

Ciò include fare cose automatizzate per errore.

Stai confondendo la sicurezza del sistema con concetti come "a chi è permesso fare cosa". I tuoi account di sviluppo dovrebbero poter scrivere solo sulle loro copie, sul server di controllo della versione e sul database degli sviluppatori. Se riescono a leggere / scrivere la produzione, possono essere hackerati e sfruttati per rubare i dati dei clienti o (come hai dimostrato) possono essere maltrattati nel perdere i dati dei clienti.

È necessario iniziare ordinando il flusso di lavoro.

• I tuoi account sviluppatore dovrebbero essere in grado di scrivere sulle proprie copie, sul controllo della versione e magari passare dal controllo della versione in un ambiente di test.

• Gli utenti di backup dovrebbero solo poter leggere dalla produzione e scrivere nel proprio archivio di backup (che dovrebbe essere adeguatamente protetto).

• Fare qualsiasi altra lettura / scrittura sulla produzione dovrebbe richiedere un'autenticazione speciale e scomoda . Non dovresti riuscire a scivolarti dentro o dimenticare di aver effettuato l'accesso. Il controllo dell'accesso fisico è utile qui. Smart card, flip-switch per "armare" l'account, accesso simultaneo a doppia chiave.

  L'accesso alla produzione non dovrebbe essere qualcosa che devi fare ogni giorno. La maggior parte del lavoro dovrebbe riguardare la piattaforma di test e le implementazioni fuori orario effettuate in produzione dopo un attento controllo. Un piccolo inconveniente non ti ucciderà.

L'automazione fa parte della soluzione.

Non sono cieco al fatto che il pieno inversione di tendenza (caricamento su VCS, controllo della copertura, pull su server di prova, esecuzione di test automatizzati, riautenticazione, creazione di un backup, pull da VCS) è un processo lungo.

Ecco dove l'automazione può aiutare, secondo la risposta di Ben. Esistono molti linguaggi di scripting diversi che rendono l'esecuzione di determinate attività molto, molto più semplice. Assicurati solo di non rendere troppo facile fare cose stupide. I tuoi passaggi di riautenticazione dovrebbero comunque essere pronunciati (e se pericolosi) dovrebbero essere scomodi e difficili da fare senza pensare.

Ma da solo l' automazione è peggio che inutile. Ti aiuterà solo a fare errori più grandi con meno pensieri.

Adatto a squadre di tutte le dimensioni.

Ho notato che hai indicato la dimensione della tua squadra. Sono un ragazzo e me lo sono fatto perché ci vuole solo una persona per avere un incidente. C'è un sovraccarico ma ne vale la pena. Si finisce con un ambiente di sviluppo e produzione molto più sicuro e molto più sicuro.

Uno dei miei colleghi ha un approccio interessante a questo. La sua combinazione di colori terminali per la produzione è fugace . Grigio e rosa e difficile da leggere, che teoricamente dovrebbe garantire che qualunque cosa scriva, intendeva davvero scrivere.

Il tuo chilometraggio può variare ... e probabilmente non devo dire che è a prova di proiettile da solo. :)

Gli sviluppatori non dovrebbero conoscere la password del database di produzione. La password del prod dovrebbe essere casuale e non memorabile - qualcosa come il risultato di tastiera mashing ( Z^kC83N*(#$Hx). La password può essere dev $YourDog'sNameo correct horse battery stapleo qualsiasi altra cosa.

Certo, potresti scoprire qual è la password, specialmente se sei un piccolo team, guardando il file di configurazione dell'applicazione client. Questo è l'unico posto dove dovrebbe esistere la password prod. Ciò garantisce che dovresti fare uno sforzo deliberato per ottenere la password del prod.

(Come sempre, è necessario disporre di backup temporizzati per il database di produzione. Ad esempio, con MySQL, archiviare i registri binari come backup incrementali. Per PostgreSQL, archiviare i registri write-ahead. Questa è la protezione dell'ultima risorsa per qualsiasi tipo di disastro, autoinflitto o altro.)

La risposta breve è RBAC - controllo degli accessi in base al ruolo.

Le tue autorizzazioni per tutti gli ambienti devono essere diverse e fastidiose come cose come UAC, ne hai bisogno: specialmente per gli ambienti PROD.

Non c'è MAI motivo per gli sviluppatori di avere accesso diretto a Prod, indipendentemente da quanto piccola sia l'organizzazione / il team. Il tuo "Dev" può anche indossare i cappelli "Stage" e "Prod", ma deve avere credenziali e processi diversi per colpire ambienti diversi.

È fastidioso? Assolutamente. Ma [aiuta] a prevenire il borking dei tuoi ambienti? Assolutamente.

Una soluzione semplice e veloce: utilizzare due account utente diversi, uno per il normale lavoro di sviluppo che ha solo accesso al database di sviluppo e uno diverso per operare effettivamente sul database di produzione, con pieno accesso ad esso. In questo modo, dovrai cambiare attivamente l'account che stai utilizzando prima di poter apportare qualsiasi cambiamento nella produzione, il che dovrebbe essere sufficiente per prevenire errori accidentali.

Lo stesso approccio può essere utilizzato se si hanno due siti Web, o due server o due interi ambienti: un account utente per lo sviluppo senza accesso (o almeno nessun accesso in scrittura ) alla produzione, un altro account utente per lavorare sul sistema di produzione ( S).

Questo è lo stesso approccio di un amministratore di sistema con un account non amministratore standard per il lavoro di routine (lettura di e-mail, navigazione Web, tracciamento dei biglietti, archiviazione di schede, scrittura di documentazione, ecc.) E un account distinto per amministratore completo da utilizzare durante il funzionamento effettivo su server e / o Active Directory.