In modernen Unternehmensumgebungen ist die Identität zum primären Angriffsvektor geworden, doch vielen Organisationen fehlt der Überblick darüber, wer über privilegierte Zugriffsrechte verfügt und ob diese missbraucht
Der Datenbankzugriff ist einer der größten toten Winkel in der Unternehmenssicherheit. Zugangsdaten werden häufig geteilt, unsicher gespeichert oder ohne Überwachung übertragen. KeeperDB ist ein moderner, protokollübergreifender Datenbank-Client, der diese Lücken schließt, indem er PostgreSQL, MySQL, Microsoft SQL Server und andere wichtige Protokolle über eine einheitliche Schnittstelle unterstützt. Als eigenständige Desktop-App mit biometrischer Authentifizierung und tresorbasiertem Abruf von Zugangsdaten ist KeeperDB ein sicherer Ersatz für veraltete Tools wie DBeaver und MySQL Workbench. Bei der Verwendung in KeeperPAM wird daraus eine vollständig verwaltete Zero-Trust-Sitzung mit privilegierten Zugriff.
Lesen Sie weiter, um zu erfahren, wie KeeperDB den Datenbankzugriff sichert und warum das für die moderne Unternehmenssicherheit von Bedeutung ist.
Warum die Sicherung des Datenbankzugriffs wichtig ist
Datenbanken gehören zu den wichtigsten Ressourcen für die Speicherung vertraulicher Unternehmensdaten. Mehrere Faktoren machen die Sicherheit des Datenbankzugriffs besonders wichtig:
- Wertvolle Ziele: Datenbanken enthalten große Mengen vertraulicher Daten, was sie für Cyberkriminelle, die finanzielle oder strategische Vorteile anstreben, besonders wertvoll macht.
- Eingeschränkte Transparenz: In vielen Unternehmen fehlt es an einer Überwachung und Aufzeichnung von Datenbankaktivitäten in Echtzeit, was dazu führt, dass unbefugte Zugriffe oder verdächtiges Verhalten unentdeckt bleiben.
- Compliance-Risiko: Ohne eine angemessene Prüfung können Unternehmen die Anforderungen regulatorischer Rahmenbedingungen wie SOC 2, HIPAA und ISO 27001 nicht erfüllen.
- Angriffe auf Basis von Zugangsdaten: Kompromittierte, wiederverwendete oder unsachgemäß verwaltete Zugangsdaten gehören nach wie vor zu den häufigsten Angriffsvektoren, die Cyberkriminelle zum Eindringen in Systeme nutzen.
Zur Bewältigung dieser Herausforderungen müssen Unternehmen vollständige Transparenz und Kontrolle über den Datenbankzugriff besitzen. Dazu gehören die Durchsetzung der Zero-Trust-Sicherheit, die Verwaltung von Zugangsdaten auf Kundenebene und die Führung detaillierter Audit-Protokolle. KeeperDB stellt dies durch die Verwendung biometrischer Authentifizierung mittels Face ID und Windows Hello sicher und ermöglicht so eine passwortlose Anmeldeerfahrung. Bei Zugangsdaten für Datenbanken lässt sich KeeperDB direkt in den Keeper Secrets Manager integrieren und ruft diese zum Zeitpunkt der Verbindung aus dem Keeper-Tresor ab, anstatt sie über verschiedene Endpunkte verteilt zu lassen.
Hier sind sieben Möglichkeiten, wie KeeperDB den Datenbankzugriff sichert.
1. Eliminierung gespeicherter Zugangsdaten dank passwortlosem Zugriff
Gespeicherte Zugangsdaten für Datenbanken stellen für Unternehmen ein erhebliches Sicherheitsrisiko dar. In vielen Umgebungen werden Passwörter in Konfigurationsdateien gespeichert, in Skripten eingebettet oder teamübergreifend geteilt. Diese Praktiken schaffen mehrere Angriffspunkte, wodurch es Cyberkriminellen leichter fällt, Zugangsdaten durch Phishing-Angriffe oder Malware zu stehlen. Sind die Zugangsdaten erst einmal offengelegt, können sie wiederverwendet werden, um sich lateral zwischen Systemen zu bewegen oder Berechtigungen zu erweitern.
KeeperDB beseitigt dieses Risiko, indem Zugangsdaten für Datenbanken nicht im Klartext in Konfigurationsdateien gespeichert werden. Als eigenständige Desktop-App mit integriertem Keeper Secrets Manager werden Zugangsdaten bei der Verbindung aus dem Tresor abgerufen, anstatt in lokalen Konfigurationsdateien gespeichert zu werden, und die biometrische Authentifizierung ersetzt das Master-Passwort vollständig. Bei der Bereitstellung von KeeperDB über KeeperPAM gelangen die Zugangsdaten niemals an den Endpunkt, sondern werden erst zum Zeitpunkt des Zugriffs innerhalb des vom Kunden kontrollierten Keeper-Gateways entschlüsselt. Anschließend werden die Zugangsdaten über einen verschlüsselten Kanal an KeeperDB im Speicher übermittelt und sofort nach Beendigung der Sitzung gelöscht.
Die Sitzungen werden mithilfe der Remote Browser Isolation (RBI) von Keeper vollständig isoliert, wobei KeeperDB in einer vollständig abgeschotteten Sitzung an den Browser des Benutzers gestreamt wird. Da zu keinem Zeitpunkt Zugangsdaten an den Endpunkt geschrieben werden, bleiben diese zeitlich begrenzt und unterliegen einer strengen Kontrolle, wodurch eine strikte Trennung zwischen der Datenbank und dem Endpunkt gewährleistet wird. Durch die Beseitigung gespeicherter Geheimnisse verringern Unternehmen das Risiko von Zugangsdatendiebstahl und schränken die laterale Bewegung innerhalb ihrer Infrastruktur ein.
2. Durchsetzung von Zero-Trust-Sicherheit bei allen Datenbanksitzungen
Bei der Bereitstellung in KeeperPAM erzwingt KeeperDB den Zero-Trust-Zugriff, indem authentifizierte Verbindungen mit End-to-End-Verschlüsselung über das Keeper Gateway hergestellt werden. Datenbanken werden niemals über eingehende Firewalls offengelegt, und es ist kein VPN erforderlich. Stattdessen wird der Zugriff über sichere, ausschließlich ausgehende Verbindungen vermittelt, die die Angriffsoberfläche erheblich verringern.
KeeperDB unterstützt zudem den JIT-Zugriff (Just-in-Time), sodass Unternehmen nur bei Bedarf zeitlich begrenzten Datenbankzugriff gewähren können. Zugriffsanfragen können über Integrationen wie Slack, Jira, ServiceNow oder Microsoft Teams initiiert und genehmigt werden. Die Berechtigungen werden nach der Nutzung automatisch widerrufen, wodurch dauerhafte Zugriffsrechte entfallen. Durch die Kombination von Zero-Trust-Sicherheit mit JIT-Zugriff verringert KeeperDB das Risiko unbefugter Zugriffe und gewährleistet gleichzeitig die betriebliche Effizienz.
3. Start sicherer Sitzungen direkt aus dem Keeper-Tresor
Für Teams, die KeeperPAM nutzen, ermöglicht KeeperDB den Benutzern den Start sicherer Datenbanksitzungen direkt aus dem Keeper-Tresor, wodurch VPNs oder manuelle Konfigurationen überflüssig werden. Die Sitzungen werden in der RBI-Umgebung von Keeper ausgeführt, wodurch sichergestellt wird, dass alle Aktivitäten in einer vollständig isolierten Sitzung stattfinden, die an den Browser des Benutzers gestreamt wird. Da Zugangsdaten niemals den Endpunkt erreichen und niemals lokal gespeichert werden, stärkt diese Isolationsschicht die Zero-Trust-Sicherheit und verbessert gleichzeitig die Benutzererfahrung.
Der Workflow von KeeperDB ermöglicht Benutzern die Auswahl eines Datenbankdatensatzes aus ihrem Tresor, das Starten von KeeperDB und die sofortige Verbindung über die integrierte Schnittstelle. Sie müssen keine Zugangsdaten kopieren und einfügen, keine Verbindungsdateien konfigurieren und keine separaten Tools verwalten. Im Gegensatz zu herkömmlichen Workflows, die auf lokal gespeicherten Geheimnissen und manuellen Einrichtungsschritten basieren, zentralisiert KeeperDB den Zugriff und beseitigt Reibungsverluste im Prozess. Dieser Ansatz vereinfacht den sicheren Zugriff für Ingenieure und Sicherheitsteams, und gewährleistet gleichzeitig die vollständige Kontrolle über jede Sitzung.
4. Überwachung, Aufzeichnung und Prüfung von Datenbankaktivitäten in Echtzeit
KeeperDB verfügt über einen Leistungsmonitor in Echtzeit, der sowohl in der eigenständigen Desktop-App als auch in der eingebetteten PAM-Bereitstellung funktioniert. Er liefert wichtige operative Erkenntnisse, darunter Listen aktiver Prozesse, Blockchains, Sperranalysen und die Beendigung von Sitzungen mit einem Klick. Falls eine Datenbank langsamer wird, können Teams lang laufende oder blockierende Abfragen schnell identifizieren und Sitzungen beenden, um die Leistung wiederherzustellen.
Bei der Bereitstellung in KeeperPAM zeichnet KeeperDB jede privilegierte Sitzung auf und protokolliert alle SQL-Aktivitäten, wodurch eine Governance-Ebene hinzugefügt wird, die vielen älteren Clients fehlt. Die Protokollierung auf Abfrageebene stellt sicher, dass jeder Befehl mit Zeitstempeln, Sitzungskontext und Ausführungsstatus erfasst wird. Diese Aktionen werden in detaillierten Audit-Protokollen zusammengefasst, die eine lückenlose Aufzeichnung der Datenbankzugriffe liefern. Dieses Maß an Transparenz stärkt sowohl die Sicherheit als auch die Compliance und gewährleistet eine lückenlose Dokumentation für Frameworks wie SOC 2, HIPAA und ISO 27001. Durch die Kombination von Überwachung in Echtzeit mit umfassenden Prüfungen stellt KeeperDB sicher, dass jede Datenbankinteraktion nachvollziehbar und nachweisbar ist.
5. Verwendung von KeeperAI® zur sicheren Automatisierung von Datenbankvorgängen
KeeperDB integriert KeeperAI zur Optimierung von Datenbank-Workflows unter Aufrechterhaltung granularer Zugriffskontrollen. Benutzer können mithilfe natürlicher Sprache mit Datenbanken interagieren, wodurch sich der Zeitaufwand für das Schreiben und die Fehlerbehebung von SQL-Abfragen verringert. KeeperAI arbeitet in mehreren kontrollierten Modi:
- Abfragen in natürlicher Sprache: Generieren und Erläutern von SQL unter Berücksichtigung des vollständigen Schemakontexts
- Schreibgeschützte Automatisierung: Ausführen von Abfragen und Analysieren der Ergebnisse ohne Benutzereingriff
- Genehmigungsbasierte Schreibvorgänge: Erfordern eine ausdrückliche Autorisierung für DML- oder DDL-Änderungen, um potenziell schädliche Aktionen vor der Ausführung zu verhindern
Bei Verwendung von KeeperDB in KeeperPAM analysiert KeeperAI kontinuierlich die Sitzungsaktivitäten auf Anomalien und Exfiltrationsversuche und bietet eine automatische Beendigung der Sitzung an. Dadurch können Teams die Fehlerbehebung und Berichterstellung beschleunigen und gleichzeitig die volle Kontrolle über Datenbankänderungen behalten sowie die Datenintegrität gewährleisten.
6. Sichere Verbindungen mit Tunneln und KeeperDB-Proxy
Der Zugriff auf veraltete Datenbanken erfolgt häufig über VPNs oder Bastion-Hosts, doch KeeperDB ersetzt diese durch Zero-Trust-Tunnel, die eine sichere, ausschließlich ausgehende Verbindung über das Keeper Gateway ermöglichen. Anstatt eingehende Firewall-Regeln zu öffnen oder Datenbanken direkt freizugeben, erscheinen Remote-Datenbanken für den Benutzer dank Tunneln als lokal, während der Datenverkehr verschlüsselt bleibt und über die Zero-Trust-Architektur von Keeper geleitet wird.
KeeperDB-Proxy erweitert dieses Modell für Desktop-Workflows. Wenn für einen Datensatz in der PAM-Datenbank ein Proxy aktiviert ist, fungiert dieser als Vermittler und übernimmt die Authentifizierung im Namen des Benutzers. KeeperDB-Proxy ruft Zugangsdaten sicher über das Keeper Gateway aus dem Tresor ab und fügt sie direkt in den Handshake des Datenbankprotokolls ein, sodass der Benutzer die Zugangsdaten zu keinem Zeitpunkt sieht oder verwaltet. Durch die Kombination von Tunneln und KeeperDB-Proxy wird der Infrastrukturaufwand reduziert und das Risiko eines unbefugten Zugriffs auf entfernte oder interne Datenbanken minimiert.
7. Zentralisierung der Zugangsdatenverwaltung und -rotation
Die manuelle Verwaltung von Zugangsdaten birgt erhebliche Risiken in Datenbankumgebungen, insbesondere wenn Passwörter teamübergreifend genutzt, wiederverwendet oder nicht einheitlich rotiert werden. KeeperDB begegnet dieser Herausforderung durch die Zentralisierung der Zugangsdatenverwaltung innerhalb der Zero-Trust- und Zero-Knowledge-Architektur von Keeper. Alle Zugangsdaten für Datenbanken werden sicher im Keeper-Tresor gespeichert und sind für Benutzer niemals einsehbar.
Mithilfe von KeeperPAM können Unternehmen Richtlinien zur automatischen Rotation durchsetzen, durch die Zugangsdaten regelmäßig aktualisiert werden, ohne dass dabei Workflows unterbrochen werden. Sobald ein Passwort rotiert wurde, erhalten autorisierte Benutzer über den Keeper-Tresor automatisch Zugriff auf die aktualisierten Zugangsdaten. Dieser Ansatz reduziert die Ausbreitung von Zugangsdaten erheblich, indem Passwörter von Endpunkten, Skripten und gemeinsam genutzten Dokumenten entfernt werden. KeeperDB vereinfacht zudem das Offboarding, indem der Zugriff auf den Tresor widerrufen und sichergestellt wird, dass die Zugangsdaten über den gesamten Lebenszyklus hinweg geschützt bleiben.
Modernisieren Sie den Datenbankzugriff mit KeeperDB
Veraltete Datenbank-Tools wie DBeaver und MySQL Workbench wurden mit Blick auf Funktionalität und nicht auf Sicherheit im großen Maßstab entwickelt. Sie stützen sich auf lokal gespeicherte Zugangsdaten, verfügen über keine Sitzungsaufzeichnung und verursachen tote Winkel bei der Überprüfung, die von Compliance-Frameworks nicht akzeptiert werden. KeeperDB wurde hingegen anders konzipiert. Als eigenständige Desktop-App bietet KeeperDB biometrische Authentifizierung, tresorbasierten Abruf von Zugangsdaten sowie eine moderne, KI-gestützte Schnittstelle und ist damit ein überzeugender Ersatz für ältere Tools. Sobald Ihr Unternehmen bereit ist, lässt sich KeeperDB um KeeperPAM erweitern, um Zero-Trust-Zugriff auf privilegierte Systeme, Sitzungsaufzeichnung und JIT-Bereitstellung (Just-in-Time) zu ermöglichen, sodass Ihre Datenbanksicherheit mit Ihrem Unternehmen mitwachsen kann.
Laden Sie KeeperDB herunter, um die Arbeit Ihres Teams mit Datenbanken zu modernisieren, und starten Sie noch heute Ihre kostenlose Testversion von KeeperPAM, um zu erfahren, wie Sie damit einen sicheren Datenbankzugriff gewährleisten können.