Banco de Dados — Visão Geral
O assessment de banco de dados avalia a configuração de segurança, conformidade e boas práticas dos seus sistemas de banco de dados. Por razões de segurança, ele usa um modelo de coletor local — um binário que você executa na sua rede e envia apenas metadados de configuração para a plataforma.
Funcionalidade Enterprise
O assessment de banco de dados é uma funcionalidade Enterprise. A feature flag DISABLE_DB_ASSESSMENT precisa estar desabilitada pelo administrador para que ela apareça na interface. Entre em contato com a equipe Elven Works para habilitar.
Engines suportadas
| Engine | Versões suportadas | Status |
|---|---|---|
| PostgreSQL | 11, 12, 13, 14, 15, 16 | Completo |
| MySQL / MariaDB | MySQL 5.7+, MySQL 8.x, MariaDB 10.x | Completo |
| SQL Server | 2016, 2017, 2019, 2022 | Disponível (v0.2) |
| Oracle | 12c, 19c, 21c | Disponível (v0.2) |
| MongoDB | 4.x, 5.x, 6.x, 7.x | Disponível (v0.2) |
| Redis | 6.x, 7.x | Disponível (v0.2) |
| DynamoDB | (via AWS SDK) | Disponível (v0.2) |
PostgreSQL e MySQL: análise mais completa
Os engines PostgreSQL e MySQL possuem o conjunto mais completo de verificações (100+ checks cada). Os demais engines estão na versão 0.2 com um subconjunto de verificações e serão expandidos em atualizações futuras.
O que é analisado
O assessment verifica configurações como:
Autenticação e Acesso
- Usuários com senha padrão ou sem senha
- Contas de superusuário expostas sem necessidade
- Ausência de políticas de complexidade de senha
- Roles e permissões excessivas (princípio do menor privilégio)
- Acesso remoto desnecessariamente amplo (ex.: GRANT ALL ON *.* TO 'user'@'%')
Criptografia - Dados em repouso sem criptografia (tablespace, volumes) - Conexões sem TLS/SSL obrigatório - Certificados expirados ou autoassinados em produção
Backups e Recuperação - Backups automáticos desabilitados ou com frequência inadequada - PITR (Point-in-Time Recovery) não configurado - Ausência de teste de restore documentado - Backups sem criptografia
Auditoria e Logs - Auditoria de DDL e DML desabilitada - Logs de queries lentas não configurados - Ausência de log de tentativas de login falhadas
Configuração e Hardening
- Parâmetros de configuração inseguros (ex.: log_passwords=on, skip-name-resolve)
- Extensões e plugins desnecessários habilitados
- Modo debug habilitado em produção
- Versões com vulnerabilidades conhecidas (CVEs)
Conformidade - Controles específicos de CIS Database Benchmarks - Requisitos PCI-DSS para dados de cartão (se aplicável) - Controles LGPD para dados pessoais
Por que um coletor local?
O modelo de coletor separado existe por razões importantes de segurança:
O coletor nunca acessa dados
O db-collector executa apenas queries de sistema e tabelas de metadados:
- pg_settings, pg_roles, pg_stat_* (PostgreSQL)
- information_schema.*, performance_schema.* (MySQL)
- Tabelas de catálogo equivalentes nos outros engines
Nunca são acessadas: tabelas de negócio, registros de clientes, dados financeiros, ou qualquer dado de aplicação.
Anonimização de hostnames
Os nomes de host dos servidores de banco de dados são hasheados com SHA-256 antes de serem enviados para a plataforma. A plataforma recebe apenas o hash, não o hostname real.
Execução na sua rede interna
O coletor roda dentro da sua rede privada, sem precisar abrir portas de banco de dados para fora. O bundle gerado é enviado para a plataforma via HTTPS pelo próprio coletor ou manualmente pelo usuário.
Read-only por design
O usuário de banco de dados usado pelo coletor precisa apenas de permissões de leitura em tabelas de metadados. Não é necessário acesso a dados de negócio.
Para auditorias
Se seu auditor questionar o que o coletor acessa, você pode revisá-lo: o binário é open-source e as queries executadas estão documentadas no repositório da Elven Works.
Fluxo resumido
1. Baixar db-collector
↓
2. Executar na rede interna (com credenciais read-only)
↓
3. Coletor gera bundle.json (metadados de configuração)
↓
4. Fazer upload do bundle na plataforma
↓
5. Responder questionário complementar
↓
6. Ver resultados e recomendações
Para instruções detalhadas de execução, consulte o guia do Collector.