SUPERVISIÓN A LOS PARÁMETROS DE GESTIÓN Y DESEMPEÑO DE LAS

BASE DE DATOS

PRESENTADO A ING.: BELKIS MILENA GÜELL MUÑOZ

PRESENTADO POR: LIBARDO NIÑO CRUZ

ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASE

DE DATOS
SENA
2019
 1. Necesidad de la gestión de los datos
La toma de decisiones para la formulación de políticas pesqueras y la planificación
y la gestión en este ámbito depende en gran medida de la información elaborada,
no de los datos brutos. Los datos deben interpretarse antes de que puedan
utilizarse. El volumen de datos primarios brutos a menudo es muy grande, y éstos
sólo pueden utilizarse de manera efectiva en el marco de un sistema de gestión de
bases de datos (SGBD). Las funciones de un sistema de este tipo son:
 Asegurar que los datos se ajustan a las clasificaciones estándar.
 Asegurar la validez de los datos.
 Asegurar la integridad de los datos y su coherencia interna.
 Asegurar y mantener los datos originales.
 Permitir un fácil acceso a los datos originales.
 Elaborar los datos de forma eficiente según sea necesario.
 Permitir la integración de distintos conjuntos de datos, aumentando así su
utilidad general.
Un principio fundamental consiste en conservar todos los datos tal y como se
recopilaron, en su formato original. Esto aporta flexibilidad a la forma en que pueden
elaborarse los datos (es decir, filtrarse, agregarse, elaborarse), y asegura que todos
los cálculos se reproduzcan a partir de los datos de origen con todas las revisiones.
Teniendo en cuenta la considerable inversión en la recopilación de datos y el bajo
coste del almacenamiento y elaboración, hay pocos motivos para no conservar los
datos completos en su formato original.

2. Actividades de gestión de datos y mantenimiento

 Compromiso
Para sostener el uso de la base de datos, es preciso realizar un compromiso a largo
plazo para respaldar la aplicación de la gestión de datos. Debe contarse con
personal adecuado no sólo para las actividades habituales, sino también para
modificar el sistema a medida que surja la necesidad de hacerlo. De no
proporcionarse dicho respaldo, es muy probable que se produzca una pérdida
paulatina de capacidades del sistema que finalmente puede contribuir a colapsarlo.
 Archivo
Deben hacerse periódicamente copias de seguridad de la base de datos. El sistema
debe estar siempre preparado para problemas graves de equipo y programas
informáticos y de pérdida de datos. Para asegurar que se realicen copias de
seguridad con regularidad los procedimientos deben ser lo más sencillos posible.
Dado que la base de datos evoluciona con el tiempo y se producen cambios en la
tecnología de la información, el archivo de datos es fundamental para permitir la
recuperación de los datos históricos almacenados en la estructura o el diseño
anterior. El archivo de datos debe realizarse utilizando un medio no volátil (por
ejemplo, CD-ROM) y un formato de datos independiente del sistema.
 Reevaluación del diseño
Como resultado de los mecanismos de retroinformación establecidos y para
asegurarse de que el sistema de gestión de datos está logrando sus objetivos (es
decir, que da respuesta a las necesidades de los clientes), deben llevarse a cabo
evaluaciones periódicas con la presencia de representantes de los usuarios del
sistema.
Se recomienda un programa continuado de evaluación del diseño para asegurar
que el sistema aproveche los últimos avances de la tecnología de la información.
Debe prestarse especial atención al establecimiento de procedimientos de
actualización de los datos archivados de forma que se pueda seguir accediendo a
los datos anteriores almacenados.

3. Prevenciones que se deben tener en cuenta para proteger las BD

 Privilegios excesivos
Cuando a un usuario se le entregan privilegios de la base de datos que excedan los
requerimientos de su puesto de trabajo, el riesgo que se crea puede ser innecesario.
La solución a este problema (además de buenas políticas de contratación) es el
control de acceso a nivel de consulta. El control de acceso a nivel de consulta
restringe los privilegios de las operaciones a solo utilizar los datos mínimos
requeridos. La mayoría de las plataformas de seguridad de bases de datos nativas
ofrecen algunas de estas capacidades (triggers, RLS, y así sucesivamente), pero el
diseño de estas herramientas manuales las hace impracticables en todo excepto en
las implementaciones más limitados según experiencia de expertos de seguridad
web.
 Abuso de privilegios
Muchos de los usuarios pueden llegar a abusar de los privilegios de acceso de datos
legítimos para fines no autorizados. Por ejemplo: suministrar información
confidencial de un cliente, sustraer información de la compañía para su propio lucro.
La estrategia para lograr esta solución está relacionada con la política de control de
acceso que se aplican no sólo a lo que los datos son accesibles, pero ¿cómo se
accede a los datos?, Al hacer cumplir las políticas de seguridad web, sobre cosas
como la ubicación, el tiempo, el cliente de aplicación y el volumen de los datos
recuperados, es posible identificar a los usuarios que están abusando de los
privilegios de acceso.
  Elevación de privilegios no autorizados
Los atacantes pueden aprovechar las vulnerabilidades en el software de gestión en
la base de datos para convertir los privilegios de acceso de bajo nivel de privilegios
de acceso de alto nivel. Por ejemplo, sin seguridad de bases de datos, un atacante
podría aprovechar una vulnerabilidad de desbordamiento de búfer de base de datos
para obtener privilegios administrativos.
Exploits de elevación de privilegios pueden ser derrotados con una combinación de
control de acceso a nivel de consulta, auditoría de base de datos y los sistemas de
prevención de intrusiones (IPS) tradicionales. Control de acceso a nivel de consulta
puede detectar un usuario que de repente utiliza una operación de SQL inusual,
mientras que un IPS puede identificar una amenaza específica de seguridad web
documentada dentro de la operación.
 Vulnerabilidades de la plataforma
Las vulnerabilidades en los sistemas operativos pueden conducir al acceso no
autorizado a datos y la corrupción.
Las herramientas de IPS son una buena manera de identificar y/o bloquear ataques
diseñados para aprovechar las vulnerabilidades de la plataforma de base de datos.
 Inyección de SQL
La mayoría de las aplicaciones web desarrolladas hoy en día hacen uso de una
base de datos para ofrecer páginas dinámicas y almacenar información tanto de los
usuarios como de la propia herramienta, el uso de este tipo de lenguaje ha traído
consigo la aparición de numerosas vulnerabilidades. Los Ataques de inyección SQL
implican a un usuario que se aprovecha de vulnerabilidades en aplicaciones web y
procedimientos almacenados para proceder a enviar consultas de bases de datos
no autorizadas, a menudo con privilegios elevados.
Soluciones de seguridad de bases de datos, auditoría de base de datos, control de
acceso a nivel de consulta detecta consultas no autorizadas inyectadas a través de
aplicaciones web y/o procedimientos almacenados.
 Auditoría débil
En los últimos años, las redes empresariales han evolucionado considerablemente.
Todo, desde el computo móvil hasta la nube, todos los sistemas están haciendo que
las redes actuales sean más complejas que nunca, incluso las mismas herramientas
que son utilizadas para administrar la seguridad de red pueden expandir el ataque
y crear vulnerabilidades. Las políticas débiles de auditoría de base de datos
representan riesgos en términos de cumplimiento, la disuasión, detección, análisis
forense y recuperación.
Las soluciones de auditoría de base de datos basados en la red son una buena
opción. Tales soluciones de auditoría de base de datos no deben tener ningún
impacto en el rendimiento de base de datos, operan de forma independiente de
todos los usuarios y ofrecen la recopilación de datos a detalle.
 Denegación de servicio
En internet, un ataque de denegación de servicios (DDOS) es el que se realiza
cuando una cantidad considerable de sistemas atacan a un objetivo único,
provocando La denegación de servicio (DoS), aunque puede ser invocadas muchas
técnicas. Las técnicas más comunes de DOS incluyen desbordamientos de búfer,
corrupción de datos, la inundación de la red y el consumo de recursos.
Recomendaciones sobre las bases de datos incluyen el despliegue de un IPS y
controles de la velocidad de conexión. Al abrir rápidamente un gran número de
conexiones, los controles de velocidad de conexión pueden impedir que los usuarios
individuales usan los recursos del servidor de base de datos.
 Vulnerabilidades en los protocolos de las bases de datos
Existe una constante preocupación por la seguridad de la base de datos: Muchas
veces la seguridad se ve afectada por la configuración de los procesos de conexión.
Las vulnerabilidades en los protocolos de bases de datos pueden permitir el acceso
no autorizado a datos, la corrupción o la disponibilidad. Por ejemplo, SQL Slammer
worm se aprovechó de una vulnerabilidad de protocolo de Microsoft SQL Server
para ejecutar código de ataque en los servidores de base de datos destino.
Los protocolos de ataques pueden ser derrotados mediante el análisis y validación
de las comunicaciones de SQL para asegurarse de que no están malformados.
 Autenticación débil
La autenticación basada en contraseña es probablemente una de las funciones más
importantes que se usan todos los días, sin embargo, no se ha evolucionado mucho
desde los primeros sistemas informáticos de usuarios múltiples, incluso cuando se
desarrollan métodos más seguros. Los esquemas de autenticación débiles
permiten a los atacantes asumir la identidad de los usuarios de bases de datos
legítimos. Estrategias de ataque específicas incluyen ataques de fuerza bruta, la
ingeniería social, y así sucesivamente.
La implementación de contraseñas o autenticación de dos factores es una
necesidad. Para la escalabilidad y facilidad de uso, los mecanismos de
autenticación deben integrarse con las infraestructuras del directorio / gestión de
usuarios de la empresa y seguridad web.
 La exposición de los datos de Backup
El robo de información y la filtración de datos confidenciales son noticias del día a
día, algunos ataques recientes de alto perfil han involucrado el robo de cintas de
backup de base de datos y discos duros.
Es importante que todas las copias de seguridad deben ser cifradas. De hecho,
algunos proveedores han sugerido que los futuros productos DBMS no deberían
admitir la creación de copias de seguridad sin cifrar. El cifrado de base de datos en
línea es un pobre sustituto de controles granulares de privilegios acuerdo a expertos
de seguridad de base de datos.
Aunque muchas de las bases de datos y sus contenidos puedes ser vulnerables a
muchas series de amenazas internas y externas, es posible reducir muchos de los
ataques hasta casi a cero con ayuda de las soluciones y estrategias de seguridad.

4. Técnicas de estimación para medir el rendimiento de la base de datos

La evaluación continua del rendimiento de la base de datos ayuda a minimizar los

tiempos de respuesta y a maximizar el rendimiento, obteniendo como resultado un
rendimiento óptimo. El tráfico de red, la E/S de disco y el uso de la CPU eficientes
son factores clave para obtener un buen rendimiento. Es necesario analizar a fondo
los requisitos de las aplicaciones, comprender la estructura lógica y física de los
datos, evaluar el uso de la base de datos y negociar contrapartidas, como el
procesamiento de transacciones en línea (OLTP) frente a los sistemas de ayuda a
la toma de decisiones.
Las condiciones cambiantes se traducen en cambios en el rendimiento. En sus
evaluaciones, los cambios de rendimiento se aprecian a medida que el número de
usuarios aumenta, los métodos de acceso y conexión de los usuarios cambian, el
contenido de la base de datos crece, las aplicaciones cliente cambian, los datos de
las aplicaciones cambian, las consultas son más complejas y el tráfico de red crece.
Con la ayuda de las herramientas de SQL Server para supervisar el rendimiento,
puede asociar algunos cambios del rendimiento con las condiciones cambiantes y
las consultas complejas. A continuación, se muestran algunos escenarios a modo
de ejemplo:
Mediante la supervisión de los tiempos de respuesta para las consultas utilizadas
con frecuencia, puede determinar si es necesario modificar la consulta o los índices
de las tablas donde es necesario ejecutar las consultas.
Mediante la supervisión de las consultas Transact-SQL cuando se ejecutan,
puede determinar si están escritas correctamente y si producen los resultados
esperados.
Mediante la supervisión de los usuarios que intentan conectarse a una instancia
de SQL Server, puede determinar si la seguridad está configurada de forma correcta
y probar las aplicaciones o sistemas de desarrollo.
El tiempo de respuesta se mide como el tiempo necesario para devolver la primera
fila del conjunto de resultados al usuario, en forma de confirmación visual de que se
está procesando una consulta. El rendimiento es el número total de consultas
controladas por el servidor durante un periodo determinado.
A medida que aumenta el número de usuarios, aumenta la competencia para
obtener recursos de un servidor, y esto hace que el tiempo de respuesta aumente y
el rendimiento global disminuya.
Si trabajas habitualmente con MySQL probablemente habrás escuchado que MySql
no es la elección acertada para manejar tablas con más de 1,000.000 de registros.
Pero entonces porque MySql es el motor de compañías como Google, Yahoo o
Technorati, el motivo de este gran rendimiento es que estas tablas que tienen
cientos de millones de registros están diseñadas y entendidas para trabajar con
MySql.
Por ello para trabajar con tablas muy grandes debemos tener en cuenta tres claves:
Buffers, Índices y Consultas.
 Buffers
Un buffer es una ubicación de la memoria reservada para el almacenamiento
temporal de información digital.
La primera cosa que deberíamos tener muy clara es el hecho de que hay una gran
diferencia entre “Datos que están en memoria” y “Datos que no están en memoria”.
Pongamos que comenzamos con un tamaño de memoria y notamos un descenso
gradual del rendimiento porque la base de datos está creciendo, la solución sería
asegurarnos que tenemos memoria suficiente para el volumen de datos que
estamos utilizando.
 Índices
Los índices son usados para encontrar rápidamente los registros que tengan un
determinado valor en alguna de sus columnas. Sin un índice, MySql tiene que iniciar
una búsqueda por el primer registro y leer toda la tabla para encontrar los registros
relevantes.
Un error común es pensar que los índices no afectan en tablas con poco volumen
de datos, aún en tablas pequeñas (1.000 registros) es por lo menos 100 veces más
rápido leer datos utilizando un índice, sin este índice estaríamos haciendo una
lectura secuencial.
Por lo tanto, queda claro que los índices son realmente eficaces para acelerar el
acceso a datos.
 Consultas
La optimización de las consultas podría ser el punto más extenso de los tres por la
gran variedad de posibilidades que tenemos a la hora de optimizar consultas.
Puedes conseguir que MySQL rinda a buen rendimiento con grandes cantidades de
datos, pero para ello debes tener en cuenta sus limitaciones y saber cuáles son las
características que ofrecen mejor rendimiento.
 Rendimiento transaccional
Se debe comprobar que el SGBD puede efectuar la cantidad necesaria de
transacciones por unidad de tiempo, para proporcionar a los usuarios un tiempo de
respuesta adecuado. En general, este punto es difícil de definir teóricamente. En
primer lugar, porque la información necesaria para calcular la carga de
transacciones que deberá soportar el sistema, es compleja y difícil de obtener y, en
segundo lugar, porque las medidas de transacciones por segundo, que ofrecen los
distintos fabricantes, no siempre son comparables.
Además, el rendimiento de un mismo SGBD es ampliamente variable, según las
características de la máquina en la que esté instalado (capacidad y velocidad de los
discos, cantidad de memoria, potencia de la UCP, etc).
Por todo ello, lo más conveniente es diferir la resolución sobre este punto, hasta que
se pueda comprobar experimentalmente realizando una prueba en la propia
instalación.
A pesar de lo comentado, existen varias pruebas de rendimiento (benchmark)
estándar que ofrecen datos útiles. Los más interesantes para SGBDs, son los del
Transaction Processing Performance Council, organismo fundado en 1988, al que
pertenecen más de cuarenta fabricantes de plataformas físicas y lógicas de bases
de datos, que ha definido especificaciones de benchmarks estándar para sistemas
de proceso de transacciones en entornos comerciales.

5. Tipos de problemas de rendimiento que debe buscar

Hay muchos tipos de problemas de rendimiento de base de datos, lo que a menudo
hace que sea difícil localizar la causa de los problemas individuales. Es posible, por
ejemplo, que las estructuras de la base de datos o el código de aplicación estén
viciadas desde el principio. Las malas decisiones de diseño de base de datos y las
sentencias SQL incorrectamente codificadas pueden resultar en un bajo
rendimiento.
O puede ser que un sistema fuera bien diseñado inicialmente, pero con el tiempo
los cambios causaron que el rendimiento empezara a degradarse. Más datos, más
usuarios o diferentes patrones de acceso a los datos pueden ralentizar incluso las
mejores aplicaciones de bases de datos. Incluso el mantenimiento de un DBMS o
la falta de mantenimiento regular de las bases de datos puede causar que el
rendimiento caiga en picado.
Los siguientes son tres indicadores importantes que podrían indicar problemas de
rendimiento de base de datos en su departamento de TI:
 Aplicaciones que van más despacio.
La indicación más importante de problemas potenciales de rendimiento en la base
de datos es cuando las cosas que solían correr rápido empiezan a correr más lento.
Esto incluye los sistemas de procesamiento de transacciones en línea que usan los
empleados o clientes, o los trabajos por lotes que procesan datos en grandes
cantidades para tareas tales como el procesamiento de la nómina y los informes de
fin de mes.
Puede ser difícil monitorear las cargas de trabajo de procesamiento sin
herramientas de gestión de rendimiento de bases de datos. En ese caso, los
administradores de bases de datos (DBA) y los analistas de rendimiento tienen que
recurrir a otros métodos para detectar problemas, en particular, las quejas de los
usuarios finales acerca de cuestiones tales como que las pantallas de la aplicación
tomen demasiado tiempo para cargar o que nada suceda durante mucho tiempo
después de que la información se introduce en una aplicación.
 Interrupciones del sistema.
Cuando un sistema está apagado, el rendimiento de la base de datos, obviamente,
está en su peor momento. Las interrupciones pueden ser causadas por problemas
de la base de datos, tales como quedarse sin espacio de almacenamiento debido al
incremento de los volúmenes de datos o por un recurso que no esté disponible,
como un conjunto de datos, una partición o un paquete.
 La necesidad de actualizaciones de hardware frecuentes.
Las organizaciones que están constantemente actualizando los servidores a
modelos más grandes, con más memoria y almacenamiento, a menudo son
candidatos para la optimización del rendimiento de base de datos. Optimizar los
parámetros de la base de datos, sintonizar las sentencias SQL y reorganizar los
objetos de base de datos puede ser mucho menos costoso que actualizar con
frecuencia los costosos hardware y equipos.
Del otro lado, a veces se necesitan actualizaciones de hardware para resolver los
problemas de rendimiento de la base de datos. Sin embargo, con las herramientas
adecuadas de monitoreo y gestión de bases de datos, es posible mitigar los costos
de actualización al localizar la causa del problema e identificar las medidas
apropiadas para remediarlo. Por ejemplo, puede ser rentable agregar más memoria
o implementar dispositivos de almacenamiento más rápidos para resolver los
cuellos de botella I/O que afectan el rendimiento de una base de datos. Y hacerlo
probablemente será más barato que sustituir todo un servidor.

6. Problemas que las herramientas pueden ayudarle a manejar

Cuando surgen los problemas de rendimiento de la base de datos, es poco probable
que su causa exacta sea inmediatamente evidente. Un DBA debe traducir las quejas
vagas acerca de los problemas de los usuarios finales en temas específicos,
relacionados con el rendimiento, que pueden causar los problemas que se
describen. Esto puede ser un proceso difícil y propenso a errores, especialmente
sin herramientas automatizadas para guiar al DBA.
La capacidad de recopilar las métricas sobre el uso de la base de datos e identificar
los problemas específicos de la base de datos cómo y cuándo se producen es tal
vez la capacidad más convincente de las herramientas de rendimiento de base de
datos. Al enfrentar una queja de rendimiento, el DBA puede utilizar una herramienta
para poner de relieve las condiciones críticas actuales y pasadas. En lugar de tener
que buscar la causa raíz del problema de forma manual, el software puede examinar
rápidamente la base de datos y diagnosticar posibles problemas.
La mayoría de las herramientas de rendimiento de base de datos, también se
pueden utilizar para establecer umbrales de rendimiento una vez disparados,
alertan al DBA de un problema o activan un indicador en pantalla, de verde a
amarillo o rojo. Además, los DBA pueden programar que los informes sobre el
rendimiento de la base de datos se ejecuten a intervalos regulares, en un esfuerzo
por identificar los problemas que deben ser abordados. Las herramientas
avanzadas pueden tanto identificar, como ayudar a solucionar los problemas.
Debido a que hay múltiples variaciones de los problemas de rendimiento, las
herramientas avanzadas de gestión del rendimiento requieren un conjunto de
funcionalidades. Las capacidades críticas proporcionadas por las herramientas de
rendimiento de base de datos incluyen:
 Revisión de rendimiento y optimización de SQL.
 Análisis de la eficacia de los índices existentes para SQL.
 Visualización del espacio de almacenamiento y desfragmentación de discos
cuando sea necesario.
 Observación y administración del uso de recursos del sistema.
 Simulación de la producción en un entorno de prueba.
 Análisis de la causa raíz de los problemas de desempeño de las bases de
datos.