Ang akong ngalan mao si Denis Rozhkov, ako ang pangulo sa software development sa Gazinformservice company, sa product team Jatoba. Ang lehislasyon ug mga regulasyon sa korporasyon nagpahamtang ug piho nga mga kinahanglanon alang sa seguridad sa pagtipig sa datos. Walay usa nga gusto sa mga ikatulo nga partido nga makakuha og access sa kompidensyal nga impormasyon, mao nga ang mosunod nga mga isyu importante alang sa bisan unsa nga proyekto: pag-ila ug pag-ila, pagdumala sa access sa data, pagsiguro sa integridad sa impormasyon sa sistema, pag-log sa mga panghitabo sa seguridad. Busa, gusto nakong hisgutan ang pipila ka makapaikag nga mga punto bahin sa seguridad sa DBMS.

Ang artikulo giandam base sa usa ka pakigpulong sa @DatabasesMeetup, organisado Mail.ru Cloud Solutions. Kung dili nimo gusto magbasa, mahimo nimong tan-awon:

Ang artikulo adunay tulo ka bahin:

• Unsaon pagsiguro sa mga koneksyon.
• Unsa ang pag-audit sa mga aksyon ug kung giunsa ang pagrekord kung unsa ang nahitabo sa kilid sa database ug pagkonektar niini.
• Giunsa pagpanalipod ang datos sa database mismo ug kung unsang mga teknolohiya ang magamit alang niini.

Tulo ka bahin sa seguridad sa DBMS: proteksyon sa koneksyon, pag-audit sa kalihokan ug pagpanalipod sa datos

Pagsiguro sa imong mga koneksyon

Mahimo kang magkonektar sa database direkta o dili direkta pinaagi sa mga aplikasyon sa web. Ingon sa usa ka lagda, ang tiggamit sa negosyo, nga mao, ang tawo nga nagtrabaho sa DBMS, nakig-uban niini dili direkta.

Sa wala pa maghisgot bahin sa pagpanalipod sa mga koneksyon, kinahanglan nimo nga tubagon ang hinungdanon nga mga pangutana nga nagtino kung giunsa ang istruktura sa mga lakang sa seguridad:

• Ang usa ba nga tiggamit sa negosyo katumbas sa usa ka tiggamit sa DBMS?
• kung ang pag-access sa datos sa DBMS gihatag lamang pinaagi sa usa ka API nga imong gikontrol, o kung ang mga lamesa direkta nga na-access;
• kung ang DBMS gigahin sa usa ka bulag nga gipanalipdan nga bahin, kinsa nakig-uban niini ug kung giunsa;
• kung ang pooling/proxy ug intermediate layers gigamit, nga makausab sa impormasyon bahin sa kon sa unsang paagi ang koneksyon gihimo ug kinsa ang naggamit sa database.

Karon tan-awon nato kung unsa nga mga himan ang magamit aron masiguro ang mga koneksyon:

1. Gamita ang mga solusyon sa klase sa firewall sa database. Ang usa ka dugang nga layer sa proteksyon, sa labing gamay, makadugang sa transparency sa kung unsa ang nahitabo sa DBMS, ug sa labing taas, makahatag ka dugang nga proteksyon sa datos.
2. Gamita ang mga polisiya sa password. Ang ilang paggamit nagdepende kung giunsa ang imong arkitektura gitukod. Sa bisan unsa nga kaso, ang usa ka password sa configuration file sa usa ka web application nga nagkonektar sa DBMS dili igo alang sa proteksyon. Adunay ubay-ubay nga mga himan sa DBMS nga nagtugot kanimo sa pagkontrol nga ang user ug password nagkinahanglan og pag-update.

   Mahimo nimong mabasa ang dugang bahin sa mga gimbuhaton sa rating sa gumagamit dinhi, mahimo usab nimo mahibal-an ang bahin sa MS SQL Vulnerability Assessmen dinhi. 

3. Pagpauswag sa konteksto sa sesyon sa gikinahanglan nga impormasyon. Kung ang sesyon dili klaro, dili nimo masabtan kung kinsa ang nagtrabaho sa DBMS sulod sa balangkas niini, mahimo nimo, sulod sa balangkas sa operasyon nga gihimo, makadugang kasayuran bahin sa kung kinsa ang nagbuhat kung unsa ug ngano. Kini nga impormasyon makita sa audit.
4. I-configure ang SSL kung wala kay network separation tali sa DBMS ug end user; wala kini sa bulag nga VLAN. Sa ingon nga mga kaso, kinahanglan nga panalipdan ang agianan tali sa konsumidor ug sa DBMS mismo. Ang mga himan sa seguridad anaa usab sa open source.

Sa unsang paagi kini makaapekto sa pasundayag sa DBMS?

Atong tan-awon ang panig-ingnan sa PostgreSQL aron makita kung giunsa ang SSL makaapekto sa pagkarga sa CPU, pagdugang sa mga timing ug pagkunhod sa TPS, ug kung mokonsumo ba kini og daghang mga kahinguhaan kung mahimo nimo kini.

Ang pag-load sa PostgreSQL gamit ang pgbench usa ka yano nga programa alang sa pagpadagan sa mga pagsulay sa pasundayag. Gipatuman niini ang usa ka han-ay sa mga sugo nga balik-balik, posible sa parallel nga mga sesyon sa database, ug dayon kalkulado ang kasagaran nga rate sa transaksyon.

Pagsulay sa 1 nga walay SSL ug gamit ang SSL - ang koneksyon gitukod alang sa matag transaksyon:

pgbench.exe --connect -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres sslmode=require 
sslrootcert=rootCA.crt sslcert=client.crt sslkey=client.key"

vs

pgbench.exe --connect -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres"

Pagsulay sa 2 nga walay SSL ug gamit ang SSL - ang tanan nga mga transaksyon gihimo sa usa ka koneksyon:

pgbench.exe -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres sslmode=require
sslrootcert=rootCA.crt sslcert=client.crt sslkey=client.key"

vs

pgbench.exe -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres"

Uban pang mga setting:

scaling factor: 1
query mode: simple
number of clients: 10
number of threads: 1
number of transactions per client: 5000
number of transactions actually processed: 50000/50000

Mga resulta sa pagsulay:

 
WALAY SSL
SSL

Ang usa ka koneksyon gitukod alang sa matag transaksyon

average nga latency
171.915 ms
187.695 ms

tps lakip ang mga koneksyon nga nagtukod
58.168112
53.278062

tps wala apil ang mga koneksyon nga nagtukod
64.084546
58.725846

CPU
24%
28%

Ang tanan nga mga transaksyon gihimo sa usa ka koneksyon

average nga latency
6.722 ms
6.342 ms

tps lakip ang mga koneksyon nga nagtukod
1587.657278
1576.792883

tps wala apil ang mga koneksyon nga nagtukod
1588.380574
1577.694766

CPU
17%
21%

Sa gaan nga mga karga, ang impluwensya sa SSL ikatandi sa sayup sa pagsukod. Kung ang gidaghanon sa data nga gibalhin dako kaayo, ang sitwasyon mahimong lahi. Kung magtukod kami usa ka koneksyon matag transaksyon (talagsa ra kini, kasagaran ang koneksyon gipaambit tali sa mga tiggamit), adunay ka daghang mga koneksyon/disconnection, ang epekto mahimong mas dako. Kana mao, mahimong adunay mga risgo sa pagkunhod sa pasundayag, bisan pa, ang kalainan dili kaayo dako nga dili gamiton ang proteksyon.

Palihug timan-i nga adunay usa ka lig-on nga kalainan kung imong itandi ang operating mode: ikaw nagtrabaho sulod sa sama nga sesyon o sa lain-laing mga. Kini masabtan: ang mga kapanguhaan gigasto sa paghimo sa matag koneksyon.

Kami adunay usa ka kaso sa dihang among gikonektar ang Zabbix sa trust mode, nga mao, ang md5 wala gisusi, wala'y kinahanglan alang sa panghimatuud. Dayon ang kustomer mihangyo nga palihokon ang md5 authentication mode. Nagbutang kini usa ka bug-at nga karga sa CPU, ug nahulog ang pasundayag. Nagsugod kami sa pagpangita og mga paagi aron ma-optimize. Usa sa posible nga mga solusyon sa problema mao ang pagpatuman sa mga pagdili sa network, paghimo og bulag nga mga VLAN alang sa DBMS, pagdugang og mga setting aron maklaro kung kinsa ang nagkonektar gikan kung asa ug tangtangon ang pag-ila. sa kinatibuk-an ang paggamit sa lain-laing mga pamaagi authentication makaapekto sa performance ug nagkinahanglan sa pagkuha niini nga mga butang ngadto sa asoy sa diha nga ang pagdesinyo sa computing gahum sa mga server (hardware) alang sa DBMS.

Panapos: sa ubay-ubay nga mga solusyon, bisan ang gagmay nga mga nuances sa pag-authenticate mahimong makaapekto sa proyekto ug kini dili maayo kung kini mahimong tin-aw lamang kung gipatuman sa produksiyon.

Pag-audit sa aksyon

Ang pag-audit mahimong dili lamang DBMS. Ang usa ka pag-audit mao ang bahin sa pagkuha sa kasayuran bahin sa kung unsa ang nahitabo sa lainlaing mga bahin. Kini mahimo nga usa ka database firewall o ang operating system diin ang DBMS gitukod.

Sa komersyal nga lebel sa Enterprise DBMS ang tanan maayo sa pag-awdit, apan sa bukas nga gigikanan - dili kanunay. Ania kung unsa ang naa sa PostgreSQL:

• default log - built-in nga logging;
• mga extension: pgaudit - kung ang default nga pag-log dili igo alang kanimo, mahimo nimong gamiton ang lainlaing mga setting nga makasulbad sa pipila nga mga problema.

Dugang sa report sa video:

"Ang sukaranan nga pag-log sa pahayag mahimong ihatag sa usa ka sukaranan nga pasilidad sa pag-log nga adunay log_statement = tanan.

Madawat kini alang sa pagmonitor ug uban pang gamit, apan wala maghatag sa lebel sa detalye nga kasagarang gikinahanglan alang sa pag-awdit.

Dili igo nga adunay usa ka lista sa tanan nga mga operasyon nga gihimo sa database.

Kinahanglan usab nga posible nga makit-an ang piho nga mga pahayag nga interesado sa auditor.

Gipakita sa standard logging kung unsa ang gihangyo sa user, samtang ang pgAudit nagpunting sa mga detalye kung unsa ang nahitabo sa dihang gipatuman sa database ang pangutana.

Pananglitan, ang auditor mahimong gusto nga pamatud-an nga ang usa ka partikular nga lamesa gihimo sulod sa usa ka dokumentado nga bintana sa pagmentinar.

Kini ingon og usa ka yano nga buluhaton nga adunay sukaranan nga pag-awdit ug grep, apan unsa man kung gipresentar ka sa usa ka butang nga sama niini (tinuyo nga makalibog) nga pananglitan:

BUHAT $$
MAHIMO
Ipatuman ang 'CREATE TABLE import' || 'ant_table(id int)';
KATAPUSAN$$;

Ang standard logging maghatag kanimo niini:

LOG: pahayag: BUHATA $$
MAHIMO
Ipatuman ang 'CREATE TABLE import' || 'ant_table(id int)';
KATAPUSAN$$;

Mopatim-aw nga ang pagpangita sa lamesa sa interes mahimong magkinahanglan og pipila ka kahibalo sa code sa mga kaso diin ang mga lamesa gihimo nga dinamikong.

Dili kini maayo, tungod kay mas maayo nga pangitaon lang pinaagi sa ngalan sa lamesa.

Dinhi magamit ang pgAudit.

Alang sa parehas nga input, kini maghimo niini nga output sa log:

AUDIT: SESSION,33,1,FUNCTION,DO,,,"BUHAT $$
MAHIMO
Ipatuman ang 'CREATE TABLE import' || 'ant_table(id int)';
KATAPUSAN$$;"
AUDIT: SESSION,33,2,DDL,MAGHIMO TABLE,LAMA,publiko.important_table,MAGBUHAT TABLE important_table (id INT)

Dili lamang ang DO block ang na-log, apan ang tibuok nga teksto sa CREATE TABLE nga adunay tipo sa pahayag, tipo sa butang, ug tibuok nga ngalan, nga makapasayon ​​sa pagpangita.

Kung ang pag-log sa SELECT ug DML nga mga pahayag, ang pgAudit mahimong ma-configure aron mag-log usa ka lahi nga entry alang sa matag relasyon nga gi-refer sa pahayag.

Wala'y gikinahanglan nga pag-parse aron makit-an ang tanang pahayag nga makahikap sa usa ka partikular nga lamesa(*) ".

Sa unsang paagi kini makaapekto sa pasundayag sa DBMS?

Maghimo kita og mga pagsulay nga adunay bug-os nga pag-audit ug tan-awon kung unsa ang mahitabo sa pasundayag sa PostgreSQL. Atong i-enable ang maximum database logging para sa tanang parameters.

Wala kami nagbag-o halos sa configuration file, ang labing importante nga butang mao ang pag-on sa debug5 mode aron makakuha og maximum nga impormasyon.

postgresql.conf

log_destination = 'stderr'
logging_collector = on
log_truncate_on_rotation = on
log_rotation_age = 1d
log_rotation_size = 10MB
log_min_messages = debug5
log_min_error_statement = debug5
log_min_duration_statement = 0
debug_print_parse = on
debug_print_rewritten = on
debug_print_plan = on
debug_pretty_print = on
log_checkpoints = on
log_koneksyon = on
log_disconnections = on
log_duration = sa
log_hostname = on
log_lock_wait = on
log_replication_commands = on
log_temp_files = 0
log_timezone = 'Europe/Moscow'

Sa usa ka PostgreSQL DBMS nga adunay mga parameter sa 1 CPU, 2,8 GHz, 2 GB RAM, 40 GB HDD, nagpahigayon kami og tulo ka mga pagsulay sa pagkarga gamit ang mga sugo:

$ pgbench -p 3389 -U postgres -i -s 150 benchmark
$ pgbench -p 3389 -U postgres -c 50 -j 2 -P 60 -T 600 benchmark
$ pgbench -p 3389 -U postgres -c 150 -j 2 -P 60 -T 600 benchmark

Mga resulta sa pagsulay:

Walay logging
Uban sa logging

Kinatibuk-ang oras sa pagpuno sa database
43,74 seg
53,23 seg

RAM
24%
40%

CPU
72%
91%

Pagsulay 1 (50 ka koneksyon)

Gidaghanon sa mga transaksyon sa 10 minuto
74169
32445

Mga transaksyon/seg
123
54

Average nga Latency
405 ms
925 ms

Pagsulay 2 (150 ka koneksyon nga adunay 100 nga posible)

Gidaghanon sa mga transaksyon sa 10 minuto
81727
31429

Mga transaksyon/seg
136
52

Average nga Latency
550 ms
1432 ms

Mahitungod sa mga gidak-on

Gidak-on sa DB
2251 MB
2262 MB

Gidak-on sa database log
0 MB
4587 MB

Ubos nga linya: ang usa ka bug-os nga pag-audit dili kaayo maayo. Ang datos gikan sa pag-audit mahimong sama kadako sa datos sa database mismo, o labi pa. Ang gidaghanon sa logging nga namugna sa diha nga nagtrabaho uban sa usa ka DBMS mao ang usa ka komon nga problema sa produksyon.

Atong tan-awon ang ubang mga parameter:

• Ang katulin dili kaayo mabag-o: kung wala’y pag-log - 43,74 segundo, nga adunay pag-log - 53,23 segundo.
• Ang pasundayag sa RAM ug CPU mag-antus, tungod kay kinahanglan nimo nga maghimo usa ka file sa pag-audit. Mamatikdan usab kini sa pagka-produktibo.

Samtang ang gidaghanon sa mga koneksyon nagdugang, natural, ang pasundayag modaot gamay.

Sa mga korporasyon nga adunay audit mas lisud:

• adunay daghang datos;
• gikinahanglan ang pag-audit dili lamang pinaagi sa syslog sa SIEM, kondili sa mga file usab: kung adunay mahitabo sa syslog, kinahanglan adunay usa ka file nga duol sa database diin ang datos gitipigan;
• gikinahanglan ang usa ka linain nga estante alang sa pag-audit aron dili mausik ang mga I/O disk, tungod kay nagkinahanglan kini og daghang luna;
• Nahitabo nga ang mga empleyado sa seguridad sa kasayuran nanginahanglan mga GOST bisan diin, nanginahanglan sila pag-ila sa estado.

Pagpugong sa pag-access sa datos

Atong tan-awon ang mga teknolohiya nga gigamit sa pagpanalipod sa datos ug pag-access niini sa mga komersyal nga DBMS ug open source.

Unsa ang kasagaran nimong magamit:

1. Encryption ug obfuscation sa mga pamaagi ug mga gimbuhaton (Wrapping) - nga mao, bulag nga mga himan ug mga utilities nga naghimo sa mabasa nga code nga dili mabasa. Tinuod, dili na kini mabag-o o ma-refactor balik. Kini nga pamaagi usahay gikinahanglan bisan sa bahin sa DBMS - ang lohika sa mga pagdili sa lisensya o lohika sa pagtugot gi-encrypt nga tukma sa lebel sa pamaagi ug function.
2. Ang paglimite sa visibility sa data pinaagi sa mga laray (RLS) mao ang kung ang lainlaing mga tiggamit makakita sa usa ka lamesa, apan ang usa ka lahi nga komposisyon sa mga laray niini, nga mao, usa ka butang nga dili ipakita sa usa ka tawo sa lebel sa linya.
3. Ang pag-edit sa gipakita nga datos (Masking) mao ang kung ang mga tiggamit sa usa ka kolum sa lamesa makakita sa bisan unsang datos o mga asterisk lamang, nga mao, alang sa pipila nga mga tiggamit ang kasayuran sirado. Gitino sa teknolohiya kung kinsa nga tiggamit ang gipakita kung unsa base sa ilang lebel sa pag-access.
4. Security DBA/Application DBA/DBA access control kay, hinoon, mahitungod sa pagpugong sa pag-access sa DBMS mismo, nga mao, ang mga empleyado sa seguridad sa impormasyon mahimong mabulag gikan sa mga administrador sa database ug mga administrador sa aplikasyon. Adunay pipila ka ingon nga mga teknolohiya sa open source, apan adunay daghan niini sa komersyal nga mga DBMS. Kinahanglan sila kung adunay daghang mga tiggamit nga adunay access sa mga server mismo.
5. Pagpugong sa pag-access sa mga file sa lebel sa file system. Mahimo nimong hatagan ang mga katungod ug mga pribilehiyo sa pag-access sa mga direktoryo aron ang matag tagdumala adunay access lamang sa kinahanglan nga datos.
6. Mandatory nga access ug memory clearing - kini nga mga teknolohiya panagsa ra nga gigamit.
7. Ang end-to-end encryption direkta gikan sa DBMS mao ang client-side encryption nga adunay yawe nga pagdumala sa server side.
8. Pag-encrypt sa datos. Pananglitan, ang columnar encryption mao ang paggamit nimo ug mekanismo nga nag-encrypt sa usa ka column sa database.

Sa unsang paagi kini makaapekto sa pasundayag sa DBMS?

Atong tan-awon ang pananglitan sa columnar encryption sa PostgreSQL. Adunay usa ka pgcrypto module, kini nagtugot kanimo sa pagtipig sa pinili nga mga natad sa encrypted nga porma. Mapuslanon kini kung pipila lang ka datos ang bililhon. Aron mabasa ang mga na-encrypt nga natad, ang kliyente nagpadala usa ka yawe sa pag-decryption, gi-decrypt sa server ang datos ug gibalik kini sa kliyente. Kung wala ang yawe, wala’y makahimo bisan unsa sa imong datos.

Atong sulayan sa pgcrypto. Magbuhat ta ug lamesa nga adunay naka-encrypt nga datos ug regular nga datos. Sa ubos mao ang mga sugo alang sa paghimo sa mga lamesa, sa una nga linya adunay usa ka mapuslanon nga sugo - paghimo sa extension mismo gamit ang DBMS registration:

CREATE EXTENSION pgcrypto;
CREATE TABLE t1 (id integer, text1 text, text2 text);
CREATE TABLE t2 (id integer, text1 bytea, text2 bytea);
INSERT INTO t1 (id, text1, text2)
VALUES (generate_series(1,10000000), generate_series(1,10000000)::text, generate_series(1,10000000)::text);
INSERT INTO t2 (id, text1, text2) VALUES (
generate_series(1,10000000),
encrypt(cast(generate_series(1,10000000) AS text)::bytea, 'key'::bytea, 'bf'),
encrypt(cast(generate_series(1,10000000) AS text)::bytea, 'key'::bytea, 'bf'));

Sunod, sulayan nato ang paghimo og sample sa datos gikan sa matag lamesa ug tan-awon ang mga timing sa pagpatuman.

Pagpili gikan sa usa ka lamesa nga wala’y function sa pag-encrypt:

psql -c "timing" -c "select * from t1 limit 1000;" "host=192.168.220.129 dbname=taskdb
user=postgres sslmode=disable" > 1.txt

Naka-on ang stopwatch.

  id | teksto1 | text2
——+——-+——-
1 | 1 | 1
2 | 2 | 2
3 | 3 | 3
...
997 | 997 | 997
998 | 998 | 998
999 | 999 | 999
1000 | 1000 | 1000
(1000 ka linya)

Oras: 1,386 ms

Pagpili gikan sa usa ka lamesa nga adunay function sa pag-encrypt:

psql -c "timing" -c "select id, decrypt(text1, 'key'::bytea, 'bf'),
decrypt(text2, 'key'::bytea, 'bf') from t2 limit 1000;"
"host=192.168.220.129 dbname=taskdb user=postgres sslmode=disable" > 2.txt

Naka-on ang stopwatch.

  id | decrypt | decrypt
——+—————+————
1 | x31 | x31
2 | x32 | x32
3 | x33 | x33
...
999 | x393939 | x393939
1000 | x31303030 | x31303030
(1000 ka linya)

Oras: 50,203 ms

Mga resulta sa pagsulay:

 
Kung walay encryption
Pgcrypto (pag-decrypt)

Sample 1000 ka laray
1,386 ms
50,203 ms

CPU
15%
35%

RAM
 
+ 5%

Ang pag-encrypt adunay dako nga epekto sa performance. Kini makita nga ang timing misaka, tungod kay decryption operasyon sa encrypted data (ug decryption sa kasagaran giputos pa sa imong lohika) nagkinahanglan og mahinungdanon nga mga kapanguhaan. Kana mao, ang ideya sa pag-encrypt sa tanan nga mga kolum nga adunay pipila nga datos puno sa pagkunhod sa pasundayag.

Bisan pa, ang pag-encrypt dili usa ka pilak nga bala nga makasulbad sa tanan nga mga problema. Ang decrypted data ug ang decryption key sa panahon sa proseso sa pag-decrypting ug pagpasa sa data nahimutang sa server. Busa, ang mga yawe mahimong ma-intercept sa usa ka tawo nga adunay bug-os nga access sa database server, sama sa usa ka system administrator.

Kung adunay usa ka yawe alang sa tibuuk nga kolum alang sa tanan nga mga tiggamit (bisan kung dili alang sa tanan, apan alang sa mga kliyente sa usa ka limitado nga set), dili kini kanunay nga maayo ug husto. Mao nga nagsugod sila sa paghimo sa end-to-end encryption, sa DBMS nagsugod sila sa pagkonsiderar sa mga kapilian alang sa pag-encrypt sa datos sa kliyente ug server nga bahin, ug kadtong parehas nga key-vault storages nagpakita - lahi nga mga produkto nga naghatag og importanteng pagdumala sa DBMS kilid.

Usa ka pananglitan sa ingon nga pag-encrypt sa MongoDB

Mga bahin sa seguridad sa komersyal ug bukas nga gigikanan nga DBMS

Mga katuyoan
Type
Patakaran sa Password
Audit
Pagpanalipod sa source code sa mga pamaagi ug mga gimbuhaton
RLS
encryption

pulong sa Dios
komersyal
+
+
+
+
+

MsSql
komersyal
+
+
+
+
+

Jatoba
komersyal
+
+
+
+
extensions

PostgreSQL
free
extensions
extensions
-
+
extensions

MongoDb
free
-
+
-
-
Anaa ra sa MongoDB Enterprise

Ang lamesa layo sa kompleto, apan ang sitwasyon mao kini: sa mga komersyal nga produkto, ang mga problema sa seguridad nasulbad sa dugay nga panahon, sa open source, ingon nga usa ka lagda, usa ka matang sa mga add-on ang gigamit alang sa seguridad, daghang mga function ang nawala. , usahay kinahanglan nimong idugang ang usa ka butang. Pananglitan, ang mga palisiya sa password - Ang PostgreSQL adunay daghang lainlaing mga extension (1, 2, 3, 4, 5), nga nagpatuman sa mga polisiya sa password, apan, sa akong opinyon, walay usa niini ang nagsakup sa tanang panginahanglan sa domestic corporate segment.

Unsa ang buhaton kung wala nimo ang imong kinahanglan bisan asa? Pananglitan, gusto nimo nga mogamit usa ka piho nga DBMS nga wala’y mga gimbuhaton nga gikinahanglan sa kustomer.

Unya mahimo nimong gamiton ang mga solusyon sa ikatulo nga partido nga nagtrabaho sa lainlaing mga DBMS, pananglitan, Crypto DB o Garda DB. Kung naghisgot kami bahin sa mga solusyon gikan sa domestic nga bahin, nan nahibal-an nila ang bahin sa mga GOST nga labi ka maayo kaysa sa bukas nga gigikanan.

Ang ikaduha nga kapilian mao ang pagsulat kung unsa ang imong kinahanglan sa imong kaugalingon, pagpatuman sa pag-access sa datos ug pag-encrypt sa aplikasyon sa lebel sa pamaagi. Tinuod, kini mahimong mas lisud sa GOST. Apan sa kinatibuk-an, mahimo nimong itago ang datos kung gikinahanglan, ibutang kini sa usa ka DBMS, dayon kuhaa kini ug i-decrypt kini kung gikinahanglan, diha mismo sa lebel sa aplikasyon. Sa parehas nga oras, hunahunaa dayon kung giunsa nimo pagpanalipod kini nga mga algorithm sa aplikasyon. Sa among opinyon, kini kinahanglan nga buhaton sa lebel sa DBMS, tungod kay kini molihok nga mas paspas.

Kini nga taho unang gipresentar sa @Databases Meetup pinaagi sa Mail.ru Cloud Solutions. Tan-awa video uban pang mga pasundayag ug pag-subscribe sa mga pahibalo sa mga panghitabo sa Telegram Sa palibot sa Kubernetes sa Mail.ru Group.

Unsa pa ang basahon sa hilisgutan:

1. Labaw sa Ceph: MCS cloud block storage.
2. Giunsa pagpili ang usa ka database alang sa usa ka proyekto aron dili ka na magpili pag-usab.

Source: www.habr.com