私の名前はデニス・ロシュコフです。Gazinformservice 社の製品チームのソフトウェア開発責任者です。 ジャトバ。法律および企業規制により、データ ストレージのセキュリティに関して特定の要件が課されます。第三者が機密情報にアクセスすることを望んでいる人はいないため、識別と認証、データへのアクセスの管理、システム内の情報の整合性の確保、セキュリティ イベントのログ記録といった問題は、どのプロジェクトにとっても重要です。そこで、DBMS のセキュリティに関する興味深い点についていくつかお話したいと思います。

この記事は、での講演に基づいて作成されました。 @データベースミートアップ、 整頓された Mail.ru クラウド ソリューション。読みたくない場合は、以下をご覧ください。

この記事は XNUMX つの部分で構成されます。

• 接続を保護する方法。
• アクションの監査とは何ですか。また、データベース側で何が起こっているのか、データベースへの接続を記録する方法は何ですか。
• データベース自体のデータを保護する方法と、そのために利用できるテクノロジー。

DBMS セキュリティの XNUMX つのコンポーネント: 接続保護、アクティビティ監査、データ保護

接続を保護する

データベースには直接または Web アプリケーション経由で間接的に接続できます。通常、ビジネス ユーザー、つまり DBMS を操作する人は、DBMS と間接的に対話します。

接続の保護について話す前に、セキュリティ対策の構造を決定する重要な質問に答える必要があります。

• XNUMX 人のビジネス ユーザーは XNUMX 人の DBMS ユーザーに相当しますか?
• DBMS データへのアクセスが制御する API を通じてのみ提供されるか、それともテーブルに直接アクセスされるか。
• DBMS が別の保護されたセグメントに割り当てられているかどうか、誰がどのように対話するか。
• プーリング/プロキシ層と中間層が使用されるかどうか。これにより、接続の構築方法やデータベースの使用者に関する情報が変更される可能性があります。

次に、接続を保護するためにどのようなツールを使用できるかを見てみましょう。

1. データベース ファイアウォール クラス ソリューションを使用します。保護層を追加すると、少なくとも DBMS で何が起こっているかの透明性が高まり、最大では追加のデータ保護を提供できるようになります。
2. パスワードポリシーを使用します。それらの使用は、アーキテクチャの構築方法によって異なります。いずれの場合も、DBMS に接続する Web アプリケーションの構成ファイル内の XNUMX つのパスワードでは保護するには十分ではありません。ユーザーとパスワードの更新が必要かどうかを制御できる DBMS ツールが多数あります。

   ユーザー評価機能の詳細については、こちらをご覧ください。 ここで、MS SQL 脆弱性評価者についても知ることができます。 ここで. 

3. 必要な情報でセッションのコンテキストを充実させます。セッションが不透明な場合、DBMS のフレームワーク内で誰が作業しているのかがわかりません。実行されている操作のフレームワーク内で、誰が何を、なぜ行っているのかに関する情報を追加できます。この情報は監査で確認できます。
4. DBMS とエンド ユーザーの間にネットワークが分離されておらず、別の VLAN 内にない場合は、SSL を構成します。このような場合、コンシューマと DBMS 自体の間のチャネルを保護することが不可欠です。セキュリティ ツールはオープンソースでも入手できます。

これは DBMS のパフォーマンスにどのような影響を及ぼしますか?

PostgreSQL の例を見て、SSL が CPU 負荷にどのような影響を及ぼし、タイミングが増加し、TPS が減少するか、また、SSL を有効にした場合に多くのリソースが消費されるかどうかを確認してみましょう。

pgbench を使用した PostgreSQL のロードは、パフォーマンス テストを実行するための簡単なプログラムです。単一の一連のコマンドを、場合によっては並列データベース セッションで繰り返し実行し、平均トランザクション レートを計算します。

テスト 1 SSL なしと SSL 使用 — 接続はトランザクションごとに確立されます。

pgbench.exe --connect -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres sslmode=require 
sslrootcert=rootCA.crt sslcert=client.crt sslkey=client.key"

vs

pgbench.exe --connect -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres"

テスト 2 SSL なしと SSL 使用 — すべてのトランザクションは XNUMX つの接続で実行されます。

pgbench.exe -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres sslmode=require
sslrootcert=rootCA.crt sslcert=client.crt sslkey=client.key"

vs

pgbench.exe -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres"

その他の設定:

scaling factor: 1
query mode: simple
number of clients: 10
number of threads: 1
number of transactions per client: 5000
number of transactions actually processed: 50000/50000

テスト結果:

 
SSLなし
SSL

トランザクションごとに接続が確立されます

平均レイテンシー
171.915ミリ秒
187.695ミリ秒

接続確立を含む tps
58.168112
53.278062

確立中の接続を除く tps
64.084546
58.725846

CPU
視聴者の３８%が
視聴者の３８%が

すべてのトランザクションは XNUMX つの接続で実行されます

平均レイテンシー
6.722ミリ秒
6.342ミリ秒

接続確立を含む tps
1587.657278
1576.792883

確立中の接続を除く tps
1588.380574
1577.694766

CPU
視聴者の３８%が
視聴者の３８%が

軽負荷では、SSL の影響は測定誤差に匹敵します。転送されるデータ量が非常に大きい場合は、状況が異なる場合があります。トランザクションごとに XNUMX つの接続を確立する場合 (これはまれで、通常、接続はユーザー間で共有されます)、多数の接続/切断がある場合、影響は少し大きくなる可能性があります。つまり、パフォーマンスが低下するリスクはありますが、保護を使用しないほど大きな差はありません。

動作モードを比較すると、同じセッション内で作業しているか、異なるセッション内で作業しているかという大きな違いがあることに注意してください。これは当然のことであり、各接続の作成にリソースが費やされます。

Zabbix を信頼モードで接続した場合、つまり md5 がチェックされず、認証の必要がなかった場合がありました。次に、顧客は md5 認証モードを有効にするように要求しました。これによりCPUに大きな負荷がかかり、パフォーマンスが低下してしまいました。私たちは最適化する方法を探し始めました。この問題の解決策の XNUMX つは、ネットワーク制限を実装し、DBMS 用に別の VLAN を作成し、誰がどこから接続しているかを明確にする設定を追加し、認証を削除することです。また、認証設定を最適化して認証を有効にする際のコストを削減することもできますが、一般に、さまざまな認証方法の使用はパフォーマンスに影響を与えるため、DBMS 用のサーバー (ハードウェア) の計算能力を設計する際には、これらの要素を考慮する必要があります。

結論: 多くのソリューションでは、認証における小さなニュアンスでさえプロジェクトに大きな影響を与える可能性があり、実稼働環境に実装されて初めてそれが明らかになるのは問題です。

アクション監査

監査は DBMS だけではありません。監査とは、さまざまなセグメントで何が起こっているかに関する情報を取得することです。これは、データベース ファイアウォールまたは DBMS が構築されているオペレーティング システムのいずれかです。

商用のエンタープライズ レベルの DBMS では監査に問題はありませんが、オープン ソースでは必ずしもそうとは限りません。 PostgreSQL には次のような機能があります。

• デフォルトのログ - 組み込みのログ。
• 拡張機能: pgaudit - デフォルトのロギングだけでは不十分な場合は、いくつかの問題を解決する別の設定を使用できます。

ビデオ内のレポートへの追加:

「基本的なステートメントのロギングは、log_statement = all を使用した標準のロギング機能によって提供できます。

これは監視やその他の用途には許容されますが、監査に通常必要な詳細レベルは提供されません。

データベース上で実行されたすべての操作のリストを取得するだけでは十分ではありません。

また、監査人にとって興味深い特定の記述を見つけることも可能である必要があります。

標準ログはユーザーが要求した内容を示しますが、pgAudit はデータベースがクエリを実行したときに何が起こったかの詳細に焦点を当てます。

たとえば、監査人は、特定のテーブルが文書化されたメンテナンス期間内に作成されたことを確認したい場合があります。

これは、基本的な監査と grep を使用した簡単なタスクのように思えるかもしれませんが、次のような (意図的に混乱させた) 例が表示されたらどうでしょうか。

やります$$
ベギン
|| 'CREATE TABLE インポート' を実行します。 'ant_table(id int)';
終了$$;

標準のログでは次のことが得られます。

ログ: ステートメント: DO $$
ベギン
|| 'CREATE TABLE インポート' を実行します。 'ant_table(id int)';
終了$$;

テーブルが動的に作成される場合、目的のテーブルを見つけるには、ある程度のコードの知識が必要になる場合があります。

単純にテーブル名で検索する方が望ましいため、これは理想的ではありません。

ここで pgAudit が役に立ちます。

同じ入力に対して、ログに次の出力が生成されます。

監査: セッション,33,1​​XNUMX,関数,DO,,,"DO $$
ベギン
|| 'CREATE TABLE インポート' を実行します。 'ant_table(id int)';
終了$$;"
監査: SESSION,33,2,DDL,CREATE TABLE,TABLE,public. important_table,CREATE TABLE important_table (id INT)

DO ブロックだけでなく、ステートメント タイプ、オブジェクト タイプ、フルネームを含む CREATE TABLE の全文もログに記録されるため、検索が容易になります。

SELECT ステートメントと DML ステートメントをログに記録する場合、ステートメントで参照される関係ごとに個別のエントリをログに記録するように pgAudit を構成できます。

特定のテーブルに触れるすべてのステートメントを見つけるために解析する必要はありません(*。） "

これは DBMS のパフォーマンスにどのような影響を及ぼしますか?

完全な監査を有効にしてテストを実行し、PostgreSQL のパフォーマンスに何が起こるかを見てみましょう。すべてのパラメータに対して最大のデータベース ログを有効にしましょう。

構成ファイルにはほとんど何も変更しません。最も重要なことは、最大限の情報を取得するために debug5 モードをオンにすることです。

postgresql.conf

log_destination = 'stderr'
ロギングコレクター = オン
log_truncate_on_rotation = オン
log_rotation_age = 1d
log_rotation_size = 10MB
log_min_messages = デバッグ5
log_min_error_statement = デバッグ5
log_min_duration_statement = 0
debug_print_parse = オン
debug_print_rewrite = オン
debug_print_plan = オン
debug_pretty_print = オン
log_checkpoints = オン
log_connections = オン
log_disconnections = オン
log_duration = オン
log_hostname = オン
log_lock_waits = オン
log_replication_commands = オン
log_temp_files = 0
log_timezone = 'ヨーロッパ/モスクワ'

1 CPU、2,8 GHz、2 GB RAM、40 GB HDD のパラメーターを備えた PostgreSQL DBMS で、次のコマンドを使用して XNUMX つの負荷テストを実行します。

$ pgbench -p 3389 -U postgres -i -s 150 benchmark
$ pgbench -p 3389 -U postgres -c 50 -j 2 -P 60 -T 600 benchmark
$ pgbench -p 3389 -U postgres -c 150 -j 2 -P 60 -T 600 benchmark

試験結果：

ロギングなし
ロギングあり

データベースの合計充填時間
43,74秒
53,23秒

ラム
視聴者の３８%が
視聴者の３８%が

CPU
視聴者の３８%が
視聴者の３８%が

テスト 1 (50 接続)

10分間のトランザクション数
74169
32445

トランザクション/秒
123
54

平均レイテンシ
405ミリ秒
925ミリ秒

テスト 2 (150 の接続、100 の接続が可能)

10分間のトランザクション数
81727
31429

トランザクション/秒
136
52

平均レイテンシ
550ミリ秒
1432ミリ秒

サイズについて

DBサイズ
2251 MB
2262 MB

データベースのログサイズ
0 MB
4587 MB

結論：完全な監査はあまり良いものではありません。監査からのデータは、データベース自体のデータと同じか、それ以上の大きさになります。 DBMS の操作時に生成されるログの量は、運用環境でよくある問題です。

他のパラメータを見てみましょう。

• 速度はあまり変わりません: ログなし - 43,74 秒、ログあり - 53,23 秒。
• 監査ファイルを生成する必要があるため、RAM と CPU のパフォーマンスが低下します。これは生産性においても顕著です。

接続数が増えると、当然ながらパフォーマンスは若干低下します。

監査のある企業では、さらに困難になります。

• たくさんのデータがあります。
• 監査は、SIEM の syslog を介するだけでなく、ファイルでも必要です。syslog に問題が発生した場合、データが保存されているファイルがデータベースの近くに存在する必要があります。
• 監査には多くのスペースを占有するため、I/O ディスクを無駄にしないように別のシェルフが必要です。
• 情報セキュリティの従業員にはどこでも GOST 標準が必要であり、州の識別が必要になることがあります。

データへのアクセスを制限する

商用 DBMS およびオープンソースでデータを保護し、データにアクセスするために使用されているテクノロジーを見てみましょう。

一般的に使用できるもの:

1. プロシージャと関数の暗号化と難読化 (ラッピング) - つまり、可読コードを判読不能にする別個のツールとユーティリティです。確かに、変更することも、リファクタリングして戻すこともできません。このアプローチは、少なくとも DBMS 側で必要になる場合があります。ライセンス制限のロジックまたは認可ロジックは、プロシージャおよび機能レベルで正確に暗号化されます。
2. 行ごとにデータの表示を制限する (RLS) とは、さまざまなユーザーが XNUMX つのテーブルを参照しても、そのテーブル内の行の構成が異なる場合、つまり、行レベルで誰かに何かを表示できない場合です。
3. 表示されたデータの編集 (マスキング) では、テーブルの XNUMX つの列のユーザーにデータまたはアスタリスクのみが表示されます。つまり、一部のユーザーの情報は閉じられます。このテクノロジーは、アクセス レベルに基づいて、どのユーザーに何を表示するかを決定します。
4. セキュリティ DBA/アプリケーション DBA/DBA のアクセス制御は、むしろ DBMS 自体へのアクセスを制限することです。つまり、情報セキュリティ担当者をデータベース管理者やアプリケーション管理者から分離できます。オープンソースにはそのようなテクノロジはほとんどありませんが、商用 DBMS には多数あります。これらは、サーバー自体にアクセスできるユーザーが多数いる場合に必要になります。
5. ファイルシステムレベルでファイルへのアクセスを制限します。ディレクトリに対する権限とアクセス特権を付与して、各管理者が必要なデータのみにアクセスできるようにすることができます。
6. 強制的なアクセスとメモリのクリア - これらのテクノロジはほとんど使用されません。
7. DBMS から直接のエンドツーエンド暗号化は、サーバー側でキー管理を行うクライアント側の暗号化です。
8. データ暗号化。たとえば、列指向暗号化は、データベースの単一列を暗号化するメカニズムを使用する場合です。

これは DBMS のパフォーマンスにどのような影響を与えますか?

PostgreSQL の列指向暗号化の例を見てみましょう。 pgcrypto モジュールがあり、選択したフィールドを暗号化された形式で保存できます。これは、一部のデータのみが重要な場合に便利です。暗号化されたフィールドを読み取るために、クライアントは復号キーを送信し、サーバーはデータを復号してクライアントに返します。キーがなければ、誰もあなたのデータに対して何もすることができません。

pgcryptoでテストしてみましょう。暗号化されたデータと通常のデータを含むテーブルを作成してみましょう。以下はテーブルを作成するためのコマンドです。最初の行には、DBMS 登録を使用して拡張機能自体を作成する便利なコマンドがあります。

CREATE EXTENSION pgcrypto;
CREATE TABLE t1 (id integer, text1 text, text2 text);
CREATE TABLE t2 (id integer, text1 bytea, text2 bytea);
INSERT INTO t1 (id, text1, text2)
VALUES (generate_series(1,10000000), generate_series(1,10000000)::text, generate_series(1,10000000)::text);
INSERT INTO t2 (id, text1, text2) VALUES (
generate_series(1,10000000),
encrypt(cast(generate_series(1,10000000) AS text)::bytea, 'key'::bytea, 'bf'),
encrypt(cast(generate_series(1,10000000) AS text)::bytea, 'key'::bytea, 'bf'));

次に、各テーブルからデータサンプルを作成し、実行タイミングを見てみましょう。

暗号化機能のないテーブルから選択する:

psql -c "timing" -c "select * from t1 limit 1000;" "host=192.168.220.129 dbname=taskdb
user=postgres sslmode=disable" > 1.txt

ストップウォッチがオンになっています。

  ID |テキスト1 |テキスト2
——+——-+——-
1 | 1 | 1
2 | 2 | 2
3 | 3 | 3
...
997 | 997 | 997
998 | 998 | 998
999 | 999 | 999
1000 | 1000 | 1000
(1000行)

時間: 1,386ミリ秒

暗号化機能付きテーブルからの選択：

psql -c "timing" -c "select id, decrypt(text1, 'key'::bytea, 'bf'),
decrypt(text2, 'key'::bytea, 'bf') from t2 limit 1000;"
"host=192.168.220.129 dbname=taskdb user=postgres sslmode=disable" > 2.txt

ストップウォッチがオンになっています。

  ID |復号化 |復号化する
—+——————+————
1 | x31 | ×31
2 | x32 | ×32
3 | x33 | ×33
...
999 | x393939 | ×393939
1000 | x31303030 | ×31303030
(1000行)

時間: 50,203ミリ秒

テスト結果:

 
暗号化なし
Pgcrypto (復号化)

1000 行のサンプル
1,386ミリ秒
50,203ミリ秒

CPU
視聴者の３８%が
視聴者の３８%が

ラム
 
+ 5％

暗号化はパフォーマンスに大きな影響を与えます。暗号化されたデータの復号化操作 (通常、復号化は依然としてロジックにラップされている) には大量のリソースが必要となるため、タイミングが増加していることがわかります。つまり、一部のデータを含むすべての列を暗号化するという考えは、パフォーマンスの低下を伴います。

ただし、暗号化はすべての問題を解決する特効薬ではありません。復号化されたデータと、データを復号化して送信するプロセス中の復号化キーはサーバー上にあります。したがって、システム管理者など、データベース サーバーへの完全なアクセス権を持つ人物がキーを傍受する可能性があります。

すべてのユーザーの列全体に XNUMX つのキーがある場合 (すべてのユーザーではなく、限られたセットのクライアントの場合でも)、これは必ずしも適切で正しいとは限りません。そのため、彼らはエンドツーエンドの暗号化を実行し始め、DBMS ではクライアント側とサーバー側でデータを暗号化するオプションを検討し始め、同じキー コンテナー ストレージ (DBMS 上でキー管理を提供する別の製品) が登場しました。側。

MongoDB でのこのような暗号化の例

商用およびオープンソース DBMS のセキュリティ機能

機能
タイプ
パスワードポリシー
監査
プロシージャと関数のソース コードを保護する
RLS
Encryption

オラクル
商業の
+
+
+
+
+

MSQL
商業の
+
+
+
+
+

ジャトバ
商業の
+
+
+
+
エクステンション

PostgreSQL
無料版
エクステンション
エクステンション
-
+
エクステンション

MongoDB
無料版
-
+
-
-
MongoDB Enterprise でのみ利用可能

この表は完全には程遠いですが、現状は次のとおりです。商用製品では、セキュリティの問題は長い間解決されていますが、オープンソースでは、原則として、セキュリティのために何らかの種類のアドオンが使用されており、多くの機能が欠落しています。 、時には何かを追加する必要があります。たとえば、パスワード ポリシー - PostgreSQL にはさまざまな拡張機能があります (1, 2, 3, 4, 5）、パスワードポリシーを実装していますが、私の意見では、どれも国内の企業部門のニーズをすべてカバーしていません。

必要なものがどこにもない場合はどうすればいいですか?たとえば、顧客が必要とする機能を備えていない特定の DBMS を使用したいとします。

その後、Crypto DB や Garda DB など、さまざまな DBMS で動作するサードパーティ ソリューションを使用できます。国内セグメントのソリューションについて話している場合、彼らはオープンソースよりも GOST についてよく知っています。

XNUMX 番目のオプションは、必要なものを自分で作成し、プロシージャ レベルでアプリケーションにデータ アクセスと暗号化を実装することです。確かに、GOSTの場合はさらに困難になります。ただし、一般的には、必要に応じてデータを非表示にして DBMS に配置し、必要に応じてアプリケーション レベルで取得して復号化することができます。同時に、アプリケーション内でこれらのアルゴリズムを保護する方法をすぐに検討してください。私たちの意見では、これは DBMS レベルで行うべきです。そのほうがより高速に動作するからです。

このレポートは最初に発表されました。 @データベースミートアップ Mail.ru クラウド ソリューションによる。 見て ビデオ 他のパフォーマンスやイベントのお知らせを Telegram で購読する Mail.ru グループの Kubernetes について.

このトピックに関して他に何を読むべきか:

1. Ceph を超えたもの: MCS クラウド ブロック ストレージ.
2. 再度選択する必要がないようにプロジェクトのデータベースを選択する方法.

出所： habr.com