Mäin Numm ass Denis Rozhkov, ech sinn de Chef vun der Softwareentwécklung bei der Gazinformservice Firma, am Produktteam Jatoba. Gesetzgebung a Firmereglementer setzen gewësse Viraussetzunge fir d'Sécherheet vun der Datelagerung. Keen wëll datt Drëttpersounen Zougang zu vertraulech Informatioun kréien, sou datt déi folgend Themen fir all Projet wichteg sinn: Identifikatioun an Authentifikatioun, Gestioun vun Zougang zu Daten, garantéieren d'Integritéit vun Informatioun am System, Logged Sécherheetsevenementer. Dofir wëll ech iwwer e puer interessant Punkten iwwer DBMS Sécherheet schwätzen.

Den Artikel gouf virbereet baséiert op enger Ried am @DatabasesMeetup, organiséiert Mail.ru Cloud Léisunge. Wann Dir net wëllt liesen, kënnt Dir kucken:

Den Artikel wäert dräi Deeler hunn:

• Wéi sécher Verbindungen.
• Wat ass en Audit vun Aktiounen a wéi een opzehuelen wat op der Datebanksäit geschitt a sech domat verbënnt.
• Wéi d'Donnéeën an der Datebank selwer ze schützen a wéi eng Technologien sinn dofir verfügbar.

Dräi Komponente vun DBMS Sécherheet: Verbindung Schutz, Aktivitéit Audit an Dateschutz

Séchert Är Verbindungen

Dir kënnt mat der Datebank entweder direkt oder indirekt iwwer Webapplikatiounen verbannen. Als Regel, interagéiert de Geschäftsbenotzer, dat heescht déi Persoun déi mam DBMS schafft, indirekt mat him.

Ier Dir iwwer de Schutz vu Verbindungen schwätzt, musst Dir wichteg Froen beäntweren, déi bestëmmen wéi Sécherheetsmoossnamen strukturéiert sinn:

• Ass ee Geschäftsbenotzer gläichwäerteg mat engem DBMS Benotzer?
• ob Zougang zu DBMS Daten nëmmen duerch eng API geliwwert gëtt déi Dir kontrolléiert, oder ob Dëscher direkt zougänglech sinn;
• ob d'DBMS zu engem separaten geschützte Segment zougewisen ass, wien domat interagéiert a wéi;
• ob Pooling / Proxy an Zwëschenschichten benotzt ginn, déi Informatioun iwwer wéi d'Verbindung gebaut ass a wien d'Datebank benotzt kann änneren.

Loosst eis elo kucken wéi eng Tools kënne benotzt ginn fir Verbindungen ze sécheren:

1. Benotzt Datebank Firewall Klass Léisungen. Eng zousätzlech Schicht vum Schutz wäert op e Minimum d'Transparenz vun deem wat am DBMS geschitt ass erhéijen, a maximal kënnt Dir zousätzlech Dateschutz ubidden.
2. Benotzen Passwuert Politiken. Hir Notzung hänkt dovun of wéi Är Architektur gebaut ass. Op alle Fall ass ee Passwuert an der Konfiguratiounsdatei vun enger Webapplikatioun déi mat der DBMS verbënnt net genuch fir de Schutz. Et ginn eng Rei vun DBMS-Tools déi Iech erlaben ze kontrolléieren datt de Benotzer a Passwuert aktualiséieren.

   Dir kënnt méi iwwer Benotzer Bewäertungsfunktiounen liesen hei, Dir kënnt och iwwer MS SQL Vulnerability Assessmen erausfannen hei. 

3. Beräichert de Kontext vun der Sëtzung mat der néideger Informatioun. Wann d'Sessioun opak ass, versteet Dir net wien am DBMS a sengem Kader schafft, Dir kënnt, am Kader vun der Operatioun, déi duerchgefouert gëtt, Informatioun addéieren iwwer wien wat mécht a firwat. Dës Informatioun kann am Audit gesi ginn.
4. SSL konfiguréieren wann Dir keng Netzwierktrennung tëscht dem DBMS an Endbenotzer hutt; et ass net an engem separaten VLAN. An esou Fäll ass et néideg de Kanal tëscht dem Konsument an dem DBMS selwer ze schützen. Sécherheetsinstrumenter sinn och an Open Source verfügbar.

Wéi beaflosst dëst d'Leeschtung vum DBMS?

Loosst eis d'Beispill vu PostgreSQL kucken fir ze kucken wéi SSL d'CPU Belaaschtung beaflosst, Timings erhéicht an TPS reduzéiert, an ob et ze vill Ressourcen verbraucht wann Dir et aktivéiert.

Lueden PostgreSQL mat pgbench ass en einfache Programm fir Performance Tester ze lafen. Et fiert eng eenzeg Sequenz vu Kommandoen ëmmer erëm aus, méiglecherweis a parallele Datebanksessionen, a berechent dann den duerchschnëttleche Transaktiounsquote.

Test 1 ouni SSL a benotzt SSL - d'Verbindung gëtt fir all Transaktioun etabléiert:

pgbench.exe --connect -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres sslmode=require 
sslrootcert=rootCA.crt sslcert=client.crt sslkey=client.key"

vs

pgbench.exe --connect -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres"

Test 2 ouni SSL a benotzt SSL - all Transaktioune ginn an enger Verbindung duerchgefouert:

pgbench.exe -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres sslmode=require
sslrootcert=rootCA.crt sslcert=client.crt sslkey=client.key"

vs

pgbench.exe -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres"

Aner Astellungen:

scaling factor: 1
query mode: simple
number of clients: 10
number of threads: 1
number of transactions per client: 5000
number of transactions actually processed: 50000/50000

Testresultater:

 
KENG SSL
SSL

Eng Verbindung gëtt fir all Transaktioun etabléiert

latency Moyenne
171.915 ms
187.695 ms

tps inklusiv Verbindungen etabléieren
58.168112
53.278062

tps ausser Verbindungen etabléiert
64.084546
58.725846

cpu
24%
28%

All Transaktioune ginn an enger Verbindung gemaach

latency Moyenne
6.722 ms
6.342 ms

tps inklusiv Verbindungen etabléieren
1587.657278
1576.792883

tps ausser Verbindungen etabléiert
1588.380574
1577.694766

cpu
17%
21%

Bei liichte Lasten ass den Afloss vum SSL vergläichbar mam Miessfehler. Wann d'Quantitéit vun den transferéierte Daten ganz grouss ass, kann d'Situatioun anescht sinn. Wa mir eng Verbindung pro Transaktioun opbauen (dëst ass selten, normalerweis gëtt d'Verbindung tëscht de Benotzer gedeelt), hutt Dir eng grouss Zuel vu Verbindungen / Disconnectiounen, den Impakt kann e bësse méi grouss sinn. Dat ass, et kann Risiken vun Ofsenkung Leeschtung ginn, mä den Ënnerscheed ass net sou grouss wéi net Schutz ze benotzen.

Maacht weg datt et e staarken Ënnerscheed ass wann Dir d'Operatiounsmodi vergläicht: Dir schafft an der selwechter Sessioun oder a verschiddene. Dëst ass verständlech: Ressourcen gi benotzt fir all Verbindung ze kreéieren.

Mir haten e Fall wou mir Zabbix am Vertrauensmodus verbonne sinn, dat heescht, md5 gouf net gepréift, et war kee Besoin fir Authentifikatioun. Dunn huet de Client gefrot fir den md5 Authentifikatiounsmodus z'aktivéieren. Dëst huet eng schwéier Laascht op d'CPU gesat, an d'Performance ass erofgaang. Mir hunn ugefaang no Weeër ze sichen fir ze optimiséieren. Eng vun de méigleche Léisunge fir de Problem ass d'Netzbeschränkungen ëmzesetzen, separat VLANs fir d'DBMS ze maachen, Astellunge bäizefügen fir kloer ze maachen wien vu wou verbënnt an d'Authentifikatioun ewechhuelen.Dir kënnt och d'Authentifizéierungsastellungen optimiséieren fir d'Käschte ze reduzéieren wann d'Authentifikatioun aktivéiert gëtt, awer allgemeng d'Benotzung vu verschiddene Methoden Authentifikatioun beaflosst d'Performance a erfuerdert dës Faktore berücksichtegt wann Dir d'Rechenkraaft vu Serveren (Hardware) fir den DBMS designt.

Fazit: an enger Rei vu Léisungen, souguer kleng Nuancen an Authentifikatioun kann de Projet immens Afloss an et ass schlecht wann dëst kloer gëtt nëmmen wann an Produktioun ëmgesat.

Aktioun Audit

Audit kann net nëmmen DBMS sinn. En Audit geet drëm Informatiounen ze kréien iwwer wat a verschiddene Segmenter geschitt. Dëst kann entweder eng Datebank Firewall oder de Betribssystem sinn op deem d'DBMS gebaut ass.

A kommerziellen Enterprise Level DBMSs ass alles gutt mat Audit, awer an Open Source - net ëmmer. Hei ass wat PostgreSQL huet:

• Standard Log - agebaute Logbuch;
• Extensiounen: pgaudit - wann Standardlogging net genuch fir Iech ass, kënnt Dir separat Astellunge benotzen déi e puer Probleemer léisen.

Ergänzung zum Bericht am Video:

"Basis Erklärungsprotokoller ka vun enger Standard Logbicher Ariichtung mat log_statement = all geliwwert ginn.

Dëst ass akzeptabel fir Iwwerwaachung an aner Uwendungen, awer bitt net den Detailniveau typesch fir Audit néideg.

Et ass net genuch fir eng Lëscht vun all Operatiounen op der Datebank ze hunn.

Et soll och méiglech sinn spezifesch Aussoen ze fannen, déi fir den Auditeur interesséieren.

Standard Logbuch weist wat de Benotzer gefrot huet, wärend pgAudit sech op d'Detailer konzentréiert vu wat geschitt ass wann d'Datebank d'Ufro ausgefouert huet.

Zum Beispill kann den Auditeur verifizéieren datt e bestëmmten Dësch an enger dokumentéierter Ënnerhaltfenster erstallt gouf.

Dëst kann wéi eng einfach Aufgab mat Basis Audit a Grep schéngen, awer wat wann Dir mat eppes wéi dëst (virsiichteg konfus) Beispill presentéiert gouf:

DO$$
BEGINN
EXECUTE 'CREATE TABLE Import' || 'ant_table(id int)';
END$$;

Standard Logging gëtt Iech dëst:

LOG: Ausso: DO $$
BEGINN
EXECUTE 'CREATE TABLE Import' || 'ant_table(id int)';
END$$;

Et schéngt, datt d'Tabelle vun Interessi ze fannen kann e puer Code Wëssen erfuerderen a Fäll wou Dëscher dynamesch erstallt ginn.

Dëst ass net ideal, well et besser wier einfach nom Dëschnumm ze sichen.

Dëst ass wou pgAudit praktesch kënnt.

Fir deeselwechten Input produzéiert et dësen Output am Logbuch:

AUDIT: SESSION,33,1,FUNCTION,DO,,,"DO $$
BEGINN
EXECUTE 'CREATE TABLE Import' || 'ant_table(id int)';
END$$;"
AUDIT: SESSION,33,2,DDL,CREATE TABLE,TABLE,public.important_table,CREATE TABLE wichteg_Table (ID INT)

Net nëmmen den DO Block gëtt protokolléiert, awer och de ganzen Text vun der CREATE TABLE mat Aussoentyp, Objekttyp a vollen Numm, wat d'Sich méi einfach mécht.

Wann Dir SELECT- an DML-Aussoe protokolléiert, kann pgAudit konfiguréiert ginn fir eng separat Entrée fir all Bezéiung ze protokolléieren, déi an der Ausso referenzéiert ass.

Keen Parsing ass erfuerderlech fir all Aussoen ze fannen déi e bestëmmten Dësch beréieren (*) “.

Wéi beaflosst dëst d'Leeschtung vum DBMS?

Loosst eis Tester mat voller Audit aktivéiert a kucken wat mat der PostgreSQL Leeschtung geschitt. Loosst eis maximal Datebanklogging fir all Parameter aktivéieren.

Mir änneren bal näischt an der Konfiguratiounsdatei, déi wichtegst Saach ass den Debug5 Modus auszeschalten fir maximal Informatioun ze kréien.

postgresql.conf

log_destination = 'stderr'
logging_collector = an
log_truncate_on_rotation = an
log_rotation_age = 1d
log_rotation_size = 10 MB
log_min_messages = debug5
log_min_error_statement = debug5
log_min_duration_statement = 0
debug_print_parse = an
debug_print_rewritten = an
debug_print_plan = an
debug_pretty_print = an
log_checkpoints = an
log_connections = an
log_disconnections = an
log_duration = an
log_hostname = an
log_lock_wait = an
log_replication_commands = an
log_temp_files = 0
log_timezone = 'Europa/Moskau'

Op engem PostgreSQL DBMS mat Parameteren vun 1 CPU, 2,8 GHz, 2 GB RAM, 40 GB HDD, maache mir dräi Lasttester mat de Kommandoen:

$ pgbench -p 3389 -U postgres -i -s 150 benchmark
$ pgbench -p 3389 -U postgres -c 50 -j 2 -P 60 -T 600 benchmark
$ pgbench -p 3389 -U postgres -c 150 -j 2 -P 60 -T 600 benchmark

Testresultater:

Keng Logged
Mat Logged

Total Datebank Füllzäit
43,74 sek
53,23 sek

RAM
24%
40%

cpu
72%
91%

Test 1 (50 Verbindungen)

Zuel vun Transaktiounen an 10 Minutten
74169
32445

Transaktiounen / sec
123
54

Duerchschnëtt Latency
405 ms
925 ms

Test 2 (150 Verbindungen mat 100 méiglech)

Zuel vun Transaktiounen an 10 Minutten
81727
31429

Transaktiounen / sec
136
52

Duerchschnëtt Latency
550 ms
1432 ms

Iwwer Gréissten

DB Gréisst
2251 MB
2262 MB

Datebank Log Gréisst
0 MB
4587 MB

Bottom Line: e vollen Audit ass net ganz gutt. D'Donnéeë vum Audit wäerten esou grouss sinn wéi d'Donnéeën an der Datebank selwer, oder nach méi. De Betrag u Logged déi generéiert gëtt wann Dir mat engem DBMS schafft ass e gemeinsame Problem an der Produktioun.

Loosst eis aner Parameteren kucken:

• D'Vitesse ännert net vill: ouni Logged - 43,74 Sekonnen, mat Logged - 53,23 Sekonnen.
• RAM an CPU Leeschtung wäert leiden, wéi Dir eng Audit Fichier Generéiere muss. Dëst ass och an der Produktivitéit bemierkbar.

Wéi d'Zuel vun de Verbindungen eropgeet, wäert d'Performance natierlech liicht verschlechtert ginn.

An Entreprisen mat Audit ass et nach méi schwéier:

• et gëtt vill Donnéeën;
• Audit ass néideg net nëmmen duerch Syslog am SIEM, awer och a Fichieren: Wann eppes mam Syslog geschitt, muss et e Fichier no bei der Datebank sinn, an där d'Donnéeën gespäichert sinn;
• e getrennten Regal ass fir d'Audit gebraucht fir net I/O Disks ze verschwenden, well et vill Plaz hëlt;
• Et geschitt datt d'Mataarbechter vun der Informatiounssécherheet iwwerall GOST-Standarden brauchen, si erfuerderen Staatsidentifikatioun.

Aschränkung Zougang zu Daten

Loosst eis d'Technologien kucken, déi benotzt gi fir Daten ze schützen an Zougang zu kommerziellen DBMSen an Open Source.

Wat kënnt Dir allgemeng benotzen:

1. Verschlësselung an Obfuscatioun vu Prozeduren a Funktiounen (Wrapping) - dat ass, separat Tools an Utilitys, déi liesbare Code onliesbar maachen. Richteg, da kann et weder geännert ginn, nach refactored zréck. Dës Approche ass heiansdo op d'mannst op der DBMS Säit erfuerderlech - d'Logik vu Lizenzbeschränkungen oder Autorisatiounslogik ass präzis op der Prozedur a Funktiounsniveau verschlësselt.
2. D'Visibilitéit vun Daten duerch Reihen (RLS) limitéieren ass wann verschidde Benotzer een Dësch gesinn, awer eng aner Zeilen Zeilen dran, dat heescht, eppes kann een net um Zeilniveau gewisen ginn.
3. D'Ännerung vun den ugewisenen Donnéeën (Maskéieren) ass wann d'Benotzer an enger Kolonn vun der Tabell entweder Daten oder nëmmen Asterisken gesinn, dat heescht, fir e puer Benotzer gëtt d'Informatioun zougemaach. D'Technologie bestëmmt wéi ee Benotzer gewise gëtt wat baséiert op hirem Zougangsniveau.
4. Sécherheet DBA / Applikatioun DBA / DBA Zougang Kontroll ass, éischter, iwwer Aschränkung Zougang zu der DBMS selwer, dat ass, Informatiounen Sécherheet Mataarbechter kann aus Datebank Administrateuren an Applikatioun Administrateuren getrennt ginn. Et gi wéineg esou Technologien an Open Source, awer et gi vill vun hinnen a kommerziellen DBMSen. Si sinn néideg wann et vill Benotzer mat Zougang zu de Serveren selwer sinn.
5. Beschränken Zougang zu Dateien um Dateisystemniveau. Dir kënnt Rechter an Zougangsprivilegien op Verzeichnisser zouginn, sou datt all Administrateur nëmmen Zougang zu den néidegen Donnéeën huet.
6. Obligatoresch Zougang an Erënnerung Clearing - dës Technologien ginn selten benotzt.
7. End-to-End Verschlësselung direkt vun der DBMS ass Client-Säit Verschlësselung mat Schlësselmanagement op der Server Säit.
8. Dateverschlësselung. Zum Beispill, columnar Verschlësselung ass wann Dir e Mechanismus benotzt deen eng eenzeg Kolonn vun der Datebank verschlësselt.

Wéi beaflosst dëst d'Leeschtung vum DBMS?

Loosst eis d'Beispill vun der Kolonnverschlësselung am PostgreSQL kucken. Et gëtt e pgcrypto Modul, et erlaabt Iech ausgewielte Felder a verschlësselte Form ze späicheren. Dëst ass nëtzlech wann nëmmen e puer Daten wäertvoll sinn. Fir déi verschlësselte Felder ze liesen, iwwerdréit de Client en Entschlësselschlëssel, de Server entschlësselt d'Donnéeën an schéckt se un de Client zréck. Ouni de Schlëssel kann keen eppes mat Ären Donnéeën maachen.

Loosst eis mat pgcrypto testen. Loosst eis en Dësch mat verschlësselten Donnéeën a regelméissegen Donnéeën erstellen. Drënner sinn d'Befehle fir Dëscher ze kreéieren, an der éischter Linn gëtt et e nëtzlecht Kommando - d'Erweiderung selwer mat DBMS Registréierung erstellen:

CREATE EXTENSION pgcrypto;
CREATE TABLE t1 (id integer, text1 text, text2 text);
CREATE TABLE t2 (id integer, text1 bytea, text2 bytea);
INSERT INTO t1 (id, text1, text2)
VALUES (generate_series(1,10000000), generate_series(1,10000000)::text, generate_series(1,10000000)::text);
INSERT INTO t2 (id, text1, text2) VALUES (
generate_series(1,10000000),
encrypt(cast(generate_series(1,10000000) AS text)::bytea, 'key'::bytea, 'bf'),
encrypt(cast(generate_series(1,10000000) AS text)::bytea, 'key'::bytea, 'bf'));

Nächst, loosst eis probéieren eng Dateprobe aus all Dësch ze maachen an d'Ausféierungszäite kucken.

Auswiel vun engem Dësch ouni Verschlësselungsfunktioun:

psql -c "timing" -c "select * from t1 limit 1000;" "host=192.168.220.129 dbname=taskdb
user=postgres sslmode=disable" > 1.txt

D'Stopwatch ass un.

  idd | Text1 | Text 2
——+——-+——-
1 | 1 | 1
2 | 2 | 2
3 | 3 | 3
...
997 | 997 | 997
998 | 998 | 998
999 | 999 | 999
1000 | 1000 | 1000
(1000 Zeilen)

Zäit: 1,386 ms

Auswiel vun engem Dësch mat Verschlësselungsfunktioun:

psql -c "timing" -c "select id, decrypt(text1, 'key'::bytea, 'bf'),
decrypt(text2, 'key'::bytea, 'bf') from t2 limit 1000;"
"host=192.168.220.129 dbname=taskdb user=postgres sslmode=disable" > 2.txt

D'Stopwatch ass un.

  idd | entschlësselen | entschlësselen
——+—————+————
1 | x31 | x31
2 | x32 | x32
3 | x33 | x33
...
999 | x393939 | x393939
1000 | x31303030 | x31303030
(1000 Zeilen)

Zäit: 50,203 ms

Testresultater:

 
Ouni Verschlësselung
Pgcrypto (decrypt)

Prouf 1000 Zeile
1,386 ms
50,203 ms

cpu
15%
35%

RAM
 
+ 5%

Verschlësselung huet e groussen Impakt op Leeschtung. Et kann gesi ginn datt den Timing eropgaang ass, well Entschlësselungsoperatioune vu verschlësselte Donnéeën (an d'Entschlësselung ass normalerweis nach ëmmer an Ärer Logik gewéckelt) bedeitend Ressourcen erfuerderen. Dat ass, d'Iddi fir all Sailen ze verschlësselen déi e puer Daten enthalen ass voll mat enger Ofsenkung vun der Leeschtung.

Wéi och ëmmer, Verschlësselung ass keng Sëlwerkugel déi all Probleemer léist. Déi entschlësselten Donnéeën an den Entschlësselschlëssel während dem Prozess vun der Entschlësselung an der Iwwerdroung vun den Donnéeën sinn um Server. Dofir kënnen d'Schlëssele vun engem ofgefaange ginn, deen vollen Zougang zum Datebankserver huet, wéi zum Beispill e Systemadministrator.

Wann et ee Schlëssel fir déi ganz Kolonn fir all Benotzer ass (och wann net fir all, awer fir Cliente vun engem limitéierten Set), ass dëst net ëmmer gutt a korrekt. Dofir hu se ugefaang end-to-end Verschlësselung ze maachen, an der DBMS hunn se ugefaang Optiounen ze berücksichtegen fir Daten op der Client- a Serversäit ze verschlësselen, an déiselwecht Schlëssel-Vault-Späichere sinn opgetaucht - separat Produkter déi Schlësselmanagement op der DBMS ubidden. Säit.

E Beispill vun esou Verschlësselung am MongoDB

Sécherheetsfeatures a kommerziellen an Open Source DBMS

Functions
Typ
Passwuert Politik
Audit
De Quellcode vu Prozeduren a Funktiounen schützen
RLS
Ausnahme

entscheet
kommerziell
+
+
+
+
+

MsSql
kommerziell
+
+
+
+
+

Jatoba
kommerziell
+
+
+
+
Betriebsdauer

PostgreSQL
fräi
Betriebsdauer
Betriebsdauer
-
+
Betriebsdauer

MongoDb
fräi
-
+
-
-
Nëmmen an MongoDB Enterprise verfügbar

Den Dësch ass wäit net komplett, awer d'Situatioun ass dëst: a kommerziellen Produkter si Sécherheetsproblemer fir eng laang Zäit geléist, an der Open Source ginn normalerweis eng Aart Add-ons fir Sécherheet benotzt, vill Funktiounen fehlen , heiansdo musst Dir eppes derbäisetzen. Zum Beispill, Passwuert Politiken - PostgreSQL huet vill verschidden Extensiounen (1, 2, 3, 4, 5), déi Passwuertpolitik ëmsetzen, awer, menger Meenung no, kee vun hinnen deckt all d'Bedierfnesser vum Hausgeschäftssegment.

Wat maache wann Dir net hutt wat Dir braucht iwwerall? Zum Beispill wëllt Dir eng spezifesch DBMS benotzen déi net d'Funktiounen huet déi de Client erfuerdert.

Da kënnt Dir Drëtt Partei Léisungen benotzen, déi mat verschiddene DBMSen funktionnéieren, zum Beispill Crypto DB oder Garda DB. Wa mir iwwer Léisungen aus dem Gewaltsegment schwätzen, da wësse se iwwer GOSTs besser wéi an Open Source.

Déi zweet Optioun ass ze schreiwen wat Dir selwer braucht, Datezougang a Verschlësselung an der Applikatioun um Prozedurniveau ëmsetzen. True, et wäert méi schwéier mat GOST sinn. Awer am Allgemengen kënnt Dir d'Donnéeën verstoppen wéi néideg, se an engem DBMS setzen, se dann zréckzéien an entschlësselen wéi néideg, direkt um Applikatiounsniveau. Zur selwechter Zäit denkt direkt un wéi Dir dës Algorithmen an der Applikatioun schützt. Eiser Meenung no soll dat um DBMS Niveau gemaach ginn, well et méi séier funktionnéiert.

Dëse Rapport gouf éischt presentéiert um @Datebase Meetup vun Mail.ru Cloud Léisungen. Kuckt видео aner Opféierungen an abonnéieren Event Ukënnegung op Telegram Um Kubernetes bei Mail.ru Group.

Wat soss iwwer dëst Thema ze liesen:

1. Méi wéi Ceph: MCS Cloud Blocklagerung.
2. Wéi Dir eng Datebank fir e Projet wielt, fir datt Dir net erëm muss wielen.

Source: will.com