ProHoster > Blog > fitantanan-draharaha > Security sy DBMS: inona no tokony hotadidinao rehefa mifidy fitaovana fiarovana

Security sy DBMS: inona no tokony hotadidinao rehefa mifidy fitaovana fiarovana

Security sy DBMS: inona no tokony hotadidinao rehefa mifidy fitaovana fiarovana

Denis Rozhkov no anarako, lohan'ny fampivoarana rindrambaiko ao amin'ny orinasa Gazinformservice aho, ao amin'ny ekipan'ny vokatra. Jatoba. Ny lalàna sy ny fitsipiky ny orinasa dia mametraka fepetra sasany ho fiarovana ny fitahirizana angon-drakitra. Tsy misy olona maniry ny hahazoan'ny antoko fahatelo fidirana amin'ny fampahalalana tsiambaratelo, noho izany dia zava-dehibe ho an'ny tetikasa rehetra ireto olana manaraka ireto: famantarana sy fanamarinana, fitantanana ny fidirana amin'ny angon-drakitra, miantoka ny fahamarinan'ny fampahalalana ao amin'ny rafitra, ny firaketana hetsika fiarovana. Noho izany, te hiresaka momba ireo teboka mahaliana momba ny fiarovana DBMS aho.

Nifototra tamin'ny lahateny tao amin'ny @DatabasesMeetup, VOALAMINA Mail.ru Cloud Solutions. Raha tsy te hamaky ianao dia afaka mijery:


Hisy fizarana telo ny lahatsoratra:

  • Ahoana ny fiarovana ny fifandraisana.
  • Inona no atao hoe fanaraha-maso ny hetsika sy ny fomba fandraketana ny zava-mitranga eo amin'ny lafin'ny angon-drakitra ary mifandray amin'izany.
  • Ahoana ny fiarovana ny angona ao amin'ny tahiry sy ny teknolojia misy amin'izany.

Security sy DBMS: inona no tokony hotadidinao rehefa mifidy fitaovana fiarovana
Ny singa telo amin'ny fiarovana DBMS: fiarovana ny fifandraisana, ny fanaraha-maso ny hetsika ary ny fiarovana ny angona

Miaro ny fifandraisanao

Azonao atao ny mifandray amin'ny angon-drakitra na mivantana na ankolaka amin'ny alàlan'ny fampiharana tranonkala. Amin'ny maha-fitsipika, ny mpampiasa orinasa, izany hoe, ny olona izay miasa amin'ny DBMS, dia mifandray amin'ny ankolaka.

Alohan'ny hiresahana momba ny fiarovana ny fifandraisana dia mila mamaly fanontaniana manan-danja izay mamaritra ny fomba handrafetana ny fepetra fiarovana ianao:

  • Mitovy amin'ny mpampiasa DBMS iray ve ny mpampiasa orinasa iray?
  • na ny fidirana amin'ny angon-drakitra DBMS dia tsy omena afa-tsy amin'ny alàlan'ny API fehezinao, na ny tabilao dia idirana mivantana;
  • raha natokana ho an'ny fizarana voaaro misaraka ny DBMS, izay mifandray aminy ary ahoana;
  • na ny pooling/proxy sy ny sosona manelanelana no ampiasaina, izay afaka manova vaovao momba ny fomba fananganana ny fifandraisana sy izay mampiasa ny angon-drakitra.

Andeha hojerentsika izay fitaovana azo ampiasaina hiarovana ny fifandraisana:

  1. Mampiasà vahaolana kilasy firewall database. Ny sosona fiarovana fanampiny dia, fara fahakeliny, hampitombo ny mangarahara amin'ny zava-mitranga ao amin'ny DBMS, ary amin'ny fara-tampony, dia afaka manome fiarovana data fanampiny ianao.
  2. Ampiasao ny politikan'ny tenimiafina. Ny fampiasana azy ireo dia miankina amin'ny fomba fananganana ny maritranonao. Na izany na tsy izany, tsy ampy ho fiarovana ny tenimiafina iray ao amin'ny fisie fampifanarahana amin'ny rindranasa tranonkala iray mifandray amin'ny DBMS. Misy fitaovana DBMS maromaro ahafahanao mifehy fa mila fanavaozana ny mpampiasa sy ny tenimiafina.

    Afaka mamaky bebe kokoa momba ny asan'ny naoty mpampiasa ianao eto, azonao atao koa ny mahita momba ny MS SQL Vulnerability Assessmen eto

  3. Ampitomboy amin'ny fampahalalana ilaina ny tontolon'ny fivoriana. Raha manjavozavo ny fotoam-pivoriana, tsy azonao hoe iza no miasa ao amin'ny DBMS ao anatin'ny rafitra misy azy, azonao atao, ao anatin'ny rafitry ny hetsika atao, manampy fampahalalana momba izay manao inona ary nahoana. Hita ao amin'ny audit izany fampahalalana izany.
  4. Ampifanaraho ny SSL raha tsy manana fisarahana tambajotra eo amin'ny DBMS sy ny mpampiasa farany ianao; tsy ao anaty VLAN misaraka izany. Amin'ny tranga toy izany dia ilaina ny miaro ny fantsona eo amin'ny mpanjifa sy ny DBMS mihitsy. Ny fitaovana fiarovana dia misy amin'ny loharano misokatra ihany koa.

Inona no fiantraikan'izany amin'ny fanatanterahana ny DBMS?

Andeha hojerentsika ny ohatra momba ny PostgreSQL hahitana ny fiantraikan'ny SSL amin'ny enta-mavesatra CPU, mampitombo ny fotoana ary mampihena ny TPS, ary raha handany loharanon-karena be loatra izy io raha avelanao.

Ny fandefasana ny PostgreSQL amin'ny fampiasana pgbench dia programa tsotra amin'ny fanaovana fitiliana fampisehoana. Manatanteraka baiko iray imbetsaka izy io, mety amin'ny fotoam-pivorian'ny angon-drakitra mifanitsy, ary avy eo kajy ny tahan'ny fifanakalozana antonony.

Test 1 tsy misy SSL ary mampiasa SSL - ny fifandraisana dia napetraka ho an'ny varotra tsirairay:

pgbench.exe --connect -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres sslmode=require 
sslrootcert=rootCA.crt sslcert=client.crt sslkey=client.key"

vs

pgbench.exe --connect -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres"

Test 2 tsy misy SSL ary mampiasa SSL - ny fifampiraharahana rehetra dia atao amin'ny fifandraisana iray:

pgbench.exe -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres sslmode=require
sslrootcert=rootCA.crt sslcert=client.crt sslkey=client.key"

vs

pgbench.exe -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres"

Fikirana hafa:

scaling factor: 1
query mode: simple
number of clients: 10
number of threads: 1
number of transactions per client: 5000
number of transactions actually processed: 50000/50000

Valin'ny fitsapana:

 
TSY SSL
SSL

Ny fifandraisana dia napetraka ho an'ny fifanakalozana rehetra

antonony latency
171.915 ms
187.695 ms

tps ao anatin'izany ny fananganana fifandraisana
58.168112
53.278062

tps tsy tafiditra ny fifandraisana
64.084546
58.725846

Unité centrale
24%
28%

Ny fifampiraharahana rehetra dia atao amin'ny fifandraisana iray

antonony latency
6.722 ms
6.342 ms

tps ao anatin'izany ny fananganana fifandraisana
1587.657278
1576.792883

tps tsy tafiditra ny fifandraisana
1588.380574
1577.694766

Unité centrale
17%
21%

Amin'ny enta-mavesatra maivana, ny fiantraikan'ny SSL dia azo oharina amin'ny fahadisoana fandrefesana. Raha be dia be ny habetsaky ny angona nafindra, dia mety ho hafa ny toe-javatra. Raha mametraka fifandraisana iray isaky ny fifampiraharahana izahay (tsy fahita firy izany, matetika ny fifandraisana dia ifampizarana eo amin'ny samy mpampiasa), manana fifandraisana/fanapahana maro be ianao, mety ho lehibe kokoa ny fiantraikany. Izany hoe, mety hisy ny loza ateraky ny fihenan'ny fampisehoana, na izany aza, ny fahasamihafana dia tsy dia lehibe loatra ka tsy mampiasa fiarovana.

Mariho fa misy fahasamihafana lehibe raha ampitahainao ny fomba fiasa: miasa ao anatin'ny fotoam-pivoriana iray ianao na amin'ny fomba hafa. Azo takarina izany: lany amin'ny famoronana fifandraisana tsirairay ny loharanon-karena.

Nisy tranga iray nampifandraisanay an'i Zabbix tamin'ny fomba fitokisana, izany hoe tsy voamarina ny md5, tsy ilaina ny fanamarinana. Avy eo dia nangataka ny mpanjifa mba hamela ny fomba fanamarinana md5. Nametraka enta-mavesatra teo amin'ny CPU izany, ary nihena ny fahombiazany. Nanomboka nitady fomba hanatsarana. Ny iray amin'ireo vahaolana azo atao amin'ny olana dia ny fampiharana ny famerana amin'ny tambajotra, manaova VLAN misaraka ho an'ny DBMS, ampio fikandrana mba hanazavana hoe iza no mampifandray avy aiza ary esory ny fanamarinana. amin'ny ankapobeny dia misy fiantraikany amin'ny fahombiazana ny fampiasana fomba fanamarinana samihafa ary mitaky ny fandraisana ireo anton-javatra ireo rehefa mamolavola ny herin'ny informatika an'ny mpizara (fitaovana) ho an'ny DBMS.

Famaranana: amin'ny vahaolana maromaro, na dia ny nuances kely amin'ny fanamarinana aza dia mety hisy fiantraikany be amin'ny tetikasa ary ratsy izany rehefa mazava tsara izany rehefa ampiharina amin'ny famokarana.

Fanaraha-maso hetsika

Tsy DBMS ihany ny Audit. Ny fanaraha-maso dia momba ny fahazoana vaovao momba ny zava-mitranga amin'ny sehatra samihafa. Ity dia mety ho firewall database na ny rafitra fiasana izay misy ny DBMS.

Ao amin'ny orinasa ara-barotra DBMSs ny zava-drehetra dia tsara amin'ny fanaraha-maso, fa amin'ny loharano misokatra - tsy foana. Ity misy ny PostgreSQL:

  • log default - logging anatiny;
  • extensions: pgaudit - raha tsy ampy ho anao ny logging default dia azonao atao ny mampiasa rindrankajy misaraka hamaha olana sasany.

Fanampiny amin'ny tatitra amin'ny lahatsary:

"Ny fametahana fanambarana fototra dia azo omena amin'ny alàlan'ny trano fandraisam-peo mahazatra miaraka amin'ny log_statement = rehetra.

Ity dia azo ekena amin'ny fanaraha-maso sy ny fampiasana hafa, saingy tsy manome ny haavon'ny antsipiriany ilaina amin'ny fanaraha-maso.

Tsy ampy ny manana lisitry ny asa rehetra atao amin'ny angon-drakitra.

Tokony ho azo atao koa ny mahita fanambarana manokana izay mahaliana ny mpanadihady.

Ny logging mahazatra dia mampiseho izay nangatahan'ny mpampiasa, raha ny pgAudit kosa dia mifantoka amin'ny antsipirihan'ny zava-nitranga rehefa nanatanteraka ny fangatahana ny angon-drakitra.

Ohatra, mety te hanamarina ny mpanamarina fa nisy latabatra manokana noforonina tao anatin'ny varavarankely fikojakojana voarakitra.

Mety ho toy ny asa tsotra miaraka amin'ny fanaraha-maso fototra sy grep izany, fa ahoana kosa raha toa ka aseho amin'ny ohatra toy izao ianao (ninia nanakorontana):

ATAO$$
NANOMBOKA
ATAOVY ny 'CREATE TABLE import' || 'ant_table(id int)';
END$$;

Ny logging mahazatra dia hanome anao izao:

LOG: fanambarana: DO $$
NANOMBOKA
ATAOVY ny 'CREATE TABLE import' || 'ant_table(id int)';
END$$;

Hita fa ny fitadiavana ny latabatra mahaliana dia mety mitaky fahalalana kaody amin'ny toe-javatra misy ny famoronana latabatra.

Tsy mety izany, satria tsara kokoa ny mikaroka amin'ny anaran'ny latabatra.

Eto no misy ny pgAudit azo ampiasaina.

Ho an'ny fampidirana mitovy dia hamokatra ity vokatra ity ao amin'ny log:

AUDIT: SESION,33,1,FUNCTION,DO,,,"DO $$
NANOMBOKA
ATAOVY ny 'CREATE TABLE import' || 'ant_table(id int)';
END$$;"
AUDIT: SESION,33,2,DDL,MORONA TABLE,TABLE,public.important_table,REATE TABLE important_table (id INT)

Tsy ny sakana DO ihany no voarakitra, fa ny lahatsoratra feno amin'ny CREATE TABLE miaraka amin'ny karazana fanambarana, karazana zavatra ary anarana feno, manamora ny fikarohana.

Rehefa misoratra anarana ny fanambarana SELECT sy DML, ny pgAudit dia azo amboarina mba hampidirana fidirana manokana ho an'ny fifandraisana tsirairay voalaza ao amin'ny fanambarana.

Tsy ilaina ny famakafakana mba hahitana ny fanambarana rehetra mikasika ny latabatra iray (*) ».

Inona no fiantraikan'izany amin'ny fanatanterahana ny DBMS?

Andao hanao fitsapana miaraka amin'ny fanaraha-maso feno ary hojerentsika izay mitranga amin'ny fahombiazan'ny PostgreSQL. Aleo atao ny fandraketana angon-drakitra ambony indrindra ho an'ny masontsivana rehetra.

Saika tsy misy manova na inona na inona ao amin'ny rakitra fanamafisana, ny zava-dehibe indrindra dia ny fampandehanana ny mode debug5 mba hahazoana fampahalalana ambony indrindra.

postgresql.conf

log_destination = 'stderr'
logging_collector = on
log_truncate_on_rotation = on
log_rotation_age = 1d
log_rotation_size = 10MB
log_min_messages = debug5
log_min_error_statement = debug5
log_min_deration_statement = 0
debug_print_parse = mandeha
debug_print_rewritten = mandeha
debug_print_plan = on
debug_pretty_print = mandeha
log_checkpoints = on
log_connections = mandeha
log_disconnections = mandeha
log_duration = on
log_hostname = on
log_lock_wait = mandeha
log_replication_commands = on
log_temp_files = 0
log_timezone = 'Eropa/Moscow'

Amin'ny PostgreSQL DBMS misy masontsivana 1 CPU, 2,8 GHz, 2 GB RAM, 40 GB HDD, dia manao fitsapana entana telo izahay amin'ny fampiasana ny baiko:

$ pgbench -p 3389 -U postgres -i -s 150 benchmark
$ pgbench -p 3389 -U postgres -c 50 -j 2 -P 60 -T 600 benchmark
$ pgbench -p 3389 -U postgres -c 150 -j 2 -P 60 -T 600 benchmark

Valin'ny fitsapana:

Tsy misy logging
Miaraka amin'ny logging

Total fotoana famenoana angona
43,74 sec
53,23 sec

RAM
24%
40%

Unité centrale
72%
91%

Andrana 1 (50 fifandraisana)

Isan'ny fifanakalozana ao anatin'ny 10 minitra
74169
32445

Transactions/sec
123
54

Latency antonony
405 ms
925 ms

Test 2 (fifandraisana 150 miaraka amin'ny 100 azo atao)

Isan'ny fifanakalozana ao anatin'ny 10 minitra
81727
31429

Transactions/sec
136
52

Latency antonony
550 ms
1432 ms

Momba ny habe

Haben'ny DB
2251 MB
2262 MB

Haben'ny diarin'ny database
0 MB
4587 MB

Fehiny: tsy dia tsara loatra ny fanaraha-maso feno. Ny angona avy amin'ny fanaraha-maso dia ho lehibe toy ny angona ao amin'ny angon-drakitra mihitsy, na mihoatra. Olana mahazatra amin'ny famokarana ny habetsahan'ny logging izay vokarina rehefa miasa amin'ny DBMS.

Andeha hojerentsika ireo paramètre hafa:

  • Tsy miova firy ny hafainganam-pandeha: tsy misy logging - 43,74 segondra, miaraka amin'ny logging - 53,23 segondra.
  • Hijaly ny fahombiazan'ny RAM sy ny CPU, satria mila mamorona rakitra fanamarinana ianao. Hita ihany koa izany amin'ny famokarana.

Rehefa mitombo ny isan'ny fifandraisana, mazava ho azy, hiharatsy kely ny fampisehoana.

Ao amin'ny orinasa misy audit dia sarotra kokoa:

  • be dia be ny angona;
  • ilaina ny fanaraha-maso tsy amin'ny alalan'ny syslog ao amin'ny SIEM ihany, fa amin'ny rakitra ihany koa: raha misy zavatra mitranga amin'ny syslog, dia tsy maintsy misy rakitra akaikin'ny angon-drakitra izay voatahiry ny data;
  • talantalana mitokana no ilaina amin'ny fanaraha-maso mba tsy handany ny kapila I/O, satria maka toerana be;
  • Mitranga izany fa ny mpiasan'ny fiarovana ny fampahalalana dia mila ny fenitra GOST na aiza na aiza, mitaky ny famantarana ny fanjakana.

Famerana ny fidirana amin'ny angona

Andeha hojerentsika ireo teknolojia ampiasaina hiarovana ny angona sy hidirana amin'ny DBMS ara-barotra sy loharano misokatra.

Inona no azonao ampiasaina amin'ny ankapobeny:

  1. Encryption sy obfuscation ny procédure sy ny asa (Wrapping) - izany hoe, fitaovana sy kojakoja misaraka izay mahatonga ny code azo vakina tsy ho voavaky. Marina fa tsy azo ovaina na averina indray ilay izy. Ity fomba fiasa ity dia ilaina indraindray farafaharatsiny amin'ny lafiny DBMS - ny lojikan'ny famerana ny fahazoan-dàlana na ny lojika fanomezan-dàlana dia voarakotra tsara amin'ny dingana sy ny haavon'ny fiasa.
  2. Ny famerana ny fahitana ny angona amin'ny alalan'ny andalana (RLS) dia rehefa hitan'ny mpampiasa samihafa ny latabatra iray, fa ny firafitry ny andalana hafa ao anatiny, izany hoe, misy zavatra tsy azo aseho amin'ny olona iray amin'ny haavon'ny laharana.
  3. Ny fanovana ny angona naseho (Masking) dia rehefa hitan'ny mpampiasa ao amin'ny tsanganana iray amin'ny tabilao na angona na asterisk fotsiny, izany hoe ho an'ny mpampiasa sasany dia hikatona ny fampahalalana. Ny teknolojia no mamaritra hoe iza amin'ireo mpampiasa no aseho amin'ny alàlan'ny haavon'ny fidirana.
  4. Security DBA/Application DBA/DBA Access Control dia momba ny famerana ny fidirana amin'ny DBMS mihitsy, izany hoe, ny mpiasan'ny fiarovana ny fampahalalam-baovao dia azo sarahina amin'ny mpitantana ny angon-drakitra sy ny mpitantana ny fampiharana. Vitsy ny teknolojia toy izany amin'ny loharano misokatra, saingy betsaka amin'izy ireo amin'ny DBMS ara-barotra. Ilaina izy ireo rehefa misy mpampiasa maro afaka miditra amin'ny lohamilina.
  5. Famerana ny fidirana amin'ny rakitra eo amin'ny sehatry ny rafi-drakitra. Azonao atao ny manome zo sy tombontsoa hidirana amin'ny lahatahiry mba hahafahan'ny mpitantana tsirairay mahazo ny angona ilaina ihany.
  6. Fidirana tsy maintsy atao sy fanadiovana fahatsiarovana - zara raha ampiasaina ireo teknolojia ireo.
  7. Ny encryption mivantana avy amin'ny DBMS dia ny encryption amin'ny lafiny mpanjifa miaraka amin'ny fitantanana fototra eo amin'ny lafiny server.
  8. Fanafenana data. Ohatra, ny encryption tsanganana dia rehefa mampiasa mekanika ianao izay manidy tsanganana tokana amin'ny angon-drakitra.

Inona no fiantraikan'izany eo amin'ny fanatanterahana ny DBMS?

Andeha hojerentsika ny ohatra momba ny encryption columnar ao amin'ny PostgreSQL. Misy module pgcrypto, ahafahanao mitahiry saha voafantina amin'ny endrika miafina. Tena ilaina izany raha ny angona sasany ihany no sarobidy. Mba hamakiana ireo saha voafono, ny mpanjifa dia mandefa fanalahidin'ny decryption, ny mpizara dia mamadika ny angona ary mamerina izany amin'ny mpanjifa. Raha tsy misy ny fanalahidy dia tsy misy afaka manao na inona na inona amin'ny angonao.

Andao hizaha toetra amin'ny pgcrypto. Andao hamorona latabatra misy angon-drakitra voafehy sy angona mahazatra. Ireto ambany ireto ny baiko hamoronana latabatra, ao amin'ny andalana voalohany dia misy baiko mahasoa - mamorona ny fanitarana miaraka amin'ny fisoratana anarana DBMS:

CREATE EXTENSION pgcrypto;
CREATE TABLE t1 (id integer, text1 text, text2 text);
CREATE TABLE t2 (id integer, text1 bytea, text2 bytea);
INSERT INTO t1 (id, text1, text2)
VALUES (generate_series(1,10000000), generate_series(1,10000000)::text, generate_series(1,10000000)::text);
INSERT INTO t2 (id, text1, text2) VALUES (
generate_series(1,10000000),
encrypt(cast(generate_series(1,10000000) AS text)::bytea, 'key'::bytea, 'bf'),
encrypt(cast(generate_series(1,10000000) AS text)::bytea, 'key'::bytea, 'bf'));

Manaraka, andeha isika hanandrana hanao santionany angona avy amin'ny latabatra tsirairay ary hijery ny fotoana famonoana.

Misafidiana amin'ny latabatra tsy misy encryption:

psql -c "timing" -c "select * from t1 limit 1000;" "host=192.168.220.129 dbname=taskdb
user=postgres sslmode=disable" > 1.txt

Mandeha ny famantaranandro.

  id | text1 | lahatsoratra2
——+——-+——-
1 | 1 | 1
2 | 2 | 2
3 | 3 | 3
...
997 | 997 | 997
998 | 998 | 998
999 | 999 | 999
1000 | 1000 | 1000
(1000 andalana)

Fotoana: 1,386 ms

Fifantenana avy amin'ny latabatra misy fiasa fanafenana:

psql -c "timing" -c "select id, decrypt(text1, 'key'::bytea, 'bf'),
decrypt(text2, 'key'::bytea, 'bf') from t2 limit 1000;"
"host=192.168.220.129 dbname=taskdb user=postgres sslmode=disable" > 2.txt

Mandeha ny famantaranandro.

  id | decrypt | decrypt
——+—————+————
1 | x31 | x31
2 | x32 | x32
3 | x33 | x33
...
999 | x393939 | x393939
1000 | x31303030 | x31303030
(1000 andalana)

Fotoana: 50,203 ms

Valin'ny fitsapana:

 
Tsy misy encryption
Pgcrypto (decrypto)

Santionany 1000 andalana
1,386 ms
50,203 ms

Unité centrale
15%
35%

RAM
 
+ 5%

Misy fiantraikany lehibe amin'ny fampisehoana ny encryption. Hita fa nitombo ny fotoana, satria mitaky loharanon-karena lehibe ny fiasan'ny decryption amin'ny angon-drakitra miafina (ary matetika mbola voafono ao amin'ny lojikanao ny decryption). Izany hoe, ny hevitra hanafenana ny tsanganana rehetra misy angon-drakitra sasany dia feno fihenan'ny fampisehoana.

Na izany aza, ny encryption dia tsy bala volafotsy izay mamaha ny olana rehetra. Ny angon-drakitra voafafa sy ny fanalahidin'ny decryption mandritra ny dingan'ny famongorana sy ny fandefasana ny angona dia hita ao amin'ny server. Noho izany, ny lakile dia azon'ny olona iray manana fidirana feno amin'ny mpizara database, toy ny mpitantana ny rafitra.

Rehefa misy fanalahidy iray ho an'ny tsanganana manontolo ho an'ny mpampiasa rehetra (na dia tsy ho an'ny rehetra aza, fa ho an'ny mpanjifa amin'ny andiany voafetra), dia tsy tsara sy marina foana izany. Izany no antony nanombohan'izy ireo nanao encryption end-to-end, tao amin'ny DBMS dia nanomboka nandinika safidy ho an'ny encryption ny angon-drakitra amin'ny lafiny mpanjifa sy mpizara izy ireo, ary niseho ireo fitehirizam-boky fanalahidy mitovy ireo - vokatra misaraka izay manome fitantanana fototra amin'ny DBMS lafiny.

Security sy DBMS: inona no tokony hotadidinao rehefa mifidy fitaovana fiarovana
Ohatra iray amin'ny fanafenana toy izany ao amin'ny MongoDB

Ny fiarovana amin'ny DBMS ara-barotra sy misokatra

asa
karazana
Politikan'ny tenimiafina
Hanaraha-maso
Fiarovana ny kaody loharanon'ny fomba fiasa sy ny asa
RLS
fanafenana

Oracle
ara-barotra
+
+
+
+
+

MSSql
ara-barotra
+
+
+
+
+

Jatoba
ara-barotra
+
+
+
+
fanitarana

PostgreSQL
Free
fanitarana
fanitarana
-
+
fanitarana

MongoDb
Free
-
+
-
-
Ao amin'ny MongoDB Enterprise ihany no misy

Ny latabatra dia tsy feno, fa ny zava-misy dia izao: amin'ny vokatra ara-barotra, ny olana momba ny fiarovana dia voavaha nandritra ny fotoana ela, amin'ny loharano misokatra, amin'ny ankapobeny, misy karazana add-ons ampiasaina amin'ny fiarovana, maro ny asa tsy hita. , indraindray tsy maintsy manampy zavatra ianao. Ohatra, ny politikan'ny tenimiafina - PostgreSQL dia manana fanitarana maro samihafa (1, 2, 3, 4, 5), izay mampihatra ny politikan'ny tenimiafina, saingy, araka ny hevitro, tsy misy na iray aza amin'izy ireo mahafeno ny filan'ny orinasa ao an-toerana.

Inona no hatao raha tsy manana izay ilainao ianao na aiza na aiza? Ohatra, te hampiasa DBMS manokana ianao izay tsy manana ny asa takian'ny mpanjifa.

Avy eo ianao dia afaka mampiasa vahaolana avy amin'ny antoko fahatelo izay miasa amin'ny DBMS samihafa, ohatra, Crypto DB na Garda DB. Raha miresaka momba ny vahaolana avy amin'ny sehatra an-trano isika, dia fantatr'izy ireo tsara kokoa ny GOST noho ny loharano misokatra.

Ny safidy faharoa dia ny manoratra izay ilainao amin'ny tenanao, mampihatra ny fidirana angon-drakitra sy ny encryption amin'ny fampiharana amin'ny ambaratongan'ny fomba fiasa. Marina fa ho sarotra kokoa ny GOST. Fa amin'ny ankapobeny, azonao atao ny manafina ny angon-drakitra araka izay ilaina, mametraka azy ao amin'ny DBMS, avy eo dia alaivo izany ary decrypt azy araka izay ilaina, eo amin'ny sehatry ny fampiharana. Mandritra izany fotoana izany, eritrereto avy hatrany ny fomba hiarovanao ireo algorithms amin'ny fampiharana. Araka ny hevitray dia tokony hatao amin'ny ambaratonga DBMS izany, satria hiasa haingana kokoa.

Ity tatitra ity dia naseho voalohany tamin'ny @Databases Meetup avy amin'ny Mail.ru Cloud Solutions. Jereo видео fampisehoana hafa ary misoratra anarana amin'ny fanambarana hetsika ao amin'ny Telegram Manodidina ny Kubernetes ao amin'ny Mail.ru Group.

Inona koa no vakiana momba ny lohahevitra:

  1. Mihoatra noho ny Ceph: MCS cloud block storage.
  2. Ahoana ny fisafidianana database ho an'ny tetikasa iray mba tsy hisafidiananao indray.

Source: www.habr.com

Add a comment