ကျွန်ုပ်၏အမည်မှာ Denis Rozhkov ဖြစ်ပါသည်၊ ကျွန်ုပ်သည် ထုတ်ကုန်အဖွဲ့တွင် Gazinformservice ကုမ္ပဏီမှ ဆော့ဖ်ဝဲလ်ဖွံ့ဖြိုးတိုးတက်ရေးအကြီးအကဲဖြစ်သည်။ ယာတိုဘာ. ဥပဒေများနှင့် ကော်ပိုရိတ်စည်းမျဉ်းများသည် ဒေတာသိမ်းဆည်းမှုလုံခြုံရေးအတွက် အချို့သောလိုအပ်ချက်များကို ပြဌာန်းထားသည်။ လျှို့ဝှက်အချက်အလက်များကို ပြင်ပအဖွဲ့အစည်းများထံ မည်သူမှဝင်ရောက်ခွင့်မပေးစေလိုသောကြောင့် မည်သည့်ပရောဂျက်အတွက်မဆို အောက်ပါပြဿနာများသည် အရေးကြီးသည်- ခွဲခြားခြင်းနှင့် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း၊ ဒေတာဝင်ရောက်ခွင့်ကို စီမံခန့်ခွဲခြင်း၊ စနစ်အတွင်းရှိ အချက်အလက်များ၏ ခိုင်မာမှုရှိစေရန်၊ လုံခြုံရေးဖြစ်ရပ်များကို မှတ်တမ်းတင်ခြင်း။ ထို့ကြောင့် DBMS လုံခြုံရေးနှင့်ပတ်သက်၍ စိတ်ဝင်စားဖွယ်အချက်အချို့ကို ပြောပြလိုပါသည်။

မိန့်ခွန်းကို အခြေခံ၍ ဆောင်းပါးကို ပြင်ဆင်ခဲ့ပါသည်။ @DatabasesMeetup၊ စနစ်တကျ Mail.ru တိမ်တိုက်ဖြေရှင်းချက်. မဖတ်ချင်ရင်တော့ ကြည့်နိုင်ပါတယ်

ဆောင်းပါးတွင် အပိုင်းသုံးပိုင်းပါလိမ့်မည်-

• ချိတ်ဆက်မှုများကို မည်ကဲ့သို့ လုံခြုံစေမည်နည်း။
• လုပ်ဆောင်ချက်များ၏ စာရင်းစစ်ဟူသည် အဘယ်နည်း၊ ဒေတာဘေ့စ်ဘက်ခြမ်းတွင် ဖြစ်ပျက်နေသည်များကို မှတ်တမ်းတင်ပြီး ၎င်းနှင့်ချိတ်ဆက်ပုံ။
• ဒေတာဘေ့စ်ကိုယ်တိုင်က ဒေတာကို ဘယ်လိုကာကွယ်မလဲ၊ အဲဒါအတွက် ဘယ်လိုနည်းပညာတွေ ရနိုင်လဲ။

DBMS လုံခြုံရေး၏ အစိတ်အပိုင်းသုံးခု- ချိတ်ဆက်မှုကာကွယ်ရေး၊ လုပ်ဆောင်ချက်စစ်ဆေးမှုနှင့် ဒေတာကာကွယ်ရေး

သင်၏ချိတ်ဆက်မှုများကို လုံခြုံစေခြင်း။

ဝဘ်အက်ပလီကေးရှင်းမှတဆင့် တိုက်ရိုက် သို့မဟုတ် သွယ်ဝိုက်၍ဖြစ်စေ သင်သည် ဒေတာဘေ့စ်သို့ ချိတ်ဆက်နိုင်သည်။ စည်းကမ်းအတိုင်း၊ လုပ်ငန်းအသုံးပြုသူ၊ ဆိုလိုသည်မှာ DBMS နှင့်အလုပ်လုပ်သောလူသည် ၎င်းနှင့်သွယ်ဝိုက်သောအားဖြင့် အပြန်အလှန်ဆက်သွယ်သည်။

ချိတ်ဆက်မှုများကို ကာကွယ်ခြင်းအကြောင်း မပြောမီ၊ လုံခြုံရေးအစီအမံများ မည်သို့ဖွဲ့စည်းမည်ကို ဆုံးဖြတ်သည့် အရေးကြီးသောမေးခွန်းများကို ဖြေရန် လိုအပ်သည်-

• လုပ်ငန်းအသုံးပြုသူတစ်ဦးသည် DBMS အသုံးပြုသူတစ်ဦးနှင့် ညီမျှပါသလား။
• DBMS ဒေတာကို သင်ထိန်းချုပ်သော API မှတဆင့်သာ ပေးဆောင်ခြင်းရှိမရှိ သို့မဟုတ် ဇယားများကို တိုက်ရိုက်ဝင်ရောက်ခြင်းရှိမရှိ၊
• DBMS ကို သီးခြား ကာကွယ်ထားသော အပိုင်းသို့ ခွဲဝေချထားခြင်း ရှိ၊ မရှိ၊ ၎င်းနှင့် တုံ့ပြန်ပုံ၊
• ပေါင်းစည်းခြင်း/ပရောက်စီနှင့် အလယ်အလတ်အလွှာများကို အသုံးပြုခြင်းရှိမရှိ၊ ချိတ်ဆက်မှုတည်ဆောက်ပုံနှင့် ဒေတာဘေ့စ်ကို မည်သူအသုံးပြုနေပုံအကြောင်း အချက်အလက်များကို ပြောင်းလဲနိုင်သည်။

ယခု ချိတ်ဆက်မှုများကို လုံခြုံစေရန်အတွက် မည်သည့်ကိရိယာများကို သုံးနိုင်သည်ကို ကြည့်ကြပါစို့။

1. ဒေတာဘေ့စ် firewall အတန်းဖြေရှင်းချက်များကိုသုံးပါ။ နောက်ထပ်ကာကွယ်မှုအလွှာတစ်ခုသည် အနည်းဆုံးအားဖြင့် DBMS တွင်ဖြစ်ပျက်နေသည့်အရာများ၏ ပွင့်လင်းမြင်သာမှုကို တိုးမြင့်စေပြီး အမြင့်ဆုံးတွင် သင်သည် ထပ်ဆောင်းဒေတာကာကွယ်ရေးကို ပေးစွမ်းနိုင်မည်ဖြစ်သည်။
2. စကားဝှက်မူဝါဒများကို အသုံးပြုပါ။ ၎င်းတို့၏အသုံးပြုမှုသည် သင်၏ဗိသုကာလက်ရာတည်ဆောက်ပုံပေါ်တွင်မူတည်သည်။ မည်သို့ပင်ဆိုစေ၊ DBMS သို့ချိတ်ဆက်သော ဝဘ်အပလီကေးရှင်းတစ်ခု၏ဖွဲ့စည်းပုံဖိုင်တွင် စကားဝှက်တစ်ခုသည် အကာအကွယ်အတွက် မလုံလောက်ပါ။ အသုံးပြုသူနှင့် စကားဝှက်ကို အပ်ဒိတ်လုပ်ရန် လိုအပ်ကြောင်း ထိန်းချုပ်ရန် DBMS ကိရိယာများစွာ ရှိပါသည်။

   အသုံးပြုသူ အဆင့်သတ်မှတ်ခြင်း လုပ်ဆောင်ချက်များအကြောင်း ပိုမိုဖတ်ရှုနိုင်ပါသည်။ ဒီမှာMS SQL Vulnerability Assessmen ကိုလည်း သင်ရှာဖွေနိုင်ပါသည်။ ဒီမှာ. 

3. လိုအပ်သော အချက်အလက်များဖြင့် စက်ရှင်၏ ဆက်စပ်မှုကို ဖြည့်တင်းပါ။ အကယ်၍ session သည် opaque ဖြစ်နေပါက၊ ၎င်း၏ဘောင်အတွင်း DBMS တွင်မည်သူအလုပ်လုပ်သည်ကို သင်နားမလည်ပါက၊ သင်လုပ်ဆောင်နေသည့်လုပ်ဆောင်မှု၏ဘောင်အတွင်းတွင်၊ ဘယ်သူကဘာလုပ်သလဲ၊ ဘာကြောင့်လုပ်နေသည်နှင့်ပတ်သက်သည့်အချက်အလက်ကိုထည့်နိုင်သည်။ ဤအချက်အလက်ကို စာရင်းစစ်တွင် တွေ့မြင်နိုင်သည်။
4. သင့်တွင် DBMS နှင့် သုံးစွဲသူများအကြား ကွန်ရက်ခြားနားမှု မရှိပါက SSL ကို စီစဉ်သတ်မှတ်ပါ၊ ၎င်းသည် သီးခြား VLAN တွင် မရှိပါ။ ထိုသို့သောအခြေအနေမျိုးတွင်၊ စားသုံးသူနှင့် DBMS ကိုယ်တိုင်ကြားချန်နယ်ကို ကာကွယ်ရန် လိုအပ်ပါသည်။ လုံခြုံရေးကိရိယာများကို open source တွင်လည်း ရနိုင်သည်။

၎င်းသည် DBMS ၏စွမ်းဆောင်ရည်ကို မည်သို့အကျိုးသက်ရောက်မည်နည်း။

SSL သည် CPU load ကိုမည်သို့အကျိုးသက်ရောက်သည်၊ အချိန်ကိုတိုးမြှင့်ခြင်းနှင့် TPS လျှော့ချခြင်းနှင့်၎င်းကိုဖွင့်ပါကအရင်းအမြစ်များစွာကိုသုံးစွဲမည်ဆိုသည်ကိုကြည့်ရှုရန် PostgreSQL ၏ဥပမာကိုကြည့်ရှုကြပါစို့။

pgbench ကို အသုံးပြု၍ PostgreSQL ကို တင်ခြင်းသည် စွမ်းဆောင်ရည် စမ်းသပ်မှုများ လုပ်ဆောင်ရန်အတွက် ရိုးရှင်းသော ပရိုဂရမ်တစ်ခု ဖြစ်သည်။ ၎င်းသည် အပြိုင်ဒေတာဘေ့စ်ဆက်ရှင်များတွင် ဖြစ်နိုင်ချေရှိသော commands များ၏ sequence တစ်ခုတည်းကို ထပ်ခါတလဲလဲလုပ်ဆောင်ပြီး ပျမ်းမျှငွေပေးငွေယူနှုန်းကို တွက်ချက်သည်။

SSL မပါဘဲ 1 ကိုစမ်းသပ်ပြီး SSL ကိုအသုံးပြုပါ။ - ငွေပေးငွေယူတစ်ခုစီအတွက် ချိတ်ဆက်မှုကို သတ်မှတ်ထားသည်-

pgbench.exe --connect -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres sslmode=require 
sslrootcert=rootCA.crt sslcert=client.crt sslkey=client.key"

vs

pgbench.exe --connect -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres"

SSL မပါဘဲ 2 ကိုစမ်းသပ်ပြီး SSL ကိုအသုံးပြုပါ။ - ငွေပေးငွေယူအားလုံးကို ချိတ်ဆက်မှုတစ်ခုတည်းတွင် လုပ်ဆောင်သည်-

pgbench.exe -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres sslmode=require
sslrootcert=rootCA.crt sslcert=client.crt sslkey=client.key"

vs

pgbench.exe -c 10 -t 5000 "host=192.168.220.129 dbname=taskdb user=postgres"

အခြားဆက်တင်များ:

scaling factor: 1
query mode: simple
number of clients: 10
number of threads: 1
number of transactions per client: 5000
number of transactions actually processed: 50000/50000

စမ်းသပ်မှုရလဒ်:

 
SSL မရှိပါ။
SSL ကို

ငွေပေးငွေယူတိုင်းအတွက် ချိတ်ဆက်မှုတစ်ခု တည်ဆောက်ထားသည်။

latency ပျမ်းမျှ
171.915 ms
187.695 ms

ချိတ်ဆက်မှုများအပါအဝင် tps
58.168112
53.278062

ချိတ်ဆက်မှုများကို တည်ထောင်ခြင်းမှလွဲ၍ tps
64.084546
58.725846

စီပီယူ
24%
28%

ငွေပေးငွေယူအားလုံးကို ချိတ်ဆက်မှုတစ်ခုတည်းတွင် လုပ်ဆောင်ပါသည်။

latency ပျမ်းမျှ
6.722 ms
6.342 ms

ချိတ်ဆက်မှုများအပါအဝင် tps
1587.657278
1576.792883

ချိတ်ဆက်မှုများကို တည်ထောင်ခြင်းမှလွဲ၍ tps
1588.380574
1577.694766

စီပီယူ
17%
21%

light loads တွင်၊ SSL ၏ လွှမ်းမိုးမှုသည် တိုင်းတာမှုအမှားနှင့် နှိုင်းယှဉ်နိုင်သည်။ ဒေတာလွှဲပြောင်းမှုပမာဏ အလွန်ကြီးမားပါက၊ အခြေအနေ ကွဲပြားနိုင်သည်။ အကယ်၍ ကျွန်ုပ်တို့သည် ငွေပေးငွေယူတစ်ခုလျှင် ချိတ်ဆက်မှုတစ်ခုကို ထူထောင်ပါက (၎င်းသည် ရှားပါးသည်၊ အများအားဖြင့် အသုံးပြုသူများအကြား ချိတ်ဆက်မှုကို မျှဝေသည်) သင့်တွင် ချိတ်ဆက်မှု/ပြတ်တောက်မှု အများအပြားရှိလျှင် အကျိုးသက်ရောက်မှု အနည်းငယ်ပိုကြီးနိုင်ပါသည်။ ဆိုလိုသည်မှာ၊ စွမ်းဆောင်ရည်ကျဆင်းခြင်း၏အန္တရာယ်များ ရှိနိုင်သော်လည်း၊ အကာအကွယ်အသုံးမပြုရလောက်အောင် ကွာခြားချက်မှာ မကြီးမားပေ။

လည်ပတ်မှုမုဒ်များကို နှိုင်းယှဉ်ပါက ပြင်းထန်သော ကွာခြားချက်ရှိကြောင်း သတိပြုပါ- သင်သည် တူညီသောစက်ရှင်အတွင်း သို့မဟုတ် မတူညီသောကဏ္ဍများတွင် လုပ်ဆောင်နေပါသည်။ ၎င်းကို နားလည်နိုင်သည်- ချိတ်ဆက်မှုတစ်ခုစီကို ဖန်တီးရာတွင် အရင်းအမြစ်များကို အသုံးပြုသည်။

Zabbix ကိုယုံကြည်မှုမုဒ်တွင်ကျွန်ုပ်တို့ချိတ်ဆက်သောအခါ၊ ဆိုလိုသည်မှာ md5 ကိုစစ်ဆေးခြင်းမရှိပါ၊ အထောက်အထားစိစစ်ရန်မလိုအပ်ပါ။ ထို့နောက် သုံးစွဲသူသည် md5 စစ်မှန်ကြောင်းအထောက်အထားပြမုဒ်ကို ဖွင့်ရန် တောင်းဆိုခဲ့သည်။ ၎င်းသည် CPU ပေါ်တွင် လေးလံသောဝန်ကို ဆောင်ထားကာ စွမ်းဆောင်ရည် ကျဆင်းသွားသည်။ ကျွန်ုပ်တို့သည် အကောင်းဆုံးဖြစ်အောင် နည်းလမ်းများကို ရှာဖွေခဲ့ကြသည်။ ပြဿနာအတွက် ဖြစ်နိုင်ချေရှိသော ဖြေရှင်းနည်းများထဲမှတစ်ခုမှာ ကွန်ရက်ကန့်သတ်ချက်များကို အကောင်အထည်ဖော်ရန်၊ DBMS အတွက် သီးခြား VLAN များပြုလုပ်ရန်၊ မည်သည့်နေရာမှ ချိတ်ဆက်နေကြောင်း ရှင်းလင်းစေရန် ဆက်တင်များကို ပေါင်းထည့်ကာ အထောက်အထားစိစစ်ခြင်းကို ဖယ်ရှားရန်ဖြစ်သည်။ အထောက်အထားစိစစ်ခြင်းကို ဖွင့်သည့်အခါ ကုန်ကျစရိတ်များကို လျှော့ချရန် အထောက်အထားစိစစ်ခြင်းဆက်တင်များကို ပိုမိုကောင်းမွန်အောင်လုပ်ဆောင်နိုင်သော်လည်း၊ ယေဘူယျအားဖြင့် မတူညီသောနည်းလမ်းများကိုအသုံးပြုခြင်းသည် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းသည် စွမ်းဆောင်ရည်ကိုထိခိုက်စေပြီး DBMS အတွက်ဆာဗာများ (ဟာ့ဒ်ဝဲ) ၏ကွန်ပျူတာပါဝါကိုဒီဇိုင်းရေးဆွဲသောအခါတွင်ဤအချက်များကိုထည့်သွင်းစဉ်းစားရန်လိုအပ်ပါသည်။

နိဂုံးချုပ်- ဖြေရှင်းချက်အများအပြားတွင်၊ အထောက်အထားစိစစ်ခြင်းတွင် သေးငယ်သော ကွဲလွဲချက်များသည် ပရောဂျက်ကို ကြီးကြီးမားမား ထိခိုက်စေနိုင်ပြီး ထုတ်လုပ်ရေးတွင် အကောင်အထည်ဖော်သည့်အခါမှသာ ၎င်းသည် ရှင်းလင်းလာသောအခါတွင် ဆိုးရွားပါသည်။

အက်စစ်ချက်

စာရင်းစစ်သည် DBMS တစ်ခုတည်းသာမဟုတ်နိုင်ပါ။ စာရင်းစစ်သည် မတူညီသော အပိုင်းများတွင် ဖြစ်ပျက်နေသည့် အချက်အလက်များကို ရယူခြင်းအကြောင်းဖြစ်သည်။ ၎င်းသည် ဒေတာဘေ့စ်ဖိုင်းဝေါလ် သို့မဟုတ် DBMS တည်ဆောက်ထားသည့် လည်ပတ်မှုစနစ် ဖြစ်နိုင်သည်။

စီးပွားဖြစ်လုပ်ငန်းအဆင့် DBMSs တွင်စာရင်းစစ်ခြင်းနှင့်အရာအားလုံးအဆင်ပြေသော်လည်း open source တွင် - အမြဲတမ်းမဟုတ်ပါ။ ဤသည်မှာ PostgreSQL တွင်ရှိသည်-

• မူရင်းမှတ်တမ်း - built-in မှတ်တမ်း;
• တိုးချဲ့မှုများ- pgaudit - ပုံသေမှတ်တမ်းသည် သင့်အတွက် မလုံလောက်ပါက၊ ပြဿနာအချို့ကို ဖြေရှင်းပေးသည့် သီးခြားဆက်တင်များကို သင်အသုံးပြုနိုင်ပါသည်။

ဗီဒီယိုတွင် အစီရင်ခံစာပါ ထပ်လောင်း-

"အခြေခံထုတ်ပြန်ချက်မှတ်တမ်းကို log_statement = အားလုံးဖြင့် စံသစ်ထုတ်သည့်နေရာမှ ပံ့ပိုးပေးနိုင်ပါသည်။

၎င်းကို စောင့်ကြည့်ခြင်းနှင့် အခြားအသုံးပြုမှုများအတွက် လက်ခံနိုင်သော်လည်း စာရင်းစစ်အတွက် ပုံမှန်လိုအပ်သော အသေးစိတ်အဆင့်ကို မပေးဆောင်ပါ။

ဒေတာဘေ့စ်ပေါ်တွင် လုပ်ဆောင်ခဲ့သော လုပ်ဆောင်ချက်အားလုံးစာရင်းရှိရန် မလုံလောက်ပါ။

စာရင်းစစ်ကို စိတ်ဝင်စားသည့် သီးခြားထုတ်ပြန်ချက်များကိုလည်း ရှာဖွေနိုင်သင့်သည်။

Standard logging သည် အသုံးပြုသူတောင်းဆိုထားသည်ကိုပြသသည်၊ pgAudit သည် ဒေတာဘေ့စ်မှမေးမြန်းချက်ကိုလုပ်ဆောင်သောအခါဖြစ်ပျက်ခဲ့သည့်အသေးစိတ်အချက်အလက်များကိုအာရုံစိုက်နေချိန်တွင်ဖြစ်သည်။

ဥပမာအားဖြင့်၊ စာရင်းစစ်သည် မှတ်တမ်းပြုစုထားသော ပြုပြင်ထိန်းသိမ်းမှုဝင်းဒိုးအတွင်း သီးခြားဇယားတစ်ခုကို ဖန်တီးထားကြောင်း အတည်ပြုလိုပေမည်။

၎င်းသည် အခြေခံစာရင်းစစ်ခြင်းနှင့် grep ပါသော ရိုးရှင်းသောအလုပ်တစ်ခုဟု ထင်ရသော်လည်း သင်သည် ဤကဲ့သို့သော (ရည်ရွယ်ချက်ရှိရှိ ရှုပ်ထွေးစေသော) ဥပမာတစ်ခုဖြင့် တင်ပြခဲ့လျှင် အဘယ်နည်း။

လုပ်ပါ$$
အစ
'CREATE TABLE တင်သွင်းခြင်း' ကို လုပ်ဆောင်ပါ || 'ant_table(id int)';
END$$;

စံချိန်စံညွှန်းမှတ်တမ်းသည် သင့်အား ဤအရာကိုပေးလိမ့်မည်-

လော့ဂ်- ထုတ်ပြန်ချက်- လုပ်ပါ $$
အစ
'CREATE TABLE တင်သွင်းခြင်း' ကို လုပ်ဆောင်ပါ || 'ant_table(id int)';
END$$;

စိတ်ပါဝင်စားသောဇယားကိုရှာဖွေခြင်းသည် ဇယားများကို ဒိုင်းနမစ်နည်းဖြင့်ဖန်တီးသည့်ကိစ္စများတွင် ကုဒ်အသိပညာအချို့လိုအပ်နိုင်သည် ။

ဇယားအမည်ဖြင့် ရှာဖွေခြင်းသည် ပိုကောင်းသောကြောင့် ၎င်းသည် စံပြမဟုတ်ပေ။

ဤနေရာ၌ pgAudit သည် အဆင်ပြေသည်။

တူညီသောထည့်သွင်းမှုအတွက်၊ ၎င်းသည် မှတ်တမ်းတွင် ဤ output ကိုထုတ်ပေးလိမ့်မည်-

စာရင်းစစ်- Session၊33,1၊XNUMX၊FUNCTION၊DO၊၊"DO$$
အစ
'CREATE TABLE တင်သွင်းခြင်း' ကို လုပ်ဆောင်ပါ || 'ant_table(id int)';
END$$;"
စာရင်းစစ်- SESSION၊ 33,2၊XNUMX၊ DDL၊ CREATE TABLE၊ TABLE၊public.important_table၊ CREATE TABLE အရေးကြီးသော_table (id INT)

DO ဘလောက်ကို မှတ်သားထားရုံသာမက CREATE TABLE ၏ စာသားအပြည့်အစုံပါရှိသောကြောင့် ရှာဖွေရလွယ်ကူစေပါသည်။

SELECT နှင့် DML ထုတ်ပြန်ချက်များကို လော့ဂ်အင်လုပ်သောအခါ၊ pgAudit သည် ထုတ်ပြန်ချက်တွင်ဖော်ပြထားသော ဆက်စပ်မှုတစ်ခုစီအတွက် သီးခြားထည့်သွင်းမှုတစ်ခုကို မှတ်တမ်းတင်ရန် configure လုပ်နိုင်သည်။

သီးခြားဇယားတစ်ခုနှင့်ထိသောဖော်ပြချက်အားလုံးကိုရှာဖွေရန် ခွဲခြမ်းစိတ်ဖြာရန်မလိုအပ်ပါ(*) »။

၎င်းသည် DBMS ၏စွမ်းဆောင်ရည်ကို မည်သို့အကျိုးသက်ရောက်မည်နည်း။

စစ်ဆေးမှုအပြည့်အစုံဖြင့် စမ်းသပ်မှုများကို လုပ်ဆောင်ပြီး PostgreSQL စွမ်းဆောင်ရည်တွင် ဘာဖြစ်မည်ကို ကြည့်ရှုကြပါစို့။ ကန့်သတ်ချက်အားလုံးအတွက် အများဆုံးဒေတာဘေ့စ်မှတ်တမ်းကို ဖွင့်ကြပါစို့။

ကျွန်ုပ်တို့သည် configuration file တွင်ဘာမျှနီးပါးမပြောင်းလဲပါ၊ အရေးကြီးဆုံးအချက်မှာ အများဆုံးအချက်အလက်များရရှိရန် debug5 မုဒ်ကိုဖွင့်ရန်ဖြစ်သည်။

postgresql.conf

log_destination = 'stderr'
logging_collector = ဖွင့်ထားသည်။
log_truncate_on_rotation = ဖွင့်သည်။
log_rotation_age = 1d
log_rotation_size = 10MB
log_min_messages = အမှားရှာပြင်ခြင်း ၅
log_min_error_statement = အမှားရှာပြင်ခြင်း ၅
log_min_duration_statement = 0
debug_print_parse = ဖွင့်ထားသည်။
debug_print_rewritten = ဖွင့်ထားသည်။
debug_print_plan = ဖွင့်ထားသည်။
debug_pretty_print = ဖွင့်ထားသည်။
log_checkpoints = ဖွင့်ထားသည်။
log_connections = ဖွင့်ထားသည်။
log_disconnections = ဖွင့်သည်။
log_duration = ဖွင့်သည်။
log_hostname = on
log_lock_wait = ဖွင့်သည်။
log_replication_commands = ဖွင့်သည်။
log_temp_files = 0
log_timezone = 'ဥရောပ/မော်စကို'

1 CPU၊ 2,8 GHz၊ 2 GB RAM၊ 40 GB HDD ပါရာမီတာများပါရှိသော PostgreSQL DBMS တွင်၊ ကျွန်ုပ်တို့သည် command များကိုအသုံးပြု၍ load test သုံးခုပြုလုပ်သည်-

$ pgbench -p 3389 -U postgres -i -s 150 benchmark
$ pgbench -p 3389 -U postgres -c 50 -j 2 -P 60 -T 600 benchmark
$ pgbench -p 3389 -U postgres -c 150 -j 2 -P 60 -T 600 benchmark

စမ်းသပ်မှုရလဒ်များ

သစ်ခုတ်ခြင်း မရှိပါ။
သစ်ခုတ်ခြင်းနှင့်

စုစုပေါင်းဒေတာဘေ့စဖြည့်ချိန်
43,74 စက္ကန့်
53,23 စက္ကန့်

RAM ကို
24%
40%

စီပီယူ
72%
91%

စမ်းသပ်မှု 1 (ချိတ်ဆက်မှု 50)

10 မိနစ်အတွင်း ငွေပေးငွေယူ အရေအတွက်
74169
32445

ငွေပေးငွေယူများ/စက္ကန့်
123
54

ပျမ်းမျှ Latency
405 ms
925 ms

စမ်းသပ်မှု 2 (ဖြစ်နိုင်ချေ 150 နှင့် ချိတ်ဆက်မှု 100)

10 မိနစ်အတွင်း ငွေပေးငွေယူ အရေအတွက်
81727
31429

ငွေပေးငွေယူများ/စက္ကန့်
136
52

ပျမ်းမျှ Latency
550 ms
1432 ms

အရွယ်အစားများအကြောင်း

DB အရွယ်အစား
၉ MB
၉ MB

ဒေတာဘေ့စ်မှတ်တမ်းအရွယ်အစား
0 ကို MB
4587 ကို MB

အောက်ခြေလိုင်း- စာရင်းစစ် အပြည့်အစုံက သိပ်မကောင်းဘူး။ စာရင်းစစ်မှ ဒေတာသည် ဒေတာဘေ့စ်ကိုယ်တိုင်ရှိ ဒေတာများကဲ့သို့ ကြီးမားလိမ့်မည်၊ သို့မဟုတ် ထိုထက်ပို၍ပင် ကြီးမားမည်ဖြစ်သည်။ DBMS နှင့် အလုပ်လုပ်သောအခါ ထုတ်ပေးသည့် ပမာဏသည် ထုတ်လုပ်မှုတွင် ဖြစ်ရိုးဖြစ်စဉ်တစ်ခုဖြစ်သည်။

အခြား parameters တွေကို ကြည့်ရအောင်။

• အမြန်နှုန်းသည် များစွာမပြောင်းလဲပါ- မှတ်တမ်းမတင်ဘဲ - 43,74 စက္ကန့်၊ မှတ်တမ်းရယူခြင်း - 53,23 စက္ကန့်။
• စာရင်းစစ်ဖိုင်တစ်ခုထုတ်လုပ်ရန်လိုအပ်သောကြောင့် RAM နှင့် CPU စွမ်းဆောင်ရည်သည် ဒုက္ခရောက်လိမ့်မည်။ ဒါဟာ ကုန်ထုတ်စွမ်းအားပိုင်းမှာလည်း သိသာထင်ရှားပါတယ်။

ချိတ်ဆက်မှု အရေအတွက် တိုးလာသည်နှင့်အမျှ၊ သဘာဝအားဖြင့်၊ စွမ်းဆောင်ရည် အနည်းငယ် ဆိုးရွားသွားပါမည်။

စာရင်းစစ်နှင့်အတူ ကော်ပိုရေးရှင်းများတွင် ပို၍ပင်ခက်ခဲသည်-

• ဒေတာအများကြီးရှိပါတယ်;
• စာရင်းစစ်သည် SIEM ရှိ syslog မှတဆင့်သာမက ဖိုင်များတွင်ပါ လိုအပ်သည်- syslog တွင် တစ်ခုခုဖြစ်သွားပါက၊ ဒေတာသိမ်းဆည်းထားသည့် ဒေတာဘေ့စ်နှင့် နီးစပ်သော ဖိုင်တစ်ခုရှိရပါမည်။
• စာရင်းစစ်အတွက်၊ နေရာအများကြီးယူတဲ့အတွက် I/O disk တွေပေါ်မှာ မဖြုန်းတီးမိအောင် သီးခြားစင်တစ်ခုလိုတယ်။
• သတင်းအချက်အလက်လုံခြုံရေး၀န်ထမ်းများသည် နေရာတိုင်းတွင် GOST စံနှုန်းများ လိုအပ်ပြီး ၎င်းတို့သည် နိုင်ငံတော် ခွဲခြားသတ်မှတ်ရန် လိုအပ်ပါသည်။

ဒေတာအသုံးပြုခွင့်ကို ကန့်သတ်ခြင်း။

ဒေတာများကို ကာကွယ်ရန်နှင့် စီးပွားဖြစ် DBMS များနှင့် open source များတွင် ဝင်ရောက်ကြည့်ရှုရန် အသုံးပြုသည့် နည်းပညာများကို ကြည့်ကြပါစို့။

ယေဘူယျအားဖြင့် ဘာကိုသုံးနိုင်သလဲ-

1. လုပ်ထုံးလုပ်နည်းများနှင့် လုပ်ဆောင်ချက်များကို ကုဒ်ဝှက်ခြင်းနှင့် ရှုပ်ယှက်ခတ်ခြင်း (Wrapping) - ဆိုလိုသည်မှာ ဖတ်နိုင်သောကုဒ်ကို ဖတ်၍မရဖြစ်စေသော သီးခြားကိရိယာများနှင့် အသုံးဝင်မှုများ။ မှန်ပါသည်၊ သို့ဆိုလျှင် ၎င်းကို ပြောင်းလဲ၍ မရနိုင်သလို ပြန်လည်ပြုပြင်၍ မရနိုင်ပါ။ ဤချဉ်းကပ်နည်းသည် တစ်ခါတစ်ရံတွင် DBMS ဘက်တွင် အနည်းဆုံး လိုအပ်သည် - လိုင်စင်ကန့်သတ်ချက်များ သို့မဟုတ် ခွင့်ပြုချက်ဆိုင်ရာ ယုတ္တိယုတ္တိကို လုပ်ထုံးလုပ်နည်းနှင့် လုပ်ဆောင်မှုအဆင့်တွင် အတိအကျ ကုဒ်ဝှက်ထားသည်။
2. အတန်းအလိုက် ဒေတာမြင်နိုင်မှုကို ကန့်သတ်ခြင်း (RLS) သည် မတူညီသောအသုံးပြုသူများသည် ဇယားတစ်ခုအား မြင်သောအခါတွင်၊ သို့သော် ၎င်းတွင်ရှိသော အတန်းများ၏ မတူညီသောဖွဲ့စည်းမှုတစ်ခုဖြစ်သည့် အတန်းအဆင့်ရှိတစ်စုံတစ်ဦးအား တစ်စုံတစ်ခုအား ပြသ၍မရပါ။
3. ဖော်ပြထားသည့်ဒေတာကို တည်းဖြတ်ခြင်း (Masking) သည် ဇယား၏ကော်လံတစ်ခုရှိအသုံးပြုသူများသည် ဒေတာ သို့မဟုတ် ကြယ်ပွင့်များကိုသာမြင်ရသောအခါ၊ ဆိုလိုသည်မှာ အချို့သောအသုံးပြုသူများအတွက် အချက်အလက်များကို ပိတ်သွားမည်ဖြစ်သည်။ နည်းပညာသည် အသုံးပြုသူ၏ဝင်ရောက်ခွင့်အဆင့်ပေါ်မူတည်၍ မည်သည့်အရာကိုပြသသည်ကို ဆုံးဖြတ်သည်။
4. လုံခြုံရေး DBA/Application DBA/DBA access control သည် DBMS ကိုယ်တိုင်ဝင်ရောက်ခွင့်ကို ကန့်သတ်ခြင်းဖြစ်ပြီး၊ ဆိုလိုသည်မှာ အချက်အလက်များ လုံခြုံရေးဝန်ထမ်းများသည် ဒေတာဘေ့စ်စီမံခန့်ခွဲသူများနှင့် အပလီကေးရှင်းစီမံခန့်ခွဲသူများနှင့် ခွဲခြားနိုင်သည်။ open source တွင် ထိုသို့သောနည်းပညာအနည်းငယ်သာရှိသော်လည်း စီးပွားဖြစ် DBMS များတွင် ၎င်းတို့များစွာရှိသည်။ ဆာဗာများကိုယ်တိုင်ဝင်ရောက်အသုံးပြုသူများစွာရှိသောအခါ ၎င်းတို့လိုအပ်ပါသည်။
5. ဖိုင်စနစ်အဆင့်တွင် ဖိုင်များဝင်ရောက်ခွင့်ကို ကန့်သတ်ထားသည်။ စီမံခန့်ခွဲသူတစ်ဦးစီသည် လိုအပ်သောဒေတာများကိုသာ ဝင်ရောက်ကြည့်ရှုနိုင်စေရန်အတွက် လမ်းညွှန်ချက်များကို အခွင့်အရေးများနှင့် အခွင့်ထူးများ ရယူနိုင်ပါသည်။
6. မဖြစ်မနေဝင်ရောက်ခွင့်နှင့် မှတ်ဉာဏ်ရှင်းလင်းခြင်း - ဤနည်းပညာများကို အသုံးပြုခဲပါသည်။
7. DBMS မှ တိုက်ရိုက် အဆုံးထိ ကုဒ်ဝှက်ခြင်း သည် ဆာဗာဘက်ခြမ်းရှိ သော့စီမံခန့်ခွဲမှုဖြင့် client-side encryption ဖြစ်သည်။
8. ဒေတာ ကုဒ်ဝှက်ခြင်း ဥပမာအားဖြင့်၊ columnar encryption သည် database ၏ ကော်လံတစ်ခုတည်းကို encrypt လုပ်သည့် ယန္တရားတစ်ခုကို သင်အသုံးပြုသောအခါဖြစ်သည်။

၎င်းသည် DBMS ၏စွမ်းဆောင်ရည်ကို မည်သို့အကျိုးသက်ရောက်သနည်း။

PostgreSQL တွင် columnar encryption ၏ ဥပမာကို ကြည့်ကြပါစို့။ pgcrypto module တစ်ခုပါရှိသည်၊ ၎င်းသည်သင်ရွေးချယ်ထားသောအကွက်များကို ကုဒ်ဝှက်ထားသောပုံစံဖြင့် သိမ်းဆည်းနိုင်စေပါသည်။ ဒေတာအချို့သာ တန်ဖိုးရှိသည့်အခါ ၎င်းသည် အသုံးဝင်သည်။ ကုဒ်ဝှက်ထားသော အကွက်များကို ဖတ်ရန်၊ ကလိုင်းယင့်သည် ကုဒ်ဝှက်ခြင်းသော့ကို ပေးပို့သည်၊ ဆာဗာသည် ဒေတာကို ကုဒ်ဝှက်ပြီး ၎င်းကို သုံးစွဲသူထံ ပြန်ပေးသည်။ သော့မပါဘဲ၊ သင့်ဒေတာကို မည်သူမျှ မလုပ်နိုင်ပါ။

pgcrypto နဲ့ စမ်းသပ်ကြည့်ရအောင်. ကုဒ်ဝှက်ထားသောဒေတာနှင့် ပုံမှန်ဒေတာပါသော ဇယားတစ်ခုကို ဖန်တီးကြပါစို့။ ဇယားများဖန်တီးရန်အတွက် အောက်တွင်ဖော်ပြထားသော ညွှန်ကြားချက်များမှာ ပထမစာကြောင်းတွင် အသုံးဝင်သော command တစ်ခုပါရှိသည် - DBMS မှတ်ပုံတင်ခြင်းဖြင့် extension ကို ကိုယ်တိုင်ဖန်တီးခြင်းဖြစ်သည်-

CREATE EXTENSION pgcrypto;
CREATE TABLE t1 (id integer, text1 text, text2 text);
CREATE TABLE t2 (id integer, text1 bytea, text2 bytea);
INSERT INTO t1 (id, text1, text2)
VALUES (generate_series(1,10000000), generate_series(1,10000000)::text, generate_series(1,10000000)::text);
INSERT INTO t2 (id, text1, text2) VALUES (
generate_series(1,10000000),
encrypt(cast(generate_series(1,10000000) AS text)::bytea, 'key'::bytea, 'bf'),
encrypt(cast(generate_series(1,10000000) AS text)::bytea, 'key'::bytea, 'bf'));

ထို့နောက်၊ ဇယားတစ်ခုစီမှဒေတာနမူနာတစ်ခုပြုလုပ်ပြီး အကောင်အထည်ဖော်ချိန်များကိုကြည့်ကြပါစို့။

ကုဒ်ဝှက်ခြင်းလုပ်ဆောင်ချက်မပါဘဲ ဇယားတစ်ခုမှ ရွေးချယ်ခြင်း။:

psql -c "timing" -c "select * from t1 limit 1000;" "host=192.168.220.129 dbname=taskdb
user=postgres sslmode=disable" > 1.txt

အချိန်မှတ်နာရီကို ဖွင့်ထားသည်။

  id | text1 | စာသား၂
—+——-+——-
၁ | ၁ | ၁
၁ | ၁ | ၁
၁ | ၁ | ၁
...
997 | 997 | ၉၉၇
998 | 998 | ၉၉၇
999 | 999 | ၉၉၇
1000 | 1000 | ၁၀၀၀
လိုင်း (၁၀၀၀)၊

အချိန်- 1,386 ms

ကုဒ်ဝှက်ခြင်းလုပ်ဆောင်ချက်ပါရှိသော ဇယားမှ ရွေးချယ်မှု-

psql -c "timing" -c "select id, decrypt(text1, 'key'::bytea, 'bf'),
decrypt(text2, 'key'::bytea, 'bf') from t2 limit 1000;"
"host=192.168.220.129 dbname=taskdb user=postgres sslmode=disable" > 2.txt

အချိန်မှတ်နာရီကို ဖွင့်ထားသည်။

  id | စာဝှက် | စာဝှက်
—+——————+————
၁ | x1 | x၃၁
၁ | x2 | x၃၁
3 | x33 | x၃၃
...
၁ | x999 | x၃၁
1000 | x31303030 | x၃၃
လိုင်း (၁၀၀၀)၊

အချိန်- 50,203 ms

စမ်းသပ်မှုရလဒ်:

 
ကုဒ်ဝှက်ခြင်းမရှိဘဲ
Pgcrypto (ကုဒ်ဝှက်)

နမူနာ အတန်း ၁၀၀၀
1,386 ms
50,203 ms

စီပီယူ
15%
35%

RAM ကို
 
+ 5%

ကုဒ်ဝှက်ခြင်းသည် စွမ်းဆောင်ရည်အပေါ် ကြီးမားသော သက်ရောက်မှုရှိသည်။ ကုဒ်ဝှက်ထားသောဒေတာ၏ ကုဒ်ဝှက်ခြင်းလုပ်ဆောင်မှုများ (ပုံမှန်အားဖြင့် သင့်ယုတ္တိဗေဒတွင် ရစ်ပတ်ထားဆဲဖြစ်သည်) ဖြစ်သောကြောင့် အချိန်ကိုက်တိုးလာသည်ကို တွေ့မြင်နိုင်သည်။ ဆိုလိုသည်မှာ၊ အချို့သောဒေတာပါ ၀ င်သောကော်လံများအားလုံးကို encrypt လုပ်ခြင်း၏စိတ်ကူးသည်စွမ်းဆောင်ရည်ကျဆင်းခြင်းနှင့်အတူအပြည့်အ ၀ ဖြစ်သည်။

သို့သော်၊ ကုဒ်ဝှက်ခြင်းသည် ပြဿနာအားလုံးကို ဖြေရှင်းပေးသည့် ငွေရောင်ကျည်ဆန်တစ်ခုမဟုတ်ပါ။ ကုဒ်ဝှက်ထားသော ဒေတာနှင့် အချက်အလက်ကို ကုဒ်ဝှက်ခြင်းနှင့် ပို့လွှတ်ခြင်း လုပ်ငန်းစဉ်အတွင်း ဆာဗာပေါ်တွင် တည်ရှိသည်။ ထို့ကြောင့်၊ စနစ်စီမံခန့်ခွဲသူကဲ့သို့ ဒေတာဘေ့စ်ဆာဗာသို့ အပြည့်အဝဝင်ရောက်ခွင့်ရှိသူက သော့များကို ကြားဖြတ်နိုင်သည်။

အသုံးပြုသူအားလုံးအတွက် ကော်လံတစ်ခုလုံးအတွက် သော့တစ်ခုရှိသောအခါ (အားလုံးအတွက်မဟုတ်သော်လည်း အကန့်အသတ်တစ်ခု၏ သုံးစွဲသူများအတွက်)၊ ၎င်းသည် အမြဲတမ်းကောင်းမွန်ပြီး မှန်ကန်မည်မဟုတ်ပါ။ ထို့ကြောင့် ၎င်းတို့သည် အဆုံးမှ အဆုံးထိ ကုဒ်ဝှက်စနစ်ကို စတင်လုပ်ဆောင်ခဲ့ပြီး DBMS တွင် client နှင့် server ဘက်တွင် ဒေတာစာဝှက်ခြင်းအတွက် ရွေးချယ်စရာများကို စတင်စဉ်းစားခဲ့ပြီး ထိုတူညီသော key-vault သိုလှောင်မှုများ ပေါ်လာသည် - DBMS တွင် သော့စီမံခန့်ခွဲမှုကို ပံ့ပိုးပေးသည့် သီးခြားထုတ်ကုန်များ ဖွတ်။

MongoDB တွင် ထိုသို့သော စာဝှက်စနစ်၏ ဥပမာ

ကုန်သွယ်မှုနှင့် ပွင့်လင်းရင်းမြစ် DBMS တွင် လုံခြုံရေးအင်္ဂါရပ်များ

လုပ်ငန်းဆောင်တာ
ပုံစံ
စကားဝှက်မူဝါဒ
ငှေစာရငျးစစျဆေး
လုပ်ထုံးလုပ်နည်းများနှင့် လုပ်ဆောင်ချက်များ၏ အရင်းအမြစ်ကုဒ်ကို ကာကွယ်ခြင်း။
RLS
encryption

Oracle က
စီးပွားဖြစ်
+
+
+
+
+

MsSql
စီးပွားဖြစ်
+
+
+
+
+

ယာတိုဘာ
စီးပွားဖြစ်
+
+
+
+
extensions တွေကို

PostgreSQL
အခမဲ့
extensions တွေကို
extensions တွေကို
-
+
extensions တွေကို

MongoDb
အခမဲ့
-
+
-
-
MongoDB Enterprise တွင်သာ ရနိုင်သည်။

ဇယားသည် ပြီးပြည့်စုံရန် ဝေးသော်လည်း အခြေအနေမှာ ဤသို့ဖြစ်သည်- စီးပွားရေးထုတ်ကုန်များတွင် လုံခြုံရေးပြဿနာများကို အချိန်အတော်ကြာအောင် ဖြေရှင်းထားပြီး၊ open source တွင် စည်းကမ်းအတိုင်း၊ အချို့သော add-ons များကို လုံခြုံရေးအတွက် အသုံးပြုသည်၊ လုပ်ဆောင်ချက်များစွာ ပျောက်ဆုံးနေပါသည်။ တခါတရံမှာ တစ်ခုခုထည့်ရမယ်။ ဥပမာအားဖြင့်၊ စကားဝှက်မူဝါဒများ - PostgreSQL တွင် မတူညီသော တိုးချဲ့မှုများ များစွာရှိသည် (1, 2, 3, 4, 5စကားဝှက်မူဝါဒများကိုအကောင်အထည်ဖော်သည့်) ၊ သို့သော်ကျွန်ုပ်၏အမြင်အရ၊ ၎င်းတို့အနက်မှတစ်ခုမှပြည်တွင်းကော်ပိုရိတ်အပိုင်း၏လိုအပ်ချက်အားလုံးကိုမလွှမ်းခြုံပါ။

ဘယ်နေရာမှာမှ လိုအပ်တာမရှိရင် ဘာလုပ်မလဲ။? ဥပမာအားဖြင့်၊ သင်သည် ဖောက်သည်လိုအပ်သည့် လုပ်ဆောင်ချက်များမပါသော သီးခြား DBMS ကို သင်အသုံးပြုလိုသည်။

ထို့နောက် သင်သည် မတူညီသော DBMSs များနှင့် အလုပ်လုပ်သော ပြင်ပအဖွဲ့အစည်းဖြေရှင်းချက်များအား ဥပမာအားဖြင့် Crypto DB သို့မဟုတ် Garda DB ကို အသုံးပြုနိုင်သည်။ ကျွန်ုပ်တို့သည် ပြည်တွင်း အပိုင်းမှ ဖြေရှင်းချက်များအကြောင်း ပြောပါက၊ ၎င်းတို့သည် open source ထက် GOSTs အကြောင်း ပိုကောင်းသည်။

ဒုတိယရွေးချယ်မှုမှာ သင်ကိုယ်တိုင် လိုအပ်သည်များကို ရေးရန်၊ လုပ်ငန်းစဉ်အဆင့်တွင် အပလီကေးရှင်းတွင် ဒေတာဝင်ရောက်ခွင့်နှင့် ကုဒ်ဝှက်ခြင်းကို အကောင်အထည်ဖော်ရန်ဖြစ်သည်။ မှန်ပါတယ်၊ GOST နဲ့ဆို ပိုခက်လိမ့်မယ်။ သို့သော် ယေဘူယျအားဖြင့်၊ သင်သည် လိုအပ်သလို ဒေတာကို ဝှက်ထားနိုင်ပြီး DBMS တွင် ထားကာ ၎င်းကို ပြန်လည်ရယူကာ လိုအပ်သလို စာဝှက်ကာ အက်ပ်အဆင့်တွင် ချက်ချင်း လုပ်ဆောင်နိုင်သည်။ တစ်ချိန်တည်းမှာပင်၊ အပလီကေးရှင်းတွင် ဤ algorithms များကို သင်မည်သို့ကာကွယ်မည်ကို ချက်ချင်းစဉ်းစားပါ။ ကျွန်ုပ်တို့၏အမြင်အရ၊ ၎င်းသည် DBMS အဆင့်တွင်လုပ်ဆောင်သင့်သည်၊ ၎င်းသည်ပိုမိုမြန်ဆန်စွာအလုပ်လုပ်နိုင်သောကြောင့်ဖြစ်သည်။

ဒီအစီရင်ခံစာကို ပထမဆုံး တင်ပြခဲ့တာ ဖြစ်ပါတယ်။ @Databases တွေ့ဆုံမှု Mail.ru Cloud Solutions မှ ကြည့်လိုက် видео အခြားသော ဖျော်ဖြေပွဲများနှင့် Telegram တွင် အစီအစဉ်ကြေငြာချက်များကို စာရင်းသွင်းပါ။ Mail.ru Group ရှိ Kubernetes ဝန်းကျင်.

နောက်ထပ် ဘာအကြောင်းအရာတွေ ဆက်ဖတ်ရမလဲ:

1. Ceph ထက်ပို- Cloud Block Storage MCS.
2. ပရောဂျက်တစ်ခုအတွက် ဒေတာဘေ့စ်တစ်ခုကို ဘယ်လိုရွေးချယ်ရမလဲဆိုတာ ထပ်ရွေးချယ်စရာ မလိုတော့ပါဘူး။.

source: www.habr.com