Loxmatiymamont Jan 23 at 11:52

Как в СУБД реализовать администратора без прав доступа к данным

Medium

9 min

Postgres Professional corporate blogSystem administration*PostgreSQL*Database Administration*

+18

Comments 12

VVitaly Jan 23 at 12:52

Работа проделана большая... А потом "приходит" root OS пользователь, и ....
Делает dump процесса или области памяти процесса в файл...
Тема безопасности данных большая...
А еще в OS есть пользователи c sudo привилегиями, а еще есть эксплоиты для повышения привилегий... и т.д. и т.п....

Loxmatiymamont Jan 23 at 13:00

А ещё можно взять паяльник и пойти знакомиться с пользователем лично =) Защититься от всего, особенно со стороны одного решения, невозможно в принципе.

P.S. На самом деле многие сертификационные требования довольно здравые и люди их писавшие далеко не дураки. Например, от дампа памяти отлично помогает принудительная её очистка после каждой транзакции (да, бывает там и такое).

VVitaly Jan 23 at 15:51

:-) Люди их писавшие далеко не дураки (раз им позволили диктовать другим что им делать), но вот в работе компьютеров они явно не специалисты....
Паяльник же (как и утюг) хорошо вразумляет крипто энтузиастов, уверенных в сохранности и безопасности своих средств... :-)

maximvf Jan 24 at 09:22

АБД тоже может поступить грубо: исследовать резервную копию, даже зашифрованную вне СУБД (если, конечно, хранилище ключей не усилено вторым-третьим факторами).

Авторы Database Vault не имели задачи повторить Oracle Label Security или программно-аппаратные связки производителей ОС и железа. У ODV защита вообще отключаемая по согласию АБД и пользователя-владельца инсталляции в ОС. Это "первая линия" защиты, доступная и с минимальными издержками.

BigD Jan 23 at 21:10

Помимо разграничения, важно ещё нестираемое детальное логирование.

nin-jin Jan 24 at 21:07

Не рассматривали вариант с е2е шифрованием? Тогда бд воообще слива не боялась бы.

Loxmatiymamont Jan 29 at 14:57

Проблема не в сливе бд, как таковой, а в том что люди допущенные до управления бд могут получать доступ до хранящейся там информации. Это разные вещи.

nin-jin Jan 29 at 20:39

люди допущенные до управления бд могут получать доступ до хранящейся там информации

... и слить бд.

Это один и тот же "неавторизованный доступ".

Loxmatiymamont Jan 31 at 19:26

Всё правильно говорите, но это разные риски, которые надо защищать разными технологиями. Серебрянная пуля это только автоматчик за спиной пользователя, за которым следит другой автоматчик и так до бесконечности.

Заведя e2e шифрование всё равно останется админ знающий ключ, который может слить базу и утащить её на флешке.

nin-jin Jan 31 at 19:32

При e2e шифровании админ как раз таки не знает ключ. Его знают только те, кому его явно выдал пользователь.

shurutov Jan 30 at 07:53

Когда я читаю про оторвать доступ к данным администратору (СУ?)БД, особенно в постгресе, меня интересует только один вопрос: как EXPLAIN (ANAYZE, BUFFERS...) запускать? В среде нагрузочного тестирования? Не пойдёт, ибо встречался с ситуациями, когда в указанной среде всё в порядке, а в проде у СУБД крыша съехала. Да даже просто переключение роли мастера с последующим перезапуском заглючившего экземпляра решало проблемы с производительностью.

CrazysAlien Feb 20 at 16:38

В присутствии членов созданной по этому поводу компетентной комиссии, разумеется ;)