Comments 12
Работа проделана большая... А потом "приходит" root OS пользователь, и ....
Делает dump процесса или области памяти процесса в файл...
Тема безопасности данных большая...
А еще в OS есть пользователи c sudo привилегиями, а еще есть эксплоиты для повышения привилегий... и т.д. и т.п....
А ещё можно взять паяльник и пойти знакомиться с пользователем лично =) Защититься от всего, особенно со стороны одного решения, невозможно в принципе.
P.S. На самом деле многие сертификационные требования довольно здравые и люди их писавшие далеко не дураки. Например, от дампа памяти отлично помогает принудительная её очистка после каждой транзакции (да, бывает там и такое).
АБД тоже может поступить грубо: исследовать резервную копию, даже зашифрованную вне СУБД (если, конечно, хранилище ключей не усилено вторым-третьим факторами).
Авторы Database Vault не имели задачи повторить Oracle Label Security или программно-аппаратные связки производителей ОС и железа. У ODV защита вообще отключаемая по согласию АБД и пользователя-владельца инсталляции в ОС. Это "первая линия" защиты, доступная и с минимальными издержками.
Помимо разграничения, важно ещё нестираемое детальное логирование.
Не рассматривали вариант с е2е шифрованием? Тогда бд воообще слива не боялась бы.
Проблема не в сливе бд, как таковой, а в том что люди допущенные до управления бд могут получать доступ до хранящейся там информации. Это разные вещи.
люди допущенные до управления бд могут получать доступ до хранящейся там информации
... и слить бд.
Это один и тот же "неавторизованный доступ".
Всё правильно говорите, но это разные риски, которые надо защищать разными технологиями. Серебрянная пуля это только автоматчик за спиной пользователя, за которым следит другой автоматчик и так до бесконечности.
Заведя e2e шифрование всё равно останется админ знающий ключ, который может слить базу и утащить её на флешке.
Когда я читаю про оторвать доступ к данным администратору (СУ?)БД, особенно в постгресе, меня интересует только один вопрос: как EXPLAIN (ANAYZE, BUFFERS...)
запускать? В среде нагрузочного тестирования? Не пойдёт, ибо встречался с ситуациями, когда в указанной среде всё в порядке, а в проде у СУБД крыша съехала. Да даже просто переключение роли мастера с последующим перезапуском заглючившего экземпляра решало проблемы с производительностью.
Как в СУБД реализовать администратора без прав доступа к данным