В цифровой экономике данные стали главной мишенью для атак, что потребовало совершенствования периметра безопасности хранилищ, включая и устранение уязвимостей ядра СУБД. Однако у большинства родившихся до цифровой эпохи СУБД средства обеспечения безопасности пристроены «сверху». Сегодня требуются СУБД, построенные на принципиально иных подходах, предусматривающих интеграцию средств обеспечения безопасности непосредственно в архитектуру.

От защиты периметра к безопасной архитектуре

Цифровая трансформация подняла вопросы защиты данных на принципиально новый уровень — если прежде угрозы носили преимущественно внешний характер и отражались надстроенными над СУБД средствами сетевой защиты, то сегодня ландшафт атак радикально изменился. Инсайдерские угрозы, атаки класса Advanced Persistent Threat (APT), целенаправленное давление на объекты критической информационной инфраструктуры (КИИ) потребовали перехода от концепции «укрепленной крепости» к модели «архитектурного недоверия», предполагающей независимую верификацию каждого компонента аналитической СУБД.

Такие СУБД занимают сегодня особое место в инфраструктуре предприятия: аккумулируют данные из множества источников, одновременно обслуживают сотни пользователей, хранят наиболее ценную консолидированную информацию о деятельности организации и пр. Компрометация аналитического хранилища означает не просто безобидную утечку данных, а передачу злоумышленнику полного «цифрового слепка» бизнеса или конфиденциальных сведений федеральных органов власти.

Это требует от российских производителей СУБД на уровне архитектуры внедрять в свои системы решения, позволяющие обеспечить высокий уровень защищенности от внешних угроз независимо от качества периметра безопасности. Среди таких продуктов системы RT.Warehouse (RT.WH) — распределенная аналитическая СУБД на основе Greenplum Database и RT.WideStore (RT.WS) — колоночная СУБД реального времени на основе ClickHouse. Обе системы сертифицированы ФСТЭК России по требованиям к средствам защиты информации 4-го уровня доверия, что подтверждает соответствие их механизмов безопасности нормативным требованиям для применения на объектах КИИ, в государственных информационных системах и в системах обработки персональных данных (ИСПДн).

RT.Warehouse

Отечественная реализация массово-параллельной аналитической СУБД с ядром на Greenplum Database 6.x, унаследовавшей архитектуру PostgreSQL, расширив ее механизмами горизонтального масштабирования. СУБД RT.WH предназначена для работы с хранилищами данных объемом в сотни терабайт, поддерживает параллельное выполнение аналитических запросов на кластерах из десятков узлов. Ключевые особенности архитектуры RT.WH: расширенные возможности SQL; автоматическое шардирование и зеркалирование данных; прозрачное горизонтальное масштабирование кластера.

RT.Warehouse имеет сертификат ФСТЭК России.

RT.WideStore

СУБД RT.WideStore оптимизирована для обработки потоков событий с высокой частотой записи: телеметрия, логи, операционные данные в реальном времени. Его основой служит ClickHouse — колоночная СУБД с открытым исходным кодом. Хранение по колонкам обеспечивает высокую степень сжатия и скорость выполнения аналитических сканирований; векторизованное выполнение запросов позволяет использовать возможности современных процессоров; механизм таблиц MergeTree организует данные в отсортированные части, обеспечивая быстрое время отклика на запросы.

RT.WS имеет сертификат ФСТЭК России.

Аналитические СУБД для КИИ
Пример интерфейса RT.ClusterManager оркестрации для RT.WH и RT.WS

В современной типичной архитектуре корпоративного хранилища данных RT.WH и RT.WS дополняют друг друга: первая обрабатывает исторические данные и сложные мультитабличные аналитические запросы, вторая отвечает за работу с потоковыми данными в режиме реального времени. Обе СУБД — это кластерные решения, позволяющие объединять множество аппаратных узлов хранения и обработки данных. При этом особую роль в управлении жизненным циклом решений на базе RT.WH и RT.WS играет RT.ClusterManager — централизованная платформа оркестрации, через единый интерфейс (см. рис.) обеспечивающая развертывание, конфигурирование, мониторинг и обновление кластеров. Установка сертифицированных версий RT.WH и RT.WS осуществляется исключительно через RT.ClusterManager, что само по себе элемент архитектуры безопасности: контролируемый, аудируемый процесс инсталляции исключает несанкционированные изменения в составе кластера. Сам процесс установки предусматривает создание локального репозитория RPM-пакетов продуктов, изолированного от внешней сети, — таким образом реализуется принцип контролируемой цепочки поставок ПО. Все пакеты проходят верификацию перед установкой, а процедура развертывания протоколируется в журнале событий кластера.

Платформа RT.ClusterManager имеет сертификат ФСТЭК по требованиям к средствам защиты информации 4-го уровня доверия, что позволяет использовать ее в защищенных контурах управления СУБД. RT.WH и RT.WS при этом разворачиваются на специальных версиях российских дистрибутивов Linux, также прошедших сертификацию ФСТЭК России. Такой стек «сертифицированная ОС + сертифицированная СУБД» позволяет строить защищенные информационные системы, обладающие полным комплектом разрешительной документации для работы на объектах КИИ и в государственных органах.

Механизмы обеспечения безопасности данных

Расширение rt.passwordpolicy является обязательным компонентом сертифицированной редакции RT.WH и реализует дополнительный уровень управления идентификацией и аутентификацией, отсутствующий у Greenplum.

Расширение обеспечивает следующие механизмы защиты:

  • сложность паролей. Устанавливаются минимальные требования к длине, наличию символов разных регистров, цифр и специальных символов. Параметры настраиваются через конфигурационные переменные расширения и могут быть адаптированы к политике безопасности конкретной организации;
  • блокировка учетных записей при множественных неудачных попытках аутентификации. Порог количества неверных вводов пароля, по достижении которого учетная запись блокируется, задается администратором. Это стандартное средство противодействия атакам перебора (brute force) на уровне СУБД;
  • специализированный файл журнала. В журнале фиксируются все неудачные попытки аутентификации с указанием времени, IP-адреса источника и имени пользователя, формируя критически важный пул данных для систем SIEM (Security Information and Event Management) и расследования инцидентов;
  • время действия паролей и история паролей. Администратор может ограничить время действия паролей и запретить их повторное использование из истории, что соответствует требованиям нормативных документов по защите информации.

Расширение rt.checksum решает задачу, которая традиционно не решается в обычных СУБД, — обнаружение несанкционированного изменения объектов базы данных (процедур, функций, конфигурационных файлов), которое могло быть произведено злоумышленником с привилегированным доступом.

Расширение хранит и проверяет криптографические хеш-суммы, реализуя контроль целостности одновременно на нескольких уровнях, охватывая всю поверхность возможных несанкционированных модификаций. Контроль процедур и функций PL/pgsql позволяет выявить подмену бизнес-логики — особенно опасный вектор атаки в СУБД, хранимые процедуры в которых часто содержат критически важные алгоритмы обработки данных.

Принципиально важным для обеспечения защиты является контроль файла аутентификации клиентов pg_hba.conf, определяющего, кто, откуда и по какому протоколу может подключиться к СУБД. Несанкционированное изменение этого файла может открыть доступ для неавторизованных пользователей или, наоборот, заблокировать легитимных в рамках атаки отказа в обслуживании. Расширение rt.checksum отслеживает модификацию этого файла и немедленно сигнализирует об изменениях.

Контроль конфигурационных параметров СУБД охватывает ключевые настройки безопасности в postgresql.conf, такие как настройки SSL, уровень логирования, параметры аутентификации. Несанкционированное снижение уровня безопасности через изменение конфигурации — один из наиболее тонких векторов атаки, который благодаря rt.checksum становится прозрачным для администратора базы.

Особого внимания заслуживает контроль целостности бинарных файлов самой СУБД при запуске, гарантирующий, что в период остановки СУБД никто не подменил ее бинарный код. В случае несовпадения хеш-суммы запуск СУБД прерывается.

Механизм реагирования на выявленные нарушения настраивается администратором — можно включить блокировку пользователей при обнаружении нарушения целостности или настроить немедленное оповещение по электронной почте через интеграцию с SMTP-сервером. Такой подход соответствует требованиям принятия мер реагирования в режиме реального времени, предусмотренным приказами ФСТЭК.

Практические аспекты построения защищенного хранилища

Наличие сертификата ФСТЭК и встроенных механизмов безопасности — необходимое, но не достаточное условие построения действительно защищенной системы. Опыт показывает, что наиболее частые нарушения безопасности аналитических хранилищ возникают не вследствие наличия уязвимостей в самой СУБД, а из-за ее неправильной конфигурации и эксплуатации. Мониторинг и своевременная реакция на уязвимости из реестра CVE (Common Vulnerabilities and Exposures) — важная часть процесса безопасной разработки. В сертифицированных редакциях RT.WH и RT.WS был закрыт ряд значимых уязвимостей, касающихся эскалации привилегий или обхода механизма аутентификации, а также выполнения произвольного кода.

При развертывании RT.WH первостепенное значение имеет правильная настройка файла pg_hba.conf, определяющего правила аутентификации. Типичная ошибка — использование записи «trust» для локальных соединений или слишком широкий диапазон IP-адресов с методом md5 вместо более безопасного scram-sha-256. Именно поэтому rt.checksum контролирует целостность этого файла — его несанкционированное изменение с высокой вероятностью означает попытку расширения вектора атаки.

При эксплуатации RT.WS принципиально важно решить вопрос о доступности нативного порта 9000/tcp. Большая часть проанализированных CVE для RT.WS эксплуатировались именно через этот порт без аутентификации. В типичной корпоративной архитектуре прямой доступ к порту 9000 должен быть ограничен исключительно доверенными клиентами, прошедшими сетевую фильтрацию: брандмауэры, ACL на сетевом оборудовании либо встроенные возможности настройки ssl и ip_address_filter в конфигурации ClickHouse.

Интеграция с корпоративной инфраструктурой безопасности: SIEM, PAM (Privileged Access Management), СКЗИ — следующий уровень зрелости защиты хранилища данных. RT.WH и RT.WS предоставляют для этого необходимые интерфейсы: журналы в формате, совместимом с CEF и syslog, события аудита через стандартные SQL-запросы, поддержку SSL/TLS для шифрования соединений.

***

Модель безопасности, реализованная в сертифицированных редакциях RT.WH и RT.WS, представляет собой ответ на современные угрозы в области защиты данных. Ее ключевые особенности — интеграция средств защиты в архитектуру, а также многослойность, обеспечивающая защиту без единой точки отказа.

Оба продукта изначально предполагают, что администраторы могут ошибаться или быть скомпрометированы, атаки приходят изнутри, а программное обеспечение может содержать неизвестные уязвимости. Контроль целостности, выполняемый при каждом запуске, гарантирует обнаружение подмены кода. Строгие парольные политики с блокировкой учетных записей противодействуют атакам перебора, а обязательное оповещение администратора о нарушениях сокращает время реакции на инциденты.

Никита Богданов (nikita.bogdanov@tdata.tech) — руководитель направления СУБД, компания TData (Россия).