Компания Postgres Professional объявляет об успешном завершении интеграционных испытаний системы управления базами данных Postgres Pro Enterprise и решения Deckhouse Stronghold — модуля безопасного управления жизненным циклом секретов в составе Deckhouse Kubernetes Platform компании «Флант». Совместное решение обеспечивает защищенное хранение ключей для механизма Transparent Data Encoding (TDE) и расширяет возможности построения безопасной инфраструктуры хранения данных. Об этом CNews сообщили представители Postgres Professional.
СУБД Postgres Pro Enterprise, начиная с версии 17, поддерживает механизм прозрачного защитного преобразование данных (Transparent Data Encoding, или TDE), который позволяет обезличивать конфиденциальную или персональную информацию в выделенных табличных пространствах и в журнале предзаписи. При активации TDE данные кодируются при записи на диск или в систему резервного копирования и раскодируются при чтении. Преимуществом этого механизма является то, что он не требует никаких изменений в приложении или на клиентах.
Для защиты используемых при этом ключей преобразования PostgresPro Enterprise может использовать внешнюю систему управления ключами (KMS), и Postgres Professional сообщает об успешном завершении интеграционных испытаний KMS-решения своего стратегического партнера – компании «Флант».
В составе Deckhouse Kubernetes Platform имеется несколько редакций модуля безопасного управления жизненным циклом секретов Deckhouse Stronghold, предоставляющего интерфейс на русском языке, работающего на российских операционных системах и при этом полностью совместимого с API HashiCorp Vault. Совместное решение обеспечивает дополнительную защиту ключей, стандартизацию работы с секретами в организации, возможность использования только отечественного ПО, включая редакции, сертифицированные ФСТЭК России.
Принцип работы
Ключи защитного преобразования табличных пространств и WAL находятся в специальном файле в каталоге СУБД. Это хранилище ключей защищено и преобразовано с помощью мастер-ключа, который генерируется и хранится в Deckhouse Stronghold. При успешной аутентификации в KMS через агента Stronghold и получения токена, СУБД PostgresPro вызывает команду для раскодирования файла ключей, а при создании новых ключей — команду их кодирования. Ключи в открытом виде помещаются в память СУБД и используются для работы с данными в выделенных табличных пространствах и в журнале предзаписи.
Безопасность
Связка СУБД и агента Stronghold обеспечивает разделение доступа к ключам и снижает риски при компрометации отдельных компонентов.
Мастер-ключ никогда не покидает Stronghold. Система выполняет только операции шифрования и дешифрования (transit/encrypt, transit/decrypt). Исходное значение ключа не передается ни СУБД, ни агенту.
Postgres Pro не хранит долгоживущих секретов. У процесса есть доступ только к короткоживущему токену (со сроком действия 1–4 часа), который автоматически обновляется агентом.
Политика доступа токена ограничена. Она позволяет выполнять операции только с мастер-ключом TDE и не предоставляет доступ к другим секретам или административным функциям Stronghold.
Минимизация угроз ИБ
Кража или копирование диска СУБД — данные в защищенных табличных пространствах хранятся в закодированном виде. Хранилище ключей тоже зашифровано мастер-ключом, и без доступа к Stronghold раскодировать данные невозможно.
Утечка файла-ключницы — похищение только хранилища ключей бесполезно: для расшифровки нужен мастер-ключ, который хранится исключительно в Stronghold.
Компрометация сервера PostgresPro — злоумышленник получает короткоживущий токен и закодированные данные. После истечения срока действия токена получить новый нельзя; к тому же для раскодирования данных нужна работающая связь со Stronghold.
Компрометация токена — при утечке токена злоумышленник может вызывать только encrypt/decrypt для одного ключа в ограниченное время, без доступа к другим секретам и без извлечения самого мастер-ключа.
Интеграция Postgres Pro Enterprise и Deckhouse Stronghold обеспечивает гибкость при выборе механизмов обеспечения ИБ, стандартизирует процессы управления секретами в организациях и позволяет им организовывать защиту информации с использованием отечественного программного обеспечения.
Поделиться