[BIS Journal] Геораспределенная система защиты баз данных

[BIS Journal] Геораспределенная система защиты баз данных

Базы данных компании — один из ключевых активов, требующих непрерывной защиты от несанкционированного доступа. И если компании с одним офисом могут  организовать защиту СУБД штатными средствами, то для больших организаций, имеющих лаборатории и офисы в разных городах, задача становится нетривиальной. При масштабировании компании и открытии геораспределенных филиалов появляются дополнительные риски появления неучтенных копий баз данных, открытия неконтролируемых портов интеграции и еще ряд проблем, связанных с возможностью внешнего вторжения в базы данных. 

Чтобы предотвратить эти риски, контролировать доступ к данным во всех дата-центрах сети компании нужно  централизованно. При централизованном контроле геораспределенной инфраструктуры служба безопасности получает возможность видеть параметры и закономерности удаленных подключений в базы данных, что нивелирует риски нелегитимного доступа к конфиденциальной информации из других филиалов и помогает контролировать  все дата-центры без постоянной передачи данных из одного в другой. 

Именно поэтому в новой версии DAM-решение “Гарда БД” получило возможность наращивания геораспределенной архитектуры взамен кластеризации.

АПК «Гарда БД» от «Гарда Технологии»

Аппаратно-программный комплекс класса DAM /DBF для безопасности СУБД и независимого аудита операций с базами данных и бизнес-приложениями. Ведет непрерывный мониторинг обращений к базам данных и выявляет подозрительные операции в режиме реального времени.


  • Защита от утечек хранящейся в БД информации.

  • Контроль привилегированных пользователей.

  • Аудит всех операций в базах данных и веб-приложениях в реальном времени.

  • Выявление и предотвращение попыток внешнего вторжения.

  • Блокирование нежелательных запросов к БД и веб-приложениям.

От кластерного масштабирования к геораспределенной защите


При кластерном росте инфраструктуры защита баз данных может быть обеспечена без сетевых помех только внутри одного центра обработки данных. В таких условиях поступающие на обработку в систему хранения объекты не  передаются между узлами и не нагружают сеть. Но при построении системы контроля нескольких территориально распределенных дата-центров такой подход обретает целый ряд сложностей:

  • Необходимо обеспечить максимально отзывчивую сеть для защиты данных в ЦОДах.

  • При возникновении сбоя на сетевом мосту — комплекс становится недоступен для оператора.

В итоге кластерная архитектура не подходит для компаний с большой инфраструктурой, разнесенной между разными городами (SOC). Геораспределенная система пришла на смену кластерного решения и позволила решить задачу комплексного контроля всех дата-центров компании из главного центра управления и разграничить доступ к данным между ними, не нагружая сети.

Принцип работы геораспределенного решения

Основной задачей новой архитектуры «Гарда БД» стало построение сети для перехвата и обработки данных из нескольких дата-центров с возможностью контроля с единого узла управления. Такое решение позволило объединить источники данных удаленных узлов хранения в единый информационный поток. Специалистам, отвечающим за безопасность данных, больше не нужно искать запросы в нескольких дата-центров одновременно.

Рассмотрим, как работает геораспределенное решение на инфраструктуре, где одну и ту же задачу — оплата покупок и банковские операции — выполняют 2 или более идентичных ЦОД (основной и резервный). Если в классической системе  работа сотрудников будет затруднена наличием нескольких пультов управления в каждом дата-центре, то при внедрении геораспределённой системы запросы потребителей будут равномерно распределяться между узлами.  


Геораспределенное решение дает ряд преимуществ по сравнению с традиционным:

  • Поисковые запросы можно выполнять из единого центра управления без учета расположения хранилищ и оператора.

  • Выход из строя сетевого моста между узлами не приводит к полной неработоспособности пульта управления (временно будут доступны данные только с подключенных узлов).

  • Ускорение выполнения поисковых запросов, так как нет необходимости подгрузки данных на центральный узел, — данные моментально выводятся оператору.

  • Повышение надежности работы узлов в период пиковой нагрузки за счет минимальной сетевой связанности.

Геораспределенная система защиты баз данных «Гарда БД» построена на работе механизма Cross-cluster search. То есть, узлы хранения не связаны единой экосистемой, а поиск осуществляется благодаря агрегатору поисковых запросов. Такое архитектурное решение позволяет снизить нагрузку на управляющий узел во время индексации поисковых данных внутри комплекса. Настройки перехвата данных по всем ЦОДам хранятся в базе PostgreSQL. Их резервирование происходит на уровне узла благодаря предусмотренному RAID массиву, что обеспечивает работу комплекса даже в случае выхода из строя управляющего узла дата-центра.

Практика применения геораспределенной защиты АПК «Гарда БД»

В крупной банковской сети дата-центры- расположены в разных городах — в Москве и во Владивостоке. Ранее доступ к базам данных филиалов без передачи данных с сервера на сервер можно было контролировать только локально — внутри ЦОДа. При условии, что передача данных с сервера на сервер между городами осложнена высокой нагрузкой на сеть — остро встал вопрос геораспределенного доступа без загрузки данных филиалов в головной ЦОД. Внедрение геораспределенного решения защиты баз данных «Гарда БД» позволило без увеличения нагрузки на сервер обеспечить контроль доступа ко всем базам данных всех ЦОДв компании, а в случае сбоя одного из них восстановить данные без их потери.

Геораспределенная защита баз данных «Гарда БД» помогает автоматизировать и централизовать контроль доступа к базам данных внутри ЦОДв вне зависимости от их месторасположения. Это позволяет значительно оптимизировать работу служб информационной безопасности.

Авторы: Дмитрий Ларин (Директор по разработке продукта «Гарда БД» в «Гарда Технологии») и Дмитрий Пронин (Руководитель группы разработки «Гарда БД»).


Популярные в разделе
[InfoSecurity] Контроль доступа привилегированных пользователей к базам данных
[BIS Journal] Геораспределенная система защиты баз данных
[Anti-Malware] Обзор Гарда Предприятия 5.0, системы защиты от утечек конфиденциальных данных (DLP)