От Москвы до Владивостока. Геораспределённая система защиты баз данных
Базы данных компании — один из ключевых активов, требующих непрерывной защиты от несанкционированного доступа. И если компании с одним офисом могут организовать защиту СУБД штатными средствами, то для больших организаций, имеющих лаборатории и офисы в разных городах, задача становится нетривиальной.
При масштабировании компании и открытии геораспределенных филиалов появляются дополнительные риски появления неучтённых копий баз данных, открытия неконтролируемых портов интеграции и ещё ряд проблем, связанных с возможностью внешнего вторжения в базы данных.
Чтобы предотвратить эти риски, контролировать доступ к данным во всех дата-центрах сети компании нужно централизованно. При централизованном контроле геораспределенной инфраструктуры служба безопасности получает возможность видеть параметры и закономерности удалённых подключений в базы данных, что нивелирует риски нелегитимного доступа к конфиденциальной информации из других филиалов и помогает контролировать все дата-центры без постоянной передачи данных из одного в другой.
Именно поэтому в новой версии DAM-решение «Гарда БД» получило возможность наращивания геораспределенной архитектуры взамен кластеризации.
АПК «Гарда БД» от «Гарда Технологии»
Аппаратно-программный комплекс класса DAM/DBF для безопасности СУБД и независимого аудита операций с базами данных и бизнес-приложениями. Ведёт непрерывный мониторинг обращений к базам данных и выявляет подозрительные операции в режиме реального времени.
- Защита от утечек хранящейся в БД информации.
- Контроль привилегированных пользователей.
- Аудит всех операций в базах данных и веб-приложениях в реальном времени.
- Выявление и предотвращение попыток внешнего вторжения.
- Блокирование нежелательных запросов к БД и веб-приложениям.
От кластерного масштабирования к геораспределенной защите
При кластерном росте инфраструктуры защита баз данных может быть обеспечена без сетевых помех только внутри одного центра обработки данных. В таких условиях поступающие на обработку в систему хранения объекты не передаются между узлами и не нагружают сеть. Но при построении системы контроля нескольких территориально распределённых дата-центров такой подход обретает целый ряд сложностей:
- Необходимо обеспечить максимально отзывчивую сеть для защиты данных в ЦОДах.
- При возникновении сбоя на сетевом мосту — комплекс становится недоступен для оператора.
- В итоге кластерная архитектура не подходит для компаний с большой инфраструктурой, разнесённой между разными городами (SOC).
Геораспределенная система пришла на смену кластерного решения и позволила решить задачу комплексного контроля всех дата-центров компании из главного центра управления и разграничить доступ к данным между ними, не нагружая сети.
Принцип работы геораспределенного решения
Основной задачей новой архитектуры «Гарда БД» стало построение сети для перехвата и обработки данных из нескольких дата-центров с возможностью контроля с единого узла управления. Такое решение позволило объединить источники данных удалённых узлов хранения в единый информационный поток. Специалистам, отвечающим за безопасность данных, больше не нужно искать запросы в нескольких дата-центрах одновременно.
Рассмотрим, как работает геораспределенное решение на инфраструктуре, где одну и ту же задачу — оплата покупок и банковские операции — выполняют два или более идентичных ЦОД (основной и резервный). Если в классической системе работа сотрудников будет затруднена наличием нескольких пультов управления в каждом дата-центре, то при внедрении геораспределённой системы запросы потребителей будут равномерно распределяться между узлами (рис. 1).
Рисунок 1. Работа геораспределенного решения на инфраструктуре, где одну и ту же задачу выполняют два или более идентичных ЦОД (основной и резервный).
Геораспределенное решение даёт ряд преимуществ по сравнению с традиционным:
- Поисковые запросы можно выполнять из единого центра управления без учёта расположения хранилищ и оператора.
- Выход из строя сетевого моста между узлами не приводит к полной неработоспособности пульта управления (временно будут доступны данные только с подключённых узлов).
- Ускорение выполнения поисковых запросов, так как нет необходимости подгрузки данных на центральный узел, — данные моментально выводятся оператору.
- Повышение надёжности работы узлов в период пиковой нагрузки за счёт минимальной сетевой связанности.
Геораспределенная система защиты баз данных «Гарда БД» построена на работе механизма Cross-cluster search. То есть, узлы хранения не связаны единой экосистемой, а поиск осуществляется благодаря агрегатору поисковых запросов. Такое архитектурное решение позволяет снизить нагрузку на управляющий узел во время индексации поисковых данных внутри комплекса. Настройки перехвата данных по всем дата-центрам хранятся в базе PostgreSQL. Их резервирование происходит на уровне узла благодаря предусмотренному RAID-массиву, что обеспечивает работу комплекса даже в случае выхода из строя управляющего узла дата-центра.
Практика применения геораспределенной защиты АПК «Гарда БД»
В крупной банковской сети дата-центры расположены в разных городах — в Москве и во Владивостоке. Ранее доступ к базам данных филиалов без передачи данных с сервера на сервер можно было контролировать только локально — внутри дата-центра. При условии, что передача данных с сервера на сервер между городами осложнена высокой нагрузкой на сеть — остро встал вопрос геораспределенного доступа без загрузки данных филиалов в головной ЦОД. Внедрение геораспределенного решения защиты баз данных «Гарда БД» позволило без увеличения нагрузки на сервер обеспечить контроль доступа ко всем базам данных всех дата-центров компании, а, в случае сбоя одного из них, - восстановить данные без их потери.
***
Геораспределенная защита баз данных «Гарда БД» помогает автоматизировать и централизовать контроль доступа к базам данных внутри дата-центров вне зависимости от их месторасположения. Это позволяет значительно оптимизировать работу служб информационной безопасности.
.jpg)
.jpg)
.jpg)
.jpg)