От Москвы до Владивостока. Геораспределённая система защиты баз данных

BIS Journal №4(43)/2021

29 декабря, 2021

От Москвы до Владивостока. Геораспределённая система защиты баз данных

Базы данных компании — один из ключевых активов, требующих непрерывной защиты от несанкционированного доступа. И если компании с одним офисом могут организовать защиту СУБД штатными средствами, то для больших организаций, имеющих лаборатории и офисы в разных городах, задача становится нетривиальной.

При масштабировании компании и открытии геораспределенных филиалов появляются дополнительные риски появления неучтённых копий баз данных, открытия неконтролируемых портов интеграции и ещё ряд проблем, связанных с возможностью внешнего вторжения в базы данных. 

Чтобы предотвратить эти риски, контролировать доступ к данным во всех дата-центрах сети компании нужно централизованно. При централизованном контроле геораспределенной инфраструктуры служба безопасности получает возможность видеть параметры и закономерности удалённых подключений в базы данных, что нивелирует риски нелегитимного доступа к конфиденциальной информации из других филиалов и помогает контролировать все дата-центры без постоянной передачи данных из одного в другой. 

Именно поэтому в новой версии DAM-решение «Гарда БД» получило возможность наращивания геораспределенной архитектуры взамен кластеризации.  

 

АПК «Гарда БД» от «Гарда Технологии»

Аппаратно-программный комплекс класса DAM/DBF для безопасности СУБД и независимого аудита операций с базами данных и бизнес-приложениями. Ведёт непрерывный мониторинг обращений к базам данных и выявляет подозрительные операции в режиме реального времени.

  • Защита от утечек хранящейся в БД информации.
  • Контроль привилегированных пользователей.
  • Аудит всех операций в базах данных и веб-приложениях в реальном времени.
  • Выявление и предотвращение попыток внешнего вторжения.
  • Блокирование нежелательных запросов к БД и веб-приложениям.

 

От кластерного масштабирования к геораспределенной защите

При кластерном росте инфраструктуры защита баз данных может быть обеспечена без сетевых помех только внутри одного центра обработки данных. В таких условиях поступающие на обработку в систему хранения объекты не передаются между узлами и не нагружают сеть. Но при построении системы контроля нескольких территориально распределённых дата-центров такой подход обретает целый ряд сложностей:

  • Необходимо обеспечить максимально отзывчивую сеть для защиты данных в ЦОДах.
  • При возникновении сбоя на сетевом мосту — комплекс становится недоступен для оператора.
  • В итоге кластерная архитектура не подходит для компаний с большой инфраструктурой, разнесённой между разными городами (SOC). 

Геораспределенная система пришла на смену кластерного решения и позволила решить задачу комплексного контроля всех дата-центров компании из главного центра управления и разграничить доступ к данным между ними, не нагружая сети.

 

Принцип работы геораспределенного решения

Основной задачей новой архитектуры «Гарда БД» стало построение сети для перехвата и обработки данных из нескольких дата-центров с возможностью контроля с единого узла управления. Такое решение позволило объединить источники данных удалённых узлов хранения в единый информационный поток. Специалистам, отвечающим за безопасность данных, больше не нужно искать запросы в нескольких дата-центрах одновременно.

Рассмотрим, как работает геораспределенное решение на инфраструктуре, где одну и ту же задачу — оплата покупок и банковские операции — выполняют два или более идентичных ЦОД (основной и резервный). Если в классической системе работа сотрудников будет затруднена наличием нескольких пультов управления в каждом дата-центре, то при внедрении геораспределённой системы запросы потребителей будут равномерно распределяться между узлами (рис. 1).  

Рисунок 1. Работа геораспределенного решения на инфраструктуре, где одну и ту же задачу выполняют два или более идентичных ЦОД (основной и резервный).

 

Геораспределенное решение даёт ряд преимуществ по сравнению с традиционным:

  • Поисковые запросы можно выполнять из единого центра управления без учёта расположения хранилищ и оператора.
  • Выход из строя сетевого моста между узлами не приводит к полной неработоспособности пульта управления (временно будут доступны данные только с подключённых узлов).
  • Ускорение выполнения поисковых запросов, так как нет необходимости подгрузки данных на центральный узел, — данные моментально выводятся оператору.
  • Повышение надёжности работы узлов в период пиковой нагрузки за счёт минимальной сетевой связанности.

Геораспределенная система защиты баз данных «Гарда БД» построена на работе механизма Cross-cluster search. То есть, узлы хранения не связаны единой экосистемой, а поиск осуществляется благодаря агрегатору поисковых запросов. Такое архитектурное решение позволяет снизить нагрузку на управляющий узел во время индексации поисковых данных внутри комплекса. Настройки перехвата данных по всем дата-центрам хранятся в базе PostgreSQL. Их резервирование происходит на уровне узла благодаря предусмотренному RAID-массиву, что обеспечивает работу комплекса даже в случае выхода из строя управляющего узла дата-центра.

 

Практика применения геораспределенной защиты АПК «Гарда БД»

В крупной банковской сети дата-центры расположены в разных городах — в Москве и во Владивостоке. Ранее доступ к базам данных филиалов без передачи данных с сервера на сервер можно было контролировать только локально — внутри дата-центра. При условии, что передача данных с сервера на сервер между городами осложнена высокой нагрузкой на сеть — остро встал вопрос геораспределенного доступа без загрузки данных филиалов в головной ЦОД. Внедрение геораспределенного решения защиты баз данных «Гарда БД» позволило без увеличения нагрузки на сервер обеспечить контроль доступа ко всем базам данных всех дата-центров компании, а, в случае сбоя одного из них, - восстановить данные без их потери.

 

***

Геораспределенная защита баз данных «Гарда БД» помогает автоматизировать и централизовать контроль доступа к базам данных внутри дата-центров вне зависимости от их месторасположения. Это позволяет значительно оптимизировать работу служб информационной безопасности.

Смотрите также