Константин Семенчук, «Газинформсервис»: Защита СУБД начинается задолго до самой СУБД

Константин Семенчук,  менеджер по продукту СУБД Jatoba компании «Газинформсервис» в рамках форума GIS DAYS 2022 рассказал порталу Cyber Media о том, как российские компании мигрируют на российские системы управления базами данных, и как правильно защищать СУБД.

Cyber Media: Насколько болезненным ударом для российских ИТ-компаний стал уход Oracle и Microsoft SQL Server?

Все зависит от сегмента. Для компаний с государственным участием, у которых есть требования по наличию технической поддержки, по лицензиям и сертификации, это оказалось актуальным вопросом. Были запущены задачи по решению вопросов импортозамещения. Для них, наверное, уход ИТ-гигантов был наиболее болезненным.

Существуют случаи, при которых большая часть бизнес-процессов перенесена владельцами из информационных систем в СУБД. Здесь невыгодно производить миграцию: СУБД будет работать как раньше, а владельцы систем скорее вложат деньги в найм персонала для обслуживания СУБД.

Есть другой случай, при котором критично наличие техподдержки. Эти пользователи понимают, что в случае чего производитель продукта им не предоставит помощи. Ответ на вопрос: «Переходить на российское ПО или нет?» зависит от конкретной компании. Если им дешевле будет перейти, то да – переходить нужно. Во всех других случаях не стоит принимать поспешных решений.

Cyber Media: Чем отечественные СУБД отличаются от иностранных?

Oracle и Microsoft работают на ИТ-рынке уже очень много лет. У них была фора по времени, которая позволила этим корпорациям развить отличные продукты: быстрые и отказоустойчивые. Производительность и отказоустойчивость – это два основных запроса от заказчиков. У Oracle, например, есть решение RAC (Real Application Cluster). Отказоустойчивость нужна тем, кто хочет обеспечить бесперебойную круглосуточную работу инфраструктуры, а производительность – тем, у кому нужно работать с большим объемом данных.

У нас есть решение по отказоустойчивости, которые уже работает. И есть решение для тех, кому важна производительность – оно сейчас находится на этапе MVP.

Cyber Media: Сколько времени занимает миграция на российское ПО?

Если в СУБД не завязана бизнес-логика, то процесс может быть максимально безболезненным. Таким клиентам не нужно переносить процедуры и функции – потребуется просто перенос данных, проверка работоспособности и запуск.

Если же бизнес-логика присутствует в СУБД, то здесь уже потребуется интерпретировать хранимые процедуры и функции на язык новой СУБД. Также получится сэкономить время, если у клиентского ПО есть встроенные инструменты по миграции и время перехода будет минимальным. Например, с запасом на проверку этот процесс может занять всего месяц. В противном случае понадобится уже несколько месяцев.

Cyber Media: Какие различия с точки зрения безопасности у российских продуктов и иностранных?

Если не вдаваться в паранойю про «выпуск иностранными разработчиками обновлений, которые могут навредить российским пользователям», то различий практически нет. Есть общедоступные базы уязвимостей, которые постоянно пополняются актуальной информацией о возможных способах атак злоумышленниками.

Добросовестные разработчики регулярно выпускают обновления безопасности, в которых блокируются обнаруженные уязвимости. Пользователям в таком случае остается только своевременно обновлять ПО.

Cyber Media: В чем риск использования СУБД на базе open source, и есть ли он вообще?

Риск использования продуктов, сделанных на базе open source есть всегда, если отсутствует проверка на чистоту кода. Это актуально для пользователей, которые, например, самостоятельно загружают и устанавливают open source-решения на домашний компьютер.

Однако для тех пользователей, которые используют решения, прошедшие проверки ФСТЭК – риски минимальны. При этом нельзя забывать о регулярных обновлениях.

Cyber Media: Каким образом можно уменьшить риск взлома СУБД? Какие, на Ваш взгляд, нужно предпринимать меры по защите базы данных?

Существует ряд мер, которые требуется предпринять для обеспечения информационной безопасности СУБД. «Начинаются» эти меры задолго до работы с самой СУБД. Среди основных мер:

• Физическое ограничение доступа к серверам и сетевому оборудованию;
• Создание безопасной сетевой инфраструктуры (разделение сетей, межсетевые экраны и прочее);
• Создание безопасных политик сетевого доступа (ограничение сетевых портов, white-list, мониторинг сигнатур пакетов);
• Контроль учетных записей пользователей через политики безопасности или IDM- системы.

И только после этого имеет смысл установка различных функций безопасности, предназначенных для защиты СУБД. Среди них: политика шифрования трафика, требования сложности к паролям, ограничение прав суперпользователей и другие.