Мы занимаемся информационной безопасностью

Secure MongoDB

Защита баз данных

Ak Kamal Secure MongoDB

Ak Kamal Secure MongoDB – это решение, которое позволяет значительно повысить уровень защиты данных, хранимых в базах данных MongoDB, а также обеспечить выполнение требований Закона Республики Казахстан "О персональных данных и их защите" и утвержденных "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных".

В соответствии пунктом 8 главы 2 "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных": собственник, оператор или третьи лица, хранящие и обрабатывающие персональные данные казахстанцев обязаны применять все необходимые меры по защите данных, в том числе использовать средства криптографической защиты информации, имеющие параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007.

Выполнение этих требований средствами СУБД невозможно, что требует применения сторонних решений для шифрования, их настройки, развертывания в защищенной среде, обеспечения защиты ключей шифрования, защищенного хранения резервных копий и т.д. Это, в свою очередь усложняет администрирование, аудит и контроль данных.

Решение Ak Kamal Secure MongoDB позволяет в значительной мере упростить решение задач по защите персональных или любых других данных и выполнению требований Закона РК "О персональных данных и их защите" и "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных". Оно не только обеспечивает надежную защиту хранимых в базе MongoDB данных, упрощает ее администрирование и прохождение аудита, но и функционирует на базе программно-аппаратного комплекса Ak Kamal Secure Platform (AKSP), сертифицированного на соответствии требованиям третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007.


Описание

В рамках решения Ak Kamal Secure MongoDB база MongoDB Community Edition находится в защищенной среде ПАК AKSP, который устанавливается в инфраструктуре заказчика. Решение обеспечивает шифрование хранящихся данных, авторизацию пользователей, шифрование канала связи с хост-системой и пользователями, и механизм создания защищенных резервных копий базы данных, которые могут быть восстановлены только в рамках ПАК AKSP.

Встроенный удостоверяющий центр Ak Kamal Secure MongoDB обеспечивает генерацию ключей и выпуск сертификатов для аутентификации пользователей, нод кластера и защиты каналов передачи данных. Сгенерированные ключи узлов базы данных не покидают защищенную платформу и хранятся в зашифрованном виде.

В рамках Ak Kamal Secure MongoDB ограничена часть базовых возможностей настройки MongoDB, которые потенциально могут ухудшить защиту хранящихся данных от несанкционированного доступа. В частности, отключены возможности вносить изменения в большую часть настроек, касающихся шифрования канала, сети, метода авторизации, параметров безопасности и регистрации событий.


Ak Kamal Secure MongoDB


При этом, с точки зрения пользователей или взаимодействующих систем, использование Ak Kamal Secure MongoDB ничем не отличается от использования обычной MongoDB. Так же, как и в MongoDB, Ak Kamal Secure MongoDB поддерживает кластеризацию (Replica-Set) и регулятор Arbiter с шифрованием канала между нодами, для обеспечения отказоустойчивости системы и минимизации времени простоя при возникновении нештатных ситуаций. Сохранена и поддержка горизонтального масштабирования (Sharding), которое позволяет минимизировать задержки при работе с большими данными за счет распределенного хранения данных на нескольких платформах. Все узлы кластеров Ak Kamal Secure MongoDB могут быть развернуты только на ПАК AKSP, что не даст возможности случайно или намеренно развернуть незащищенный узел.

Ak Kamal Secure MongoDB поддерживает регистрацию событий безопасности с возможностью передачи во внешние системы, что позволяет выявлять подозрительные моменты и проводить расследование инцидентов. Также имеется механизм быстрого контроля соблюдения требований безопасности для упрощения и ускорения прохождения аудита безопасности.


Аппаратная платформа AKSP

Решение Ak Kamal Secure MongoDB функционирует на платформе Ak Kamal Secure Platform (AKSP), представляющей собой специализированный программно-аппаратный комплекс, предназначенный для обеспечения безопасной работы приложений, обрабатывающих и хранящих конфиденциальную информацию. Платформа обеспечивает физическую и криптографическую защиту ключей и сертифицирована на соответствие требованиям третьего уровня безопасности согласно СТ РК 1073-2007.

Ak Kamal Secure Platform AKSP 300/500

AKSP для Ak Kamal Secure MongoDB доступна в двух версиях, имеющих разную производительность. Обе версии имеют три корзины для жестких дисков, две из которых предназначены для дисков с базой данных, работающих в режиме RAID-1 для обеспечения отказоустойчивости в пределах платформы, а третья используется для сохранения и восстановления резервной копии. Для узлов кластера, не хранящих данные, таких как Arbiter или Router (mongos), вместо вышеуказанных моделей AKSP можно использовать более простые, например, без внешних дисков или компактную версию AKSP, которые предлагают тот же уровень безопасности, что и старшие модели, но отличается компактными размерами и сниженным энергопотреблением.


Преимущества использования решения Ak Kamal Secure MongoDB

  • Выполнение требований законодательства РК к хранению персональных данных;
  • Быстрое развертывание платформ и перенос уже используемых баз в защищенную среду Ak Kamal Secure MongoDB;
  • Работа серверов баз данных в безопасном окружении, исключающем несанкционированное воздействие;
  • Хранение данных в зашифрованном виде;
  • Защита данных при передаче между Ak Kamal Secure MongoDB и клиентами/системами, ее использующими;
  • Защита файлов с данными от несанкционированного доступа и/или копирования;
  • Резервирование данных на уровне платформы;
  • Защищенная платформа AKSP с контролем вскрытия, позволяющая защитить данные при физическом похищении устройства или дисков с данными;
  • Создание защищенных шифрованием резервных копий на внешний жесткий диск;
  • Контроль сетевого доступа к серверам БД;
  • Быстрое добавление дополнительных нод в кластер без необходимости остановки работы базы данных и без рисков утечки данных;
  • Регистрация событий безопасности с возможностью передачи данных на внешний сервер Syslog для оперативного выявления проблем с защитой баз данных.

Соответствие требованиям

Ak Kamal Secure MongoDB соответствует требованиям третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007, что позволяет использовать это решение для хранения персональных данных в соответствии с пунктом 8 статьи 2 "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных".

Требования СТ РК 1073-2007 (3 уровень безопасности) Ak Kamal Secure MongoDB
Длина ключа реализуемых СКЗИ симметричных алгоритмов криптографического преобразования должна быть не менее 150 бит. Симметричный алгоритм шифрования хранимых данных:
  • AES-XTS-plain64 с длиной ключа 512 бит.

Симметричные алгоритмы шифрования данных при передаче (в рамках протокола TLS):

  • AES-GCM с длиной ключа 256 бит;
  • AES-СCM с длиной ключа 256 бит;
  • AES-СCM8 с длиной ключа 256 бит;
  • Camelia с длиной ключа 256 бит;
  • ARIA-GCM с длиной ключа 256 бит;
  • ChaCha20-Poly1305 с длиной ключа 256 бит.
Длина ключа реализуемых СКЗИ асимметричных алгоритмов криптографического преобразования должна быть не менее 250 бит. Асимметричные алгоритмы криптографического преобразования при передаче данных (в рамках протокола TLS):
  • ECDSA с длиной ключа 384 бита;
  • DHE с длиной ключа 384 бита;
  • ECDHE с длиной ключа 384 бита.
Длина вычисляемого СКЗИ хэш-кода должна быть не менее 250 бит. Алгоритм хэширования хранимых данных:
  • SHA-256.
Алгоритм хэширования при передаче данных (в рамках протокола TLS):
  • SHA-256;
  • SHA-384.
Реализуемый СКЗИ принцип генерации и формирования ключей должен обеспечивать принятие каждым битом ключа единичного значения с вероятностью из интервала (0,500 ± 0,003), при этом ключи должны быть последовательностями случайных чисел и формироваться с помощью физических генераторов шума. Генерация и формирование ключей выполняется с использованием сертифицированного физического генератора шума (аппаратного генератора случайных чисел) на платформе AKSP.

Сравнение с базовыми возможностями MongoDB

Ak Kamal Secure MongoDB имеет набор механизмов обеспечения защиты данных, недоступных в MongoDB Community Edition:

Ak Kamal Secure MongoDB MongoDB Community Edition
Шифрование хранящихся данных с безопасным хранением ключей шифрования Да. Шифрование всех данных, генерация и безопасное хранение ключей в рамках защищенной платформы AKSP Нет
Защита канала связи с хост-системой/клиентами TLS с ограниченным набором алгоритмов шифрования, аутентификации и хэширования, соответствующих требованиям третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 TLS/SSL
Физическая защита/контроль вскрытия Да. Защищенная платформа AKSP имеет модуль защиты от вскрытия, который уничтожает мастер-ключ шифрования при попытке несанкционированного доступа Нет
Защищенные резервные копии Да. Резервные копии зашифрованы и могут быть созданы и восстановлены только на защищенной платформе AKSP Нет
Быстрый контроль защищенности базы данных/проверка соответствия требованиям Да. Ak Kamal Secure MongoDB предлагает удобный механизм быстрой проверки защищенности базы данных и соответствия требованиям Нет
Контроль доступа/межсетевой экран Да. Встроенный межсетевой экран защищенной платформы AKSP Нет