Ak Kamal Secure PostgreSQL – это решение для обеспечения защиты данных, хранящихся в базах данных PostgreSQL, а также для обеспечения выполнения требований Закона Республики Казахстан "О персональных данных и их защите" и утвержденных "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных"..
В соответствии пунктом 8 главы 2 "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных": собственник, оператор или третьи лица, хранящие и обрабатывающие персональные данные казахстанцев обязаны применять все необходимые меры по защите данных, в том числе использовать средства криптографической защиты информации, имеющие параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007. Выполнить эти требования, используя только встроенные в СУБД механизмы защиты, невозможно. Соответственно, для решения этой задачи потребуется применение сторонних решений для шифрования, обеспечения защиты ключей шифрования, создания защищенных копий и т.д, что приведет к усложнению администрирования, аудита и контроля.
Решение Ak Kamal Secure PostgreSQL позволяет решить задачу по защите персональных и любых других данных и выполнению требований Закона РК "О персональных данных и их защите" и "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных", обеспечив не только надежную защиту данных в базах PostgreSQL, благодаря тому, что функционирует на базе защищенного программно-аппаратного комплекса Ak Kamal Secure Platform (AKSP), сертифицированного на соответствии требованиям третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007, но и максимально упростить администрирование и прохождение аудита.
Описание
В рамках решения Ak Kamal Secure PostgreSQL база PostgreSQL находится в защищенной среде ПАК AKSP, установленного в инфраструктуре заказчика. Решение обеспечивает шифрование хранящихся данных, авторизацию пользователей, шифрование канала связи с хост-системой, механизм создания защищенных резервных копий базы данных, которые могут быть восстановлены только в рамках ПАК AKSP.
Встроенный удостоверяющий центр Ak Kamal Secure PostgreSQL обеспечивает генерацию ключей и выпуск сертификатов для аутентификации пользователей, и защиты каналов передачи данных.
В рамках Ak Kamal Secure PostgreSQL ограничена часть базовых возможностей настройки СУБД PostgreSQL, которые потенциально могут ухудшить защиту хранящихся данных от несанкционированного доступа. В частности, отключены возможности вносить изменения в значительную часть настроек, касающихся шифрования канала, сети, метода авторизации, параметров безопасности и регистрации событий.
При этом, с точки зрения пользователей или взаимодействующих систем, использование Ak Kamal Secure PostgreSQL ничем не отличается от использования обычной PostgreSQL.
Ak Kamal Secure PostgreSQL поддерживает регистрацию событий безопасности с возможностью передачи во внешние системы, что позволяет выявлять подозрительные события и проводить расследование инцидентов. Также имеется механизм быстрого контроля соблюдения требований безопасности для упрощения и ускорения прохождения аудита безопасности.
Аппаратная платформа AKSP
Решение Ak Kamal Secure PostgreSQL функционирует на платформе Ak Kamal Secure Platform (AKSP), представляющей собой специализированный программно-аппаратный комплекс, предназначенный для обеспечения безопасной работы приложений, обрабатывающих и хранящих конфиденциальную информацию. Платформа обеспечивает физическую и криптографическую защиту ключей и сертифицирована на соответствие требованиям третьего уровня безопасности согласно СТ РК 1073-2007.
AKSP для Ak Kamal Secure PostgreSQL доступна в двух версиях, имеющих разную производительность. Обе версии имеют три корзины для жестких дисков, две из которых предназначены для дисков с базой данных, работающих в режиме RAID-1 для обеспечения отказоустойчивости в пределах платформы, а третья используется для сохранения и восстановления резервной копии.
Преимущества использования решения Ak Kamal Secure PostgreSQL
- Выполнение требований законодательства РК к хранению персональных данных;
- Быстрое развертывание платформ и перенос уже используемых баз в защищенную среду Ak Kamal Secure PostgreSQL;
- Работа сервера базы данных в безопасном окружении, исключающем несанкционированное воздействие;
- Хранение данных в зашифрованном виде;
- Защита данных при передаче между Ak Kamal Secure PostgreSQL и клиентами/системами, ее использующими;
- Резервирование данных на уровне платформы;
- Защищенная платформа AKSP с контролем вскрытия, позволяющая защитить данные при физическом похищении самой платформы или дисков с данными;
- Создание защищенных шифрованием резервных копий на внешний жесткий диск;
- Контроль сетевого доступа к серверам БД;
- Регистрация событий безопасности с возможностью передачи данных на внешний сервер Syslog для оперативного выявления проблем с защитой баз данных.
Соответствие требованиям
Ak Kamal Secure PostgreSQL соответствует требованиям третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007, что позволяет использовать это решение для хранения персональных данных в соответствии с пунктом 8 статьи 2 "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных".
Требования СТ РК 1073-2007 (3 уровень безопасности) | Ak Kamal Secure PostgreSQL |
---|---|
Длина ключа реализуемых СКЗИ симметричных алгоритмов криптографического преобразования должна быть не менее 150 бит. | Симметричный алгоритм шифрования хранимых данных:
Симметричные алгоритмы шифрования данных при передаче (в рамках протокола TLS):
|
Длина ключа реализуемых СКЗИ асимметричных алгоритмов криптографического преобразования должна быть не менее 250 бит. | Асимметричные алгоритмы криптографического преобразования при передаче данных (в рамках протокола TLS):
|
Длина вычисляемого СКЗИ хэш-кода должна быть не менее 250 бит. | Алгоритм хэширования хранимых данных:
|
Реализуемый СКЗИ принцип генерации и формирования ключей должен обеспечивать принятие каждым битом ключа единичного значения с вероятностью из интервала (0,500 ± 0,003), при этом ключи должны быть последовательностями случайных чисел и формироваться с помощью физических генераторов шума. | Генерация и формирование ключей выполняется с использованием сертифицированного физического генератора шума (аппаратного генератора случайных чисел) на платформе AKSP. |
Сравнение с базовыми возможностями PostgreSQL
Ak Kamal Secure PostgreSQL имеет набор механизмов обеспечения защиты данных, недоступных в стандартной PostgreSQL:
Ak Kamal Secure PostgreSQL | PostgreSQL | |
---|---|---|
Шифрование хранящихся данных с безопасным хранением ключей шифрования | Да. Шифрование всех данных, генерация и безопасное хранение ключей в рамках защищенной платформы AKSP | Нет |
Защита канала связи с хост-системой/клиентами | TLS с ограниченным набором алгоритмов шифрования, аутентификации и хэширования, соответствующих требованиям третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 | TLS/SSL |
Физическая защита/контроль вскрытия | Да. Защищенная платформа AKSP имеет модуль защиты от вскрытия, который уничтожает мастер-ключ шифрования при попытке несанкционированного доступа | Нет |
Защищенные резервные копии | Да. Резервные копии зашифрованы и могут быть созданы и восстановлены только на защищенной платформе AKSP | Нет |
Быстрый контроль защищенности базы данных/проверка соответствия требованиям | Да. Ak Kamal Secure PostgreSQL предлагает удобный механизм быстрой проверки защищенности базы данных и соответствия требованиям | Нет |
Контроль доступа/межсетевой экран | Да. Встроенный межсетевой экран защищенной платформы AKSP | Нет |