Мы занимаемся информационной безопасностью

Secure PostgreSQL

Защита баз данных

Ak Kamal Secure PostgreSQL

Ak Kamal Secure PostgreSQL – это решение для обеспечения защиты данных, хранящихся в базах данных PostgreSQL, а также для обеспечения выполнения требований Закона Республики Казахстан "О персональных данных и их защите" и утвержденных "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных"..

В соответствии пунктом 8 главы 2 "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных": собственник, оператор или третьи лица, хранящие и обрабатывающие персональные данные казахстанцев обязаны применять все необходимые меры по защите данных, в том числе использовать средства криптографической защиты информации, имеющие параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007. Выполнить эти требования, используя только встроенные в СУБД механизмы защиты, невозможно. Соответственно, для решения этой задачи потребуется применение сторонних решений для шифрования, обеспечения защиты ключей шифрования, создания защищенных копий и т.д, что приведет к усложнению администрирования, аудита и контроля.

Решение Ak Kamal Secure PostgreSQL позволяет решить задачу по защите персональных и любых других данных и выполнению требований Закона РК "О персональных данных и их защите" и "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных", обеспечив не только надежную защиту данных в базах PostgreSQL, благодаря тому, что функционирует на базе защищенного программно-аппаратного комплекса Ak Kamal Secure Platform (AKSP), сертифицированного на соответствии требованиям третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007, но и максимально упростить администрирование и прохождение аудита.


Описание

В рамках решения Ak Kamal Secure PostgreSQL база PostgreSQL находится в защищенной среде ПАК AKSP, установленного в инфраструктуре заказчика. Решение обеспечивает шифрование хранящихся данных, авторизацию пользователей, шифрование канала связи с хост-системой, механизм создания защищенных резервных копий базы данных, которые могут быть восстановлены только в рамках ПАК AKSP.

Встроенный удостоверяющий центр Ak Kamal Secure PostgreSQL обеспечивает генерацию ключей и выпуск сертификатов для аутентификации пользователей, и защиты каналов передачи данных.


Ak Kamal Secure PostgreSQL


В рамках Ak Kamal Secure PostgreSQL ограничена часть базовых возможностей настройки СУБД PostgreSQL, которые потенциально могут ухудшить защиту хранящихся данных от несанкционированного доступа. В частности, отключены возможности вносить изменения в значительную часть настроек, касающихся шифрования канала, сети, метода авторизации, параметров безопасности и регистрации событий.

При этом, с точки зрения пользователей или взаимодействующих систем, использование Ak Kamal Secure PostgreSQL ничем не отличается от использования обычной PostgreSQL.

Ak Kamal Secure PostgreSQL поддерживает регистрацию событий безопасности с возможностью передачи во внешние системы, что позволяет выявлять подозрительные события и проводить расследование инцидентов. Также имеется механизм быстрого контроля соблюдения требований безопасности для упрощения и ускорения прохождения аудита безопасности.


Аппаратная платформа AKSP

Решение Ak Kamal Secure PostgreSQL функционирует на платформе Ak Kamal Secure Platform (AKSP), представляющей собой специализированный программно-аппаратный комплекс, предназначенный для обеспечения безопасной работы приложений, обрабатывающих и хранящих конфиденциальную информацию. Платформа обеспечивает физическую и криптографическую защиту ключей и сертифицирована на соответствие требованиям третьего уровня безопасности согласно СТ РК 1073-2007.


Ak Kamal Secure Platform AKSP 300/500


AKSP для Ak Kamal Secure PostgreSQL доступна в двух версиях, имеющих разную производительность. Обе версии имеют три корзины для жестких дисков, две из которых предназначены для дисков с базой данных, работающих в режиме RAID-1 для обеспечения отказоустойчивости в пределах платформы, а третья используется для сохранения и восстановления резервной копии.


Преимущества использования решения Ak Kamal Secure PostgreSQL

  • Выполнение требований законодательства РК к хранению персональных данных;
  • Быстрое развертывание платформ и перенос уже используемых баз в защищенную среду Ak Kamal Secure PostgreSQL;
  • Работа сервера базы данных в безопасном окружении, исключающем несанкционированное воздействие;
  • Хранение данных в зашифрованном виде;
  • Защита данных при передаче между Ak Kamal Secure PostgreSQL и клиентами/системами, ее использующими;
  • Резервирование данных на уровне платформы;
  • Защищенная платформа AKSP с контролем вскрытия, позволяющая защитить данные при физическом похищении самой платформы или дисков с данными;
  • Создание защищенных шифрованием резервных копий на внешний жесткий диск;
  • Контроль сетевого доступа к серверам БД;
  • Регистрация событий безопасности с возможностью передачи данных на внешний сервер Syslog для оперативного выявления проблем с защитой баз данных.

Соответствие требованиям

Ak Kamal Secure PostgreSQL соответствует требованиям третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007, что позволяет использовать это решение для хранения персональных данных в соответствии с пунктом 8 статьи 2 "Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных".

Требования СТ РК 1073-2007 (3 уровень безопасности) Ak Kamal Secure PostgreSQL
Длина ключа реализуемых СКЗИ симметричных алгоритмов криптографического преобразования должна быть не менее 150 бит. Симметричный алгоритм шифрования хранимых данных:
  • AES-XTS-plain64 с длиной ключа 512 бит.

Симметричные алгоритмы шифрования данных при передаче (в рамках протокола TLS):

  • AES-GCM с длиной ключа 256 бит;
  • AES-СCM с длиной ключа 256 бит;
  • AES-СCM8 с длиной ключа 256 бит;
  • Camelia с длиной ключа 256 бит;
  • ARIA-GCM с длиной ключа 256 бит;
  • ChaCha20-Poly1305 с длиной ключа 256 бит.
Длина ключа реализуемых СКЗИ асимметричных алгоритмов криптографического преобразования должна быть не менее 250 бит. Асимметричные алгоритмы криптографического преобразования при передаче данных (в рамках протокола TLS):
  • ECDSA с длиной ключа 384 бита;
  • DHE с длиной ключа 384 бита;
  • ECDHE с длиной ключа 384 бита.
Длина вычисляемого СКЗИ хэш-кода должна быть не менее 250 бит. Алгоритм хэширования хранимых данных:
  • SHA-256.
Алгоритм хэширования при передаче данных (в рамках протокола TLS):
  • SHA-256;
  • SHA-384.
Реализуемый СКЗИ принцип генерации и формирования ключей должен обеспечивать принятие каждым битом ключа единичного значения с вероятностью из интервала (0,500 ± 0,003), при этом ключи должны быть последовательностями случайных чисел и формироваться с помощью физических генераторов шума. Генерация и формирование ключей выполняется с использованием сертифицированного физического генератора шума (аппаратного генератора случайных чисел) на платформе AKSP.

Сравнение с базовыми возможностями PostgreSQL

Ak Kamal Secure PostgreSQL имеет набор механизмов обеспечения защиты данных, недоступных в стандартной PostgreSQL:

Ak Kamal Secure PostgreSQL PostgreSQL
Шифрование хранящихся данных с безопасным хранением ключей шифрования Да. Шифрование всех данных, генерация и безопасное хранение ключей в рамках защищенной платформы AKSP Нет
Защита канала связи с хост-системой/клиентами TLS с ограниченным набором алгоритмов шифрования, аутентификации и хэширования, соответствующих требованиям третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 TLS/SSL
Физическая защита/контроль вскрытия Да. Защищенная платформа AKSP имеет модуль защиты от вскрытия, который уничтожает мастер-ключ шифрования при попытке несанкционированного доступа Нет
Защищенные резервные копии Да. Резервные копии зашифрованы и могут быть созданы и восстановлены только на защищенной платформе AKSP Нет
Быстрый контроль защищенности базы данных/проверка соответствия требованиям Да. Ak Kamal Secure PostgreSQL предлагает удобный механизм быстрой проверки защищенности базы данных и соответствия требованиям Нет
Контроль доступа/межсетевой экран Да. Встроенный межсетевой экран защищенной платформы AKSP Нет