Archiviazione e sicurezza del database in memoria (MemSQL, Spark, Redis, Geode, et al)

2

C'è una crescente tendenza a utilizzare più memoria in-memory per un'ampia varietà di casi d'uso, dall'analisi dei big data (Spark) alla più veloce potenza di elaborazione (MemSQL) alla memorizzazione nella cache (Redis) dei dati più frequenti prima di fare un viaggio RDBMS basato su disco. AWS Elasticache è un esempio di questo. Una "best practice" architettonica che ho sentito di recente è quella di mettere tutto in cache prima. Quindi effettua viaggi su disco solo per i dati meno utilizzati (a freddo).

Con questa crescente tendenza a sfruttare più memoria in-memory, non ho visto molto scritto su messa in sicurezza in questi archivi di dati insieme a potenziali vulnerabilità associate che li accompagnano. Quando ho chiesto ad Amazon se è disponibile la crittografia per i dati Elasticache, hanno detto no.

Inoltre, non sono sicuro che le tradizionali linee guida per la sicurezza dello storage dei dati si applichino allo stesso modo di storage basato su disco per le agenzie regolamentate. Ad esempio, la crittografia dei dati a riposo (DAR) è un requisito NIST per dati sensibili (ad esempio PII, PHI) nel cloud. Questo stesso standard si applica ai dati che esistono solo in memoria ? Se no, è davvero una buona idea? Il NIST e altre organizzazioni di sicurezza hanno ancora considerato i potenziali vettori di attacco in questo spazio? In tal caso, ci sono delle linee guida pubblicate là fuori per l'archiviazione in memoria? O dovremmo dedurre da vecchie regole / regolamenti / linee guida e quindi estrapolare in questo ambiente di archiviazione?

Ogni idea su Protezione dei data store in memoria è stata apprezzata, specialmente da chi ha dovuto certificare la sicurezza dei propri sistemi tramite valutatori di terze parti.

    
posta Dereksurfs 16.01.2017 - 01:01
fonte

1 risposta

3

La crittografia di archivi / cache dati in memoria non viene generalmente eseguita poiché tutti i dati di lavoro sono archiviati nella RAM e, ad un certo punto, la chiave di crittografia e se un utente malintenzionato ha accesso alla memoria del sistema, avrà accesso ai mezzi per decrittografare i dati o disporre di mezzi per accedere ai dati dopo la decrittografia, quindi non fornisce alcuna sicurezza aggiuntiva.

La migliore pratica è impedire l'accesso non autorizzato da un processo o una macchina esterna assicurandosi di avere Modellazione di minacce fatto per la tua applicazione. Ciò porterà alla luce tutti i modi in cui un utente malintenzionato può accedere ai tuoi dati o attaccarli. Esistono diverse metodologie per la modellazione delle minacce e quella che ho utilizzato è STRIDE . C'è uno strumento gratuito fornito da Microsoft che è utile per creare modelli di minacce usando questa metodologia. Questo non è specifico per i database in memoria ma è più olistico in quanto copre aspetti di sicurezza per una determinata applicazione.

    
risposta data 16.01.2017 - 03:39
fonte

Leggi altre domande sui tag