Ответы на популярные вопросы

Функциональным назначением Крипто БД является предотвращение утечек ценной информации из баз данных. Такая цель достигается за счет применения стойких криптографических алгоритмов и контроля доступа к защищаемой информации.

В ряде случаев этот контроль реализован за счет двухфакторной аутентификации пользователя, который осуществляет доступ в базу данных.

Также Крипто БД обеспечивает фиксацию фактов доступа в независимом от баз данных журнале. Данные этого журнала могут быть перенаправлены системными средствами на агрегатор логов в SIEM.

Внедрение и применение криптографии для защиты данных с помощью Крипто БД не требует изменения структуры базы данных. Не нужно переписывать запросы бизнес-приложения, переопределять связи между объектами базы данных и перестраивать структуру взаимодействия внутри информационной системы.

Да, Крипто БД — это отечественный продукт. Он полностью написан нашей российской командой Аладдин РД. Крипто БД не использует программные компоненты от других продуктов зарубежного происхождения. Крипто БД — это первый продукт по защите баз данных, который внесен в реестр российского ПО. Это подтверждает отсутствие зависимости от различных западных производителей. Продукт регулярно проходит сертификацию ФСБ России, что гарантирует отсутствие недекларированных возможностей и кода, который бы выполнял функции, не соответствующие принципам безопасности данных.

Логику лицензирования продукта формирует объект защиты – база данных. Одна лицензия предназначена для одного экземпляра базы данных (инстанс). В современных ИТ-системах на одном сервере как правило может одновременно сосуществовать несколько баз данных. Соответственно, если на одном сервере хранится три базы данных, которые необходимо защитить – нужны три лицензии Крипто БД.

Помимо прочего, есть пользовательские лицензии. Они применяются при двухзвенной архитектуре, которая на сегодняшний день используется редко. Пользовательское ПО лицензируется по рабочим станциям.

В стоимость лицензии включен один год технической поддержки. Далее со второго года приобретается только техническая поддержка.

Крипто БД может функционировать на платформах Oracle, MS SQL и PostgreSQL.

Да, на сегодняшний момент осуществляется поддержка Jatoba, Tantor, Postgres Pro, Pangolin DB. Подавляющее большинство сертифицированных отечественных СУБД являются модернизированными версиями (форками) PostgreSQL, при необходимости может быть произведено тестирование на совместимость с прочими отечественными СУБД.

Крипто БД не поддерживает NoSQL базы данных. Для шифрования информации нужна устойчивая информационная структура. Финальный результат и эффект от работы по шифрованию неструктурированных баз данных несопоставим с накладными расходами на производительность, которые сопровождают данный процесс.

Для стандартной установки Крипто БД только на сервер не имеет значения на какой операционной системе функционирует сама база данных. Основной функционал Крипто БД работает в среде СУБД, прямых запросов к ядру операционной системы продукт не осуществляет.

Крипто БД регулярно проходит сертификацию ФСБ России как СКЗИ по классу КС-1, КС-2 (сертификат соответствия № СФ/124-4638).

Согласно 117 приказу ФСБ России с помощью Крипто БД возможна реализация основной меры защиты – обеспечение конфиденциальности информации, обрабатываемой в ГИС. Детальная информация по способам реализации мер защиты предоставляется по запросу.

При условии, что в информационной системе используется трехзвенная архитектура доступа в СУБД установка агента не требуется. Такая архитектура предполагает, что запросы пользователей в СУБД осуществляются через сервер приложения.

Да, есть. Такая архитектура реализуется за счет установки агента Крипто БД на рабочей станции пользователя. Детальная информация предоставляется по запросу.

Защита данных в СУБД обеспечивается за счет применения стойких алгоритмов шифрования - ГОСТ 28147-89, ГОСТ Р 34.12-2015. Продукт позволяет зашифровать произвольный набор полей в таблицах SQL-базы данных. Каждое поле шифруется с применением отдельного ключа шифрования, за счет чего возможно построение гибких и сложных матриц доступа к зашифрованному содержимому.

Влияет, как и любой другой продукт, шифрующий большие массивы данных. В зависимости от осуществляемой операции степень этого влияния может сильно различаться. Если имеется в виду работа средства защиты при обычных пользовательских запросах, то влияние исчезающе мало или незначительно. Если совершается большой объем технологических операций, которые выполняются раз в период, например, ночью или раз в неделю, то эти операции требуют выборки полного объема всей защищаемой таблицы. Такие операции могут давать нагрузку по производительности около 30-35%. Как правило, эти операции заранее планируются администраторами и проводятся в менее нагруженные часы работы системы. Данная нагрузка легко компенсируется добавлением дополнительных ядер и оперативной памяти в виртуальную машину сервера.

Продукт Крипто БД оснащен собственной системой логирования, которая не зависит от фиксации логов в базах данных и операционной системе. Администратор базы данных не может оказать влияние на эту систему логов. Журналы событий Крипто БД могут перенаправляться в системы мониторинга событий безопасности (SIEM) для дальнейшего расследования инцидентов.

Крипто БД является сертифицированным средством криптографической защиты и выполняет все требования ФСБ в отношении генерации, использования, передачи и хранения ключей шифрования. Ключи шифрования не передаются пользователям, не встраиваются в пользовательские сессии, передаются между компонентами в защищенном контейнеризированном виде. Они хранятся в отдельной таблице базы данных в зашифрованном виде, которая называется криптохранилищем.

Консоль администратора безопасности Крипто БД — это толстый клиент, работающий на операционной системе Windows. Она может устанавливаться на виртуальную машину, не требует значительных ресурсов от рабочей станции и обеспечивает доступ администратора по токену, что усиливает надежность. В настоящий момент ведется разработка аналога Консоли администратора под Linux.

Крипто БД является наложенным средством защиты, работает на высокоабстрактном уровне базы данных и позволяет реализовать защиту информации при размещении СУБД в "облаке".

Служба информационной безопасности может решать достаточно большой круг задач с помощью продукта Крипто БД:
  • защита информации в СУБД при взломах информационных систем
  • защита от администратора СУБД
  • разграничение доступа к защищаемой информации
  • защита информации при размещении СУБД в "облаке"
  • защита резервных копий и архивов информационных систем
  • маскирование и деперсонализация информации
  • надежное уничтожение персональных данных
  • независимый аудит событий доступа к информации
  • complience или выполнение требований нормативных документов
К продукту Крипто БД
К разделу FAQ