Platform V Pangolin, флагманская разработка СберТеха, получила свой первый сертификат соответствия ФСТЭК России в 2021 году. Его наличие подтверждает то, что продукт может использоваться для работы с широким классом информационных систем, которым нужна повышенная защищенность. В прошлом году ФСТЭК России выпустила новые требования безопасности для СУБД. Команда продукта выполнила их и прошла сертификационные испытания, по результатам которых летом 2024 года регулятор переоформил сертификат соответствия до 2028 года.
Platform V Pangolin — реляционная СУБД для высоконагруженных систем. Целевая СУБД в Сбере и в ряде других крупнейших российских компаний. Продукт основан на открытом коде PostgreSQL и включает доработки под повышенные требования к безопасности, надежности, производительности, удобству эксплуатации. Большая часть улучшений и оптимизаций в продукте относится к функциональности для защиты данных, ввиду того, что изначально он создавался под строгие банковские стандарты в области безопасности – в том числе для работы с критически важными системами. Сейчас более 80 000 экземпляров продукта эксплуатируется в составе приложений и сервисов разной степени критичности. До конца 2024 года Сбер планирует перевести на Platform V Pangolin все значимые объекты критической информационной инфраструктуры (ЗОКИИ).
В этом обзоре команда продукта рассказала о том, какие требования сформулировал регулятор и какие доработки для соответствия им появились в Platform V Pangolin.
Собственный DCS
Согласно требованиям регулятора, СУБД в первом, втором, третьем и четвертом классе защиты должна работать в отказоустойчивом кластере и обеспечивать доступность за счет одновременного функционирования нескольких ее экземпляров.
В частности, для соответствия этому пункту списка ФСТЭК России, команде нужно было отказаться от использования несертифицированного сервиса etdc — распределенного хранилища ключ-значение. В версии Platform V Pangolin 6.2.0 в управляющую программу Pangolin Manager добавлен свой сервис распределенного хранилища конфигураций, использующий RAFT-механизм, который позволяет обходиться без open source DCS-сервисов, таких как etcd, и таким образом снизить риски ИБ-инцидентов, уменьшить количество и разнообразие системного ПО и повысить устойчивость кластеров.
Как это устроено? Распределенное хранилище конфигурации или DCS (Distributed configuration storage) — это хранилище формата ключ-значение, которое состоит из одного или нескольких узлов, при этом изменение значений ключей на одном узле сразу же видно другому, так как узлы согласованы между собой. Для обеспечения консистентности узлов DCS используется RAFT-алгоритм. Он предполагает, что на кластере всегда существует явно выделенный лидер. Только этот лидер отправляет новые записи на другие узлы кластера. Также, благодаря RAFT, поддерживается последовательное журналирование и применение всех операций, что позволяет восстанавливать целостное состояние в случае сбоя.
Выбран упрощенный вариант DCS RAFT от patroni (на нем изначально основан Pangolin Manager), доработан под требования внутренних стандартов СберТеха, улучшена библиотека с RAFT. Добавлена SSL-защита, с нуля сделан REST API, добавлена устойчивость к дисковым сбоям, сделано автоматическое сжатие для журнала операций и реализовано логирование внутри DCS с настраиваемой ротацией логфайла.
Поддержка сертифицированных ОС
Требования ФСТЭК России обязывают СУБД поддерживать только операционные системы, сертифицированные по классу защиты не ниже, чем у нее.
Platform V Pangolin уже была совместима с сертифицированными операционными системами: ОС «Альт СП» (релиз 8) и ОС «РЕД ОС». А в версии 6.2.0 продукт дополнительно стал поддерживать ОС специального назначения «Astra Linux Special Edition» и 10 версию ОС «Альт 8 СП», которые также являются сертифицированными.
Создание ролей из коробки
В СУБД, сертифицированных выше четвертого класса защиты, должны быть реализованы дискреционный и ролевой методы управления доступом. Ранее в Platform V Pangolin уже было реализовано ролевое и дискреционное разграничение.
Дискреционная модель подразумевает, что доступ к информационным системам назначает администратор или владелец ресурсов. Ролевая модель управления доступом предполагает назначение наборов полномочий, привязанных к должностям или рабочим задачам.
В соответствии с новыми требованиями, в Platform V Pangolin ролевой метод управления доступом реализован для следующих ролей: администратор СУБД, администратор кластера высокой доступности для patroni, администратор базы данных (администратор информационной системы), пользователь базы данных. В частности, для клиента продукта важно то, что все эти роли можно настроить из коробки.
Расширенный аудит
Часть актуальных требований ФСТЭК России касалась расширения возможностей аудита для администраторов баз данных. Теперь СУБД четвертого уровня защиты должна регистрировать события безопасности, связанных с ее функционированием и действиями пользователей, оповещать о них администратора СУБД и администратора базы данных. Собирать и хранить записи в журнале событий безопасности, которые позволяют определить, когда и какие инциденты происходили и т.д.
Для соответствия этим требованиям в Platform V Pangolin реализован атрибут «важность» для сообщений аудита, а также добавлены и регистрируются новые классы событий безопасности:
- запуск и остановка системы управления базами данных с указанием причины остановки;
- изменение конфигурации СУБД через файл конфигурации с повторным перечитыванием;
- восстановление базы данных;
- факты нарушения целостности объектов контроля
Помимо этого, Platform V Pangolin уже и в прошлых версиях фиксировал:
- создание учетных записей пользователей СУБД;
- изменение атрибутов учетных записей пользователей;
- успешные и неуспешные попытки аутентификации пользователей;
- изменение конфигурации системы управления базами данных через ddl-команды;
- создание и удаление базы данных, таблицы;
- подключение к базе данных;
- изменение правил разграничения доступа в СУБД;
- создание и изменение процедур, хранимых в базах данных, и представлений;
Каждая запись аудита содержит тип события, временную метку, уникальный идентификатор и информацию о важности события.
Контроль целостности объектов защиты
Согласно актуальным правилам ФСТЭК России, система управления базами данных должна дополнительно контролировать целостность процедур (программного кода) СУБД и процедур (программного кода), хранимых в базах данных, не реже одного раза в сутки.
Механизм реализован. Теперь в случае нарушения целостности объектов контроля происходит разрыв всех текущих сессий, блокировка доступа всех пользователей (за исключением администратора СУБД) и моментальное информирование администратора СУБД.
Администратору СУБД доступен API, позволяющий генерировать и принудительно обновлять контрольные суммы объектов контроля, проверять их целостность, получать информацию о текущих инцидентах. Также реализована автоматическая проверка целостности по расписанию.
Очистка высвобождаемого дискового пространства в процессе работы СУБД
В соответствии с требованиями регулятора, СУБД четвертого класса защиты должна обеспечивать удаление используемых баз данных и журналов путем многократной перезаписи стираемых объектов файловой системы специальными битовыми последовательностями.
Помимо этого, она должна удалять используемые объекты доступа базы данных, перезаписывая модифицированные участки объектов файловой системы при выполнении операции удаления или в отложенном режиме через временной промежуток, установленный администратором СУБД или администратором базы данных.
Требование выполнено. Теперь восстановить критические данные будет невозможно, если будут использованы добавленные в 6.2.0 механизмы.
С какими данными может работать СУБД Platform V Pangolin
После внедрения доработок и выпуска релиза 6.2.0 продукт прошел сертификационные испытания в испытательной лаборатории ООО «КБ-Лаб». В ходе испытаний, помимо оценки реализации функций безопасности, лаборатория подтвердила отсутствие уязвимостей и недекларированных возможностей в Platform V Pangolin.
Сертификат ФСТЭК России подтверждает, что СУБД Platform V Pangolin может применяться:
- в объектах критической информационной инфраструктуры 1-й категории значимости;
- в государственных информационных системах 1-го класса защищенности;
- в автоматизированных системах управления производственными и технологическими процессами 1-го класса защищенности;
- в информационных системах персональных данных при необходимости обеспечения 1-го уровня защищенности персональных данных;
- в других информационных системах, к которым не предъявляются требования по обязательному применению сертифицированных средств защиты информации, но которым требуется повышенный уровень безопасности.
Ключевая функциональность для обеспечения безопасности в Platform V Pangolin:
- защита от привилегированных пользователей
- гибкое управление парольными политиками
- транспортные пароли
- возможность ротации секретов ТУЗ без недоступности;
- двухфакторная аутентификация
- расширенные возможности аудита действий пользователя
- маскирование параметров запросов
- хранение сертификатов в формате PKCS#12
- возможности интеграции с системой хранения секретов
- очистка высвобождаемого дискового пространства в процессе работы СУБД
- контроль целостности конфигурации и объектов БД
- контроль загрузки динамических библиотек с проверкой контрольных сумм
- контроль использования процедурных языков
Помимо этого, Platform V Pangolin функционирует в отказоустойчивом кластере.
СУБД Platform V Pangolin SE имеет сертификат соответствия Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (№ 4704, выдан ФСТЭК России 22 августа декабря 2023 года, действителен до 22 августа 2028 года) и соответствует требованиям следующих документов:
• Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (утверждены приказом ФСТЭК России от 2 июня 2020 г. № 76), по 4 (четвёртому) Уровню доверия;
• Требования по безопасности информации к системам управления базами данных (утверждены приказом ФСТЭК России № 64 от 14 апреля 2023 г.) по 4 классу защиты.