У дома Сигурност Новото нормално: справяне с реалността на един несигурен свят

Новото нормално: справяне с реалността на един несигурен свят

Anonim

От персонала на Техопедия, 27 октомври 2016 г.

Отнемане: Домакинът Ерик Кавана обсъжда сигурността на базата данни с Робин Блур, Дез Бланчфийлд и Игнасио Родригес на IDERA.

В момента не сте влезли. Моля, влезте или се регистрирайте, за да видите видеото.

Ерик Кавана: Здравейте и отново добре дошли в горещите технологии. Казвам се Ерик Кавана; Аз ще бъда вашият домакин за уеб излъчването днес и това е гореща тема и никога няма да бъде гореща тема. Това е гореща тема сега поради, честно казано, всички нарушения, за които чуваме и мога да ви гарантирам, че никога няма да изчезне. Така че темата днес, точното заглавие на шоуто, което трябва да кажа, е „Новото нормално: Справяне с реалността на един несигурен свят.“ С това точно се занимаваме.

Имаме вашия домакин, ваш наистина, точно там. От преди няколко години, имайте предвид, вероятно бих актуализирал снимката си; това беше 2010. Времето лети. Изпратете ми имейл с, ако искате да направите някои предложения. Това е стандартният ни "горещ" слайд за горещи технологии. Цялата цел на това шоу е наистина да определи определено пространство. Значи днес говорим за сигурност, очевидно. Ние взимаме много интересен ъгъл към него, всъщност с нашите приятели от IDERA.

И ще отбележа, че вие ​​като членове на нашата публика играете значителна роля в програмата. Моля, не се срамувайте. Изпратете ни въпрос по всяко време и ние ще го поставим на опашка за въпросите, ако имаме достатъчно време за него. Днес имаме трима хора онлайн, д-р Робин Блур, Дез Бланчфийлд и Игнасио Родригес, който се обажда от неразкрито място. Така че на първо място, Робин, ти си първият водещ. Ще ти предам ключовете. Отнеси го.

Д-р Робин Блур: Добре, благодаря за това, Ерик. Осигуряване на база данни - предполагам, че бихме могли да кажем, че вероятността най-ценните данни, които някоя компания всъщност председателства, е в база данни. Така че има цяла поредица от неща за сигурността, за които бихме могли да говорим. Но това, което мислех, че ще направя, е да говоря около темата за осигуряване на база данни. Не искам да отнемам нищо от представянето, което Игнасио ще даде.

Нека започнем с това, че е лесно да мислим за сигурността на данните като за статична цел, но не е така. Това е движеща се цел. И това е нещо важно да се разбере в смисъл, че ИТ средите на повечето хора, особено ИТ средите на големи компании, се променят непрекъснато. И тъй като те се променят през цялото време, повърхността на атаката, зоните, където някой може да опита, по един или друг начин, отвътре или отвън, да компрометира сигурността на данните, се променя през цялото време. И когато правите нещо подобно, надграждате база данни, нямате представа дали просто сте създали някаква уязвимост за себе си. Но вие не сте наясно и може никога да не разберете, докато не се случи нещо отвратително.

Има кратък преглед на сигурността на данните. На първо място, кражбата на данни не е нищо ново и ценните данни са насочени. Обикновено е лесно да се разбере за дадена организация какви са данните, от които се нуждаят, за да поставят най-голяма защита. Любопитен факт е, че първият или това, което бихме могли да твърдим, че е първият компютър, е построен от британското разузнаване по време на Втората световна война с една цел, а това е да крадат данни от немските комуникации.

Така кражбата на данни е част от ИТ индустрията почти откакто започна. Стана много по-сериозно с раждането на интернет. Гледах журнал за броя на нарушенията на данните, които се случват година след година. И броят им се изтъркаля над 100 до 2005 г. и от този момент нататък тя става все по-лоша и по-лоша всяка година.

Откраднати са по-големи количества данни и се извършва по-голям брой хакове. И това са хакове, за които се съобщава. Има много голям брой инциденти, които се случват, когато компанията никога не казва нищо, защото няма нищо, което да я принуди да каже нещо. Така той запазва тишината на данните. В хакерския бизнес има много играчи: правителства, фирми, хакерски групи, лица.

Едно нещо, което просто мисля, че е интересно да спомена, когато отидох в Москва, мисля, че беше някъде преди около четири години, беше софтуерна конференция в Москва, разговарях с журналист, специализиран в областта на хакерството на данни. И той твърди - и съм сигурен, че е прав, но не го знам, освен че е единственият човек, който някога ми го е споменавал, но - има руски бизнес, наречен Руска бизнес мрежа, вероятно има руски име, но мисля, че това е английският превод на него, който всъщност е нает да хакне.

Така че, ако сте голяма организация навсякъде по света и искате да направите нещо, което да навреди на конкуренцията ви, можете да наемете тези хора. И ако наемете тези хора, получавате много правдоподобна отрицателност по отношение на това кой е бил зад хака. Защото ако изобщо бъде открито кой стои зад хака, това ще означава, че вероятно в Русия някой го е направил. И няма да изглежда, че се опитвате да повредите конкурент. И вярвам, че руската бизнес мрежа всъщност е била наета от правителствата, за да прави неща като хакване в банки, за да се опита да разбере как се движат парите от тероризма. И това се прави с правдоподобна отрицателност от правителствата, които никога няма да признаят, че всъщност някога са правили това.

Технологията за атака и отбрана се развива. Преди много време ходех в клуб Хаос. Това беше сайт в Германия, където можете да се регистрирате и можете просто да следите разговорите на различни хора и да видите какво е на разположение. И направих това, когато гледах технологиите за сигурност, мисля около 2005 г. И го направих само за да видя какво става тогава и нещото, което ме изуми, беше броя на вирусите, където всъщност беше отворена система Продължавах и хората, които бяха писали вируси или подобрени вируси, просто залепваха кода там, за да го използват някой. И тогава ми хрумна, че хакерите могат да бъдат много, много умни, но има ужасно много хакери, които не са непременно умни, но използват интелигентни инструменти. А някои от тези инструменти са забележително умни.

И последната точка тук: предприятията имат задължение да се грижат за своите данни, независимо дали ги притежават или не. И мисля, че това става все по-осъзнато, отколкото преди. И става все повече, да речем, скъпо за един бизнес всъщност да се подложи на хак. Относно хакерите, те могат да бъдат разположени навсякъде, може би е трудно да бъдат привлечени към съд, дори ако са правилно идентифицирани. Много от тях много умели. Значителни ресурси, те имат ботнети навсякъде. Неотдавнашната DDoS атака, която се случи, се смята, че идва от над милиард устройства. Не знам дали това е вярно или дали това е просто репортер, използващ кръгло число, но със сигурност голям брой роботи-устройства бяха използвани за атака срещу DNS мрежата. Някакъв печеливш бизнес, има правителствени групи, има икономическа война, има кибервойна, всичко се случва навън и е малко вероятно, мисля, че казахме в предговора, едва ли ще свърши някога.

Спазване и разпоредби - има редица неща, които всъщност продължават. Има много инициативи за спазване, които се базират на сектор, знаете - фармацевтичният сектор или банковия сектор или здравният сектор - може да има конкретни инициативи, които хората могат да следват, различни видове най-добри практики. Но има и много официални разпоредби, които, тъй като са закон, налагат наказания за всеки, който нарушава закона. Примерите за САЩ са HIPAA, SOX, FISMA, FERPA, GLBA. Има някои стандарти, PCI-DSS е стандарт за картовите компании. ISO / IEC 17799 се основава на опитите за постигане на общ стандарт. Това е собствеността на данните. Националните разпоредби се различават в отделните страни, дори в Европа, или може би трябва да се каже, особено в Европа, където е много объркващо. И има GDPR - глобален регламент за защита на данните, който понастоящем се договаря между Европа и Съединените щати, за да се опита и хармонизира в регулациите, защото има толкова много, колкото са в действителност международни, а след това има облачни услуги, които може да не мислете, че вашите данни са международни, но те станаха международни веднага щом влезете в облака, защото се преместиха извън вашата страна. Така че това са набор от регулации, които по един или друг начин се договарят за справяне със защитата на данните. И по-голямата част от това е свързана с данните на дадено лице, което, разбира се, включва почти всички данни за самоличност.

Неща за размисъл: уязвимости на базата данни. Има списък на уязвимостите, които са известни и докладвани от доставчиците на бази данни, когато бъдат открити и закърпени възможно най-бързо, така че има всичко това. Има неща, които са свързани с него по отношение на идентифициране на уязвими данни. Един от най-големите и най-успешни хакове за данни за плащания беше направен на компания за обработка на плащания. Впоследствие това беше придобито, защото трябваше да влезе в ликвидация, ако не го направи, но данните не бяха откраднати от никоя от оперативните бази данни. Данните бяха откраднати от тестова база данни. Просто така се случи, че разработчиците току-що бяха взели подмножество от данни, които са истински данни, и ги използваха, без каквато и да е защита, в тестовата база данни. Тестовата база данни беше хаквана и от нея бяха взети страшно много лични финансови подробности.

Политиката за сигурност, по-специално по отношение на сигурността на достъпа по отношение на бази данни, кой може да чете, кой може да пише, кой може да даде разрешения, има ли начин всеки да заобикаля нещо от това? Тогава разбира се, криптиране от бази данни позволява това. Там са разходите за нарушение на сигурността. Не знам дали това е стандартна практика в организациите, но знам, че някои, например, главни служители по сигурността се опитват да предоставят на ръководителите някаква представа каква е цената на нарушението на сигурността, преди да се случи, а не след това. И те, в някакъв случай, трябва да направят това, за да се уверят, че получават правилния размер на бюджета, за да могат да защитават организацията.

И след това нападателната повърхност. Изглежда, че повърхността на атаката нараства непрекъснато. Година на година изглежда, че повърхността на атаката просто нараства. Така че в обобщение, диапазонът е друга точка, но сигурността на данните обикновено е част от ролята на DBA. Но сигурността на данните също е съвместна дейност. Трябва да имате, ако правите сигурност, трябва да имате пълна представа за защитите на сигурността за организацията като цяло. И трябва да има корпоративна политика по този въпрос. Ако няма корпоративни политики, просто свършвате с частични решения. Знаеш ли, гумена лента и пластмаса, нещо като опити да се спре сигурността.

И тъй като казах това, мисля, че предавам на Дез, който вероятно ще ви разкаже различни истории за войната.

Ерик Кавана: Отнеси го, Дез.

Дез Бланчфийлд: Благодаря ти, Робин. Винаги е труден акт, който трябва да следваш. Ще дойда при това от противоположния край на спектъра, само за да предполагам да ни даде представа за мащаба на предизвикателството, пред което сте изправени и защо трябва да правим повече от това да седнем и да обърнем внимание на това, Предизвикателството, което виждаме сега с мащаба, количеството и силата на звука, скоростта, с която се случват тези неща, е, че нещото, което сега чувам около мястото с много CXO, не само CIO, но със сигурност CIO са тези, които посещават мястото, където доларът спира, е, че считат, че нарушенията на данните бързо се превръщат в норма. Това е нещо, което почти очакват да се случи. Така че те гледат на това от гледна точка на: „Добре, добре, когато се нарушаваме - не, ако - когато се нарушаваме, какво трябва да направим по този въпрос?“ И тогава разговорите започват наоколо, какво правят в традиционните крайни среди и рутери, комутатори, сървъри, откриване на проникване, проверка на проникване? Какво правят в самите системи? Какво правят с данните? И тогава всичко се връща към това, което направиха с техните бази данни.

Позволете ми само да се докосна до няколко примера за някои от тези неща, които завладяха много въображение на хората и след това се опитваме да ги разбиете малко. Така че чухме в новините, че Yahoo - вероятно най-големият брой, които хората са чували, е около половин милион, но всъщност се оказва, че неофициално е по-скоро като милиард - чух чуждо число от три милиарда, но това е почти половината от световното население, така че мисля, че това е малко по-високо. Но аз съм го проверил от редица хора в съответните пространства, които смятат, че има малко над милиард записи, които са били нарушени от Yahoo. И това е просто умопомрачително число. Сега някои играчи изглеждат и мислят, добре, че това са само акаунти в уеб поща, няма голяма работа, но тогава добавяте факта, че голяма част от тези акаунти в уеб пощата и любопитно голям брой, по-висок, отколкото предполагах, всъщност са платени сметки. Точно там хората вкарват данни за кредитната си карта и плащат за премахване на рекламите, тъй като се уморяват от рекламите и така $ 4 или $ 5 на месец са готови да купят услуга за съхранение в уеб и облак, която няма реклами, и аз съм един от тях и имам това при три различни доставчика, в които включвам кредитната си карта.

Така че тогава предизвикателството привлича малко повече внимание, тъй като не е просто нещо, което е там, като един изреждащ ред: "О, добре, Yahoo е загубил, да речем, между 500 и 1000 милиона акаунта", 1000 милиона го прави звучат много големи и акаунти в уеб поща, но данни за кредитна карта, име, фамилия, имейл адрес, дата на раждане, кредитна карта, пинов номер, каквото искате, пароли и тогава тя се превръща в много по-плашеща концепция. И отново хората ми казват: „Да, но това е просто уеб услуга, това е само уеб поща, няма голяма работа.“ И тогава аз казвам: „Да, добре, че акаунтът в Yahoo може да е използван и в паричните услуги на Yahoo за закупуване и продайте акции. ”Тогава става по-интересно. И когато започнете да се занимавате с това, разбирате, че, добре, това всъщност е нещо повече от майки и татковци вкъщи и тийнейджъри с акаунти за съобщения, това всъщност е нещо, където хората правят бизнес сделки.

Това е единият край на спектъра. Другият край на спектъра е, че много малък, общо практикуващ, доставчик на здравни услуги в Австралия е имал около 1000 записани кражби. Беше ли вътрешна работа, някой си тръгна, просто бяха любопитни, излязоха от вратата, в случая това беше 3, 5-инчова дискета. Беше преди малко - но можете да кажете ерата на медиите - но те бяха на стара технология. Но се оказа, че причината да вземат данните е, че просто са любопитни кой е там. Защото те имаха доста хора в това малко градче, което беше националната ни столица, които бяха политици. И се интересуваха кой е там и къде е животът им и цялата такава информация. Така че при много малко нарушение на данните, извършено вътрешно, значително голям брой политици в детайли на австралийското правителство уж бяха излезли на публично място.

Имаме да разгледаме два различни края на спектъра. Сега реалността е чистата скала на тези неща е просто потресаваща и имам слайд, към който ще скочим много, много бързо тук. Има няколко уебсайта, в които са изброени всички видове данни, но този конкретен е от специалист по сигурността, който е имал уебсайта, където можете да отидете и да търсите имейл адреса си или името си и ще ви показва всеки инцидент с данни нарушение през последните 15 години, че той е в състояние да си вземе ръцете, и след това заредете в база данни и проверете, и тя ще ви каже дали сте били pwned, както е терминът. Но когато започнете да разглеждате някои от тези числа и този екран не е актуализиран с последната му версия, която включва двойка, като Yahoo. Но просто помислете за видовете услуги тук. Имаме Myspace, имаме LinkedIn, Adobe. Adobe е интересно, защото хората гледат и мислят, добре, какво означава Adobe? Повечето от нас, които изтеглят Adobe Reader под някаква форма, много от нас са купили продукти на Adobe с кредитна карта, това са 152 милиона души.

Сега, доколкото това беше Робин по-рано, това са много големи числа, лесно е да бъдеш преодолян от тях. Какво се случва, когато имате 359 милиона акаунти, които са нарушени? Е, има няколко неща. Робин подчерта факта, че тези данни са неизменно в база данни с някаква форма. Това е критичното послание тук. Почти никой на тази планета, за който знам, че управлява система под каквато и да е форма, не я съхранява в база данни. Но интересното е, че има три различни типа данни в тази база данни. Има неща, свързани със сигурността, като потребителски имена и пароли, които обикновено са криптирани, но неизменно има много примери, където не са. Съществува актуална информация за клиента около техния профил и данни, които те създават, независимо дали това е здравен запис или е имейл или незабавно съобщение. И тогава има действителната вградена логика, така че това може да се съхранява процедури, може да е цял куп правила, ако + това + тогава + това. И неизменно това е просто ASCII текст, заседнал в базата данни, много малко хора седят там и си мислят: „Е, това са бизнес правила, така се преместват и контролират нашите данни, потенциално би трябвало да шифроваме това, когато е в покой и когато е в движение, може би го дешифрираме и запазваме в паметта “, но в идеалния случай вероятно това трябва да бъде също така.

Но се връща към този ключов момент, че всички тези данни са в база данни с някаква форма и по-често фокусът е, просто исторически, е бил на рутери и комутатори и сървъри и дори за съхранение, а не винаги в базата данни на задния край. Защото ние мислим, че имаме покрит ръбът на мрежата и е нещо като типично старо нещо, живеещо в замък и поставяш ров около него и се надяваш, че лошите няма да умее да плува. Но изведнъж лошите момчета разработиха как да направят удължени стълби и да ги хвърлят върху рова и да се изкачат над рова и да се изкачат по стените. И изведнъж вашият ров е почти безполезен.

Така че сега сме в сценария, в който организациите са в режим на догонване в спринт. Според мен те буквално се спринтират във всички системи и със сигурност опитът ми е, че не винаги само тези уеб-еднорози, както често ги споменаваме, по-често, отколкото не, се нарушават традиционните корпоративни организации. И не е нужно да имате много въображение, за да разберете кои са те. Има уебсайтове като един, наречен pastebin.net и ако отидете на pastebin.net и просто въведете имейл списък или списък с пароли, ще получите стотици хиляди записи на ден, които се добавят, където хората изброяват примерни набори от данни на до хиляда записи на име, фамилия, данни за кредитна карта, потребителско име, парола, дешифрирани пароли, между другото. Там, където хората могат да вземат този списък, да проверят три или четири от тях и да решат, че да, искам да купя този списък и обикновено има някаква форма на механизъм, която предоставя някакъв анонимен шлюз на лицето, продаващо данните.

Интересното е, че след като свързаният предприемач осъзнае, че могат да направят това, не е нужно толкова много въображение, за да осъзнаеш, че ако изразходваш 1000 долара за да купиш един от тези списъци, кое е първото нещо, което правиш с него? Не отиваш и опитваш да проследяваш сметките, поставяш копие от него обратно на pastbin.net и продаваш две копия за 1000 долара всеки и правиш печалба от 1000 долара. И това са деца, които правят това. Има няколко изключително големи професионални организации по целия свят, които правят това за прехрана. Има дори държави, които нападат други държави. Знаеш ли, много се говори за това, че Америка атакува Китай, Китай атакува Америка, не е толкова просто, но определено има правителствени организации, които нарушават системи, които неизменно се задвижват от бази данни. Това не е само случай на малки организации, но и на страни срещу страни. Това ни връща към проблема, къде се съхраняват данните? Това е в база данни. Какви контроли и механизми има там? Или неизменно те не са кодирани и ако са шифровани, това не винаги са всички данни, може би това е просто осолена и криптирана парола.

И обгърнати около това, имаме редица предизвикателства с това какво се съдържа в тези данни и как осигуряваме достъп до данни и съответствие с SOX. Така че, ако мислите за управление на богатството или банково дело, имате организации, които се притесняват от предизвикателството за поверителност; имате организации, които се притесняват от спазването на корпоративното пространство; имате изисквания за спазване на правителството и регулаторни изисквания; сега имате сценарии, където имаме базирани бази данни; имаме бази данни в трети центрове за данни; ние имаме бази данни в облачни среди, така че облачните му среди неизменно не винаги са в страната. И така това се превръща в по-голямо и по-голямо предизвикателство не само от гледна точка на чистата сигурност да не се хакваме, но и как да посрещнем всички различни нива на съответствие? Не само стандартите HIPAA и ISO, но има буквално десетки и десетки и десетки такива на държавно, национално и глобално ниво, които преминават границите. Ако правите бизнес с Австралия, не можете да премествате правителствени данни. Всички австралийски частни данни не могат да напуснат нацията. Ако сте в Германия, това е още по-строго. И знам, че Америка много бързо се занимава с това по ред причини.

Но това ме връща отново към цялото предизвикателство от това как да знаеш какво се случва в базата ти данни, как го следиш, как казваш кой какво прави в базата данни, кой има изгледи на различни таблици и редове, колони и полета, кога го четат, колко често го четат и кой го проследява? И мисля, че това ме довежда до последната ми точка, преди да предам на нашия гост днес, който ще ни помогне да говорим за това как решаваме този проблем. Но аз искам да ни оставя с тази една мисъл и това е, че много акцент е върху разходите за бизнеса и разходите за организацията. И днес няма да обхващаме подробно тази точка, но просто искам да я оставим в съзнанието си за размишление и това е, че има приблизителна оценка между 135 и 585 долара за запис, за да се изчисти след нарушение. Така че инвестицията, която правите в сигурността си около рутери и комутатори и сървъри, е всичко добре и защитни стени, но колко сте инвестирали в сигурността на вашата база данни?

Но това е фалшива икономия и когато нарушението на Yahoo се случи наскоро и аз го имам на добър авторитет, това е приблизително милиард сметки, а не 500 милиона. Когато Verizon купи организацията за нещо като 4, 3 милиарда, веднага щом нарушението се случи, те поискаха обратно милиард долара или отстъпка. Сега, ако се справите с математиката и кажете, че има приблизително милиард записи, които са били нарушени, милиард отстъпка, оценката от 135 до 535 долара за почистване на запис сега става 1 долар. Което отново е далечно. Това не струва $ 1 за почистване на милиард записи. При $ 1 на запис за изчистване на милиард записи за нарушение на този размер. Не можете дори да пуснете прес съобщение за такъв тип разходи. И така винаги се фокусираме върху вътрешните предизвикателства.

Но едно от нещата, мисля, и ни е задължително да вземем това много сериозно на ниво база данни, поради което това е много, много важна тема, за която да говорим, и това е, че ние никога не говорим за човешкото дан. Каква е човешката такса, която правим по този въпрос? И ще взема един пример, преди бързо да увивам. LinkedIn: през 2012 г. системата LinkedIn беше хакнала. Имаше редица вектори и няма да се впускам в това. И бяха откраднати стотици милиони сметки. Хората казват за 160 странни милиона, но всъщност това е много по-голям брой, той може да бъде колкото около 240 милиона. Но това нарушение беше обявено едва по-рано тази година. Това е четири години, че стотици милиони записи на хора са там. Сега имаше някои хора, които плащат за услуги с кредитни карти, а някои хора с безплатни сметки. Но LinkedIn е интересно, защото не само те получиха достъп до данните на вашия акаунт, ако сте били нарушени, но и получиха достъп до цялата ви информация в профила. И така, с кого сте се свързали и всички връзки, които сте имали, и видовете работни места, които са имали, и видовете умения, които са имали и колко дълго са работили във фирми и всякакъв вид информация, както и техните данни за контакт.

Така че помислете за предизвикателството, което имаме пред осигуряването на данните в тези бази данни, както и осигуряването и управлението на самите системи от бази данни, както и потока на въздействието, като човешкият брой на тези данни е там от четири години. И вероятността някой да се яви на почивка някъде в Югоизточна Азия и да има своите данни там от четири години. И някой може би е купил кола или е получил заем за жилище или е купил десет телефона през годината на кредитни карти, където са създали фалшив идентификационен номер на тези данни, които са били там четири години - защото дори данните на LinkedIn ви дават достатъчно информация за създайте банкова сметка и фалшива лична карта - и се качвате в самолета, отивате за почивка, кацате и сте хвърлени в затвора. И защо сте хвърлени в затвора? Е, защото ти беше открадната личната карта. Някой създаде фалшива лична карта и се държеше като вас и стотици хиляди долари и правеха това четири години и вие дори не знаехте за това. Понеже е там, просто се случи.

Така че мисля, че ни довежда до това основно предизвикателство как да разберем какво се случва в нашите бази данни, как да го проследяваме, как да го наблюдаваме? И с нетърпение очаквам да чуя как нашите приятели от IDERA са намерили решение за справяне с това. И с това ще предам.

Ерик Кавана: Добре, Игнасио, етажът е твой.

Игнасио Родригес: Добре. Добре дошли всички. Казвам се Игнасио Родригес, по-известен като Иги. Аз съм с IDERA и продуктов мениджър за продукти за сигурност. Наистина добри теми, които току-що разгледахме, и наистина трябва да се притесняваме за нарушенията на данните. Трябва да имаме втвърдени политики за сигурност, трябва да идентифицираме уязвимостите и да оценим нивата на защита, да контролираме потребителските разрешения, да контролираме сигурността на сървъра и да спазваме одити. Правих одит в миналата си история, най-вече от страна на Oracle. Направих някои неща на SQL Server и ги правех с инструменти или, по същество, домашни скриптове, което беше чудесно, но трябва да създадете хранилище и да се уверите, че хранилището е сигурно, като постоянно трябва да поддържате скриптите с промени от одиторите, какво си.

И така, в инструментите, ако знаех, че IDERA е там и има инструмент, повече от вероятно бих го закупил. Но така или иначе, ще говорим за Secure. Това е един от нашите продукти в нашата продуктова линия за сигурност и това, което всъщност прави, е да разгледаме политиките за сигурност и да ги съпоставим с регулаторните указания. Можете да видите пълна история на настройките на SQL Server, а също така можете по принцип да направите основна линия на тези настройки и след това да сравните с бъдещи промени. Можете да създадете моментна снимка, която е основна линия на вашите настройки, и след това да бъдете в състояние да проследите дали някое от тези неща са променени, както и да получавате предупреждение, ако са променени.

Едно от нещата, които правим добре, е да предотвратим риска и нарушенията на сигурността. Картата за отчитане на сигурността ви дава преглед на най-добрите уязвимости на сигурността на сървърите, а след това всяка проверка за сигурност се категоризира като висок, среден или нисък риск. Сега при тези категории или проверки за сигурност всичко това може да бъде променено. Да речем, ако имате някои контроли и използвате един от шаблоните, които имаме, и вие решите, добре, че нашите контроли наистина показват или искат тази уязвимост всъщност не е висока, а е среда или обратното. Може да имате някои, които са етикетирани като средни, но във вашата организация контролите, които искате да ги маркирате, или да ги считате за високи, всички тези настройки могат да се конфигурират от потребителя.

Друг критичен проблем, който трябва да разгледаме, е идентифицирането на уязвимите места. Разбиране кой има достъп до какво и идентифициране на всяко от ефективните права на потребителя във всички обекти на SQL Server. С инструмента ще можем да преминем и да разгледаме правата на всички обекти на SQL Server и тук скоро ще видим екранна снимка на това. Ние също така отчитаме и анализираме разрешения за потребители, групи и роли. Една от другите функции е, че предоставяме подробни доклади за риска за сигурността. Разполагаме с нестандартни отчети и съдържа гъвкави параметри за вас, за да създавате видовете отчети и да показвате данните, от които се нуждаят одиторите, служителите по сигурността и мениджърите.

Също така можем да сравним промените в сигурността, риска и конфигурацията във времето, както споменах. И тези са със снимките. И тези снимки могат да бъдат конфигурирани доколкото искате да ги направите - месечно, тримесечно, годишно - които могат да бъдат планирани в инструмента. И отново можете да правите сравнения, за да видите какво се е променило и какво е хубаво в това, ако сте имали нарушение, можете да създадете моментна снимка, след като е коригирана, направете сравнение и ще видите, че е имало високо ниво риск, свързан с предишната снимка и след това доклад, всъщност виждате в следващата снимка, след като се коригира, че вече не е проблем. Това е добър инструмент за одит, който бихте могли да дадете на одитора, доклад, който бихте могли да дадете на одиторите и да кажете: „Вижте, имахме този риск, смекчихме го и сега вече не е риск.“ И отново, аз споменати със снимките, които можете да сигнализирате, когато дадена конфигурация се промени и ако конфигурацията бъде променена и бъдат открити, които представляват нов риск, ще бъдете уведомени и за това.

Ние получаваме някои въпроси относно нашата SQL Server Архитектура със Secure и искам да направя корекция на слайда тук, където пише „Услуга за събиране.“ Ние нямаме никакви услуги, трябваше да е „Server и Collection Server. „Имаме конзолата си и след това нашия сървър за управление и събиране и имаме безпроблемно заснемане, което ще излезе в базите данни, които са регистрирани и събират данните чрез работни места. И ние имаме SQL Server хранилище и работим заедно със SQL Server Reporting Services, за да планираме отчети и да създаваме персонализирани отчети. Сега на карта за отчет за сигурността това е първият екран, който ще видите, когато стартира SQL Secure. Лесно ще видите кои критични елементи сте открили. И отново имаме върховете, средните и ниските. И тогава имаме и политиките, които са в съответствие с конкретните проверки за сигурност. Имаме шаблон HIPAA; имаме шаблони за сигурност на ниво 1, 2 и 3 на IDERA; имаме PCI указания. Всичко това са шаблони, които можете да използвате и отново можете да създадете свой собствен шаблон въз основа на вашите собствени контроли. И отново, те са изменяеми. Можете да създадете свой собствен. Всеки от съществуващите шаблони може да се използва като основна линия, след което можете да ги променяте, както желаете.

Едно от хубавите неща е да видите кой има разрешения. И с този екран тук ще можем да видим какви са входните данни на SQL Server в предприятието и вие ще можете да преглеждате всички зададени и ефективни права и разрешения в базата данни на сървъра на ниво обект. Правим това тук. Ще можете да изберете отново базите данни или сървърите, след което ще можете да изтеглите отчета за разрешенията на SQL Server. Така че мога да видя кой има какъв достъп до какво. Друга хубава функция е, че ще можете да сравните настройките за сигурност. Да речем, че сте имали стандартни настройки, които е необходимо да зададете във вашето предприятие. След това ще можете да направите сравнение на всичките си сървъри и да видите какви настройки са зададени на другите сървъри във вашето предприятие.

Отново шаблоните на политиките, това са някои от шаблоните, които имаме. По същество отново използвате едно от тях, създайте свой собствен. Можете да създадете своя собствена политика, както се вижда тук. Използвайте един от шаблоните и можете да ги променяте според нуждите. Също така можем да видим ефективните права на SQL Server. Това ще провери и докаже, че разрешенията са правилно зададени за потребителите и ролите. Отново можете да отидете там и да погледнете и видите и проверите дали разрешението е правилно зададено за потребителите и ролите. След това с правата за достъп до обект SQL Server можете след това да преглеждате и анализирате дървото на обекти на SQL Server надолу от ниво сървър надолу до ролите и крайните точки на ниво обект. И можете незабавно да видите присвоените и ефективни наследствени разрешения и свързани със сигурността свойства на ниво обект. Това ви дава добър поглед върху достъпите, които имате на обектите от вашата база данни и който има достъп до тях.

Отново имаме своите доклади, които имаме. Те са отчети за консерви, имаме няколко, от които можете да изберете, за да направите отчитането си. И много от тях могат да бъдат персонализирани или можете да имате своите клиентски отчети и да ги използвате в съчетание с отчитащите се услуги и да можете да създавате свои собствени персонализирани отчети оттам. Сега Сравненията на моментните снимки, това е доста страхотна функция, мисля, че можете да отидете там и да направите сравнение на направените от вас снимки и да погледнете дали има някакви разлики в броя. Добавени ли са някакви обекти, има ли разрешения, които са се променили, нещо, което бихме могли да видим какви промени са направени между различните снимки. Някои хора ще ги разглеждат на месечно ниво - ще правят месечна снимка и след това ще правят сравнение всеки месец, за да видят дали нещо се е променило. И ако не е имало нищо, което е трябвало да бъде променено, всичко, което е отишло на срещите за контрол на промяната, и виждате, че някои разрешения са променени, можете да се върнете, за да видите какво е станало. Това е доста приятна функция тук, където отново можете да направите сравнението на всичко, което е одитирано в момента на снимката.

Тогава вашето Сравнение за оценка. Това е още една хубава характеристика, която имаме къде можете да отидете там и да разгледате оценките и след това да направите сравнение между тях и да забележите, че сравнението тук имаше акаунт в SA, който не е деактивиран в тази скорошна снимка, която направих - това сега се коригира. Това е доста хубаво нещо, където можете да покажете, че, добре, имахме някакъв риск, те бяха идентифицирани от инструмента и сега сме смекчили тези рискове. И отново, това е добър доклад, който показва на одиторите, че всъщност тези рискове са били смекчени и за тях е поето.

В обобщение, сигурността на базата данни е критична и мисля, че много пъти разглеждаме нарушения, които идват от външни източници и понякога всъщност не обръщаме твърде много внимание на вътрешните нарушения и това са някои от нещата, които ние трябва да внимавате. И Secure ще ви помогне там, за да сте сигурни, че няма привилегия, която не е необходимо да бъдете присвоена, знаете, уверете се, че всички тези сигурности са настроени правилно в акаунтите. Уверете се, че вашите акаунти в SA имат пароли. Също така проверява доколко вашите ключове за криптиране са били изнесени? Просто множество различни неща, които проверяваме и ще ви предупредим за факта дали е имало проблем и на какво ниво е. Нуждаем се от инструмент, много професионалисти се нуждаят от инструменти за управление и наблюдение на разрешенията за достъп до база данни и всъщност разглеждаме предоставянето на широка възможност за контрол на разрешенията на базата данни и проследяване на дейностите за достъп и смекчаване на риска от нарушаване.

Друга част от нашите продукти за сигурност е, че има WebEx, който беше обхванат и част от презентацията, за която говорихме по-рано, бяха данни. Знаете кой има достъп до какво, какво имате и това е нашия инструмент за SQL Compliance Manager. И има записан WebEx на този инструмент и това всъщност ще ви позволи да наблюдавате кой има достъп до какви таблици, какви колони, можете да идентифицирате таблици, които имат чувствителни колони, до дата на раждане, информация за пациента, тези типове таблици и всъщност виждате кой има достъп до тази информация и ако се осъществява достъп до нея.

Ерик Кавана: Добре, така че нека се потопим във въпросите, предполагам, тук. Може би, Дез, първо ще ти го хвана, а Робин, обаждай се колкото можеш.

Дез Бланчфийлд: Да, сърбях да задам въпрос от втория и третия слайд. Какъв е типичният случай на употреба, който виждате за този инструмент? Кои са най-често срещаните типове потребители, които виждате, че приемат това и го пускат в игра? И на гърба на този, типичният, нещо като използван случай модел, как вървят по този въпрос? Как се осъществява?

Игнасио Родригес: Добре, типичният случай на използване, който имаме, са DBA, на които е възложена отговорността за контрол на достъпа за базата данни, които се уверяват, че всички разрешения са зададени по начина, по който трябва да бъдат, и след това да следят, и техните стандарти на място. Знаеш ли, тези определени потребителски акаунти могат да имат достъп само до тези конкретни таблици и т.н. И това, което правят с него, е да се уверят, че тези стандарти са били определени и тези стандарти не са се променили с времето. И това е едно от големите неща, за които хората го използват, е да проследяват и идентифицират дали се правят промени, за които не се знае.

Дез Бланчфийлд: Тъй като те са страшните, нали? Може ли да имате, да речем, стратегически документ, да имате политики, които да са в основата на това, да имате съответствие и управление под това, и да следвате политиките, вие се придържате към управлението и той получава зелена светлина и след това изведнъж месец по-късно някой претърпи промяна и по някаква причина той не преминава през един и същи съвет за преглед на промените или процес на промяна, или каквото и да е, или проектът просто е продължил и никой не знае.

Имате ли някакви примери, които можете да споделите - и знам, очевидно, че не винаги е нещо, което споделяте, защото клиентите са малко загрижени за това, така че не е задължително да назоваваме имена - но дайте пример за това къде може би сте виждали това всъщност, знаете ли, една организация е поставила това на мястото си, без да го осъзнава и те просто откриха нещо и осъзнаха: „Леле, струваше десет пъти, просто намерихме нещо, което не осъзнахме.“ Имате ли всеки пример, когато хората са приложили това и след това са открили, че имат по-голям проблем или реален проблем, който не са осъзнали, че имат и тогава веднага ще бъдете добавени в списъка с коледни картички?

Игнасио Родригес: Ами мисля, че най-голямото нещо, което видяхме или съобщихме, е това, което току-що споменах, що се отнася до достъпа, който някой имаше. Има разработчици и когато внедряват инструмента, те наистина не осъзнават, че X количество от тези разработчици имат толкова много достъп до базата данни и имат достъп до определени обекти. И още нещо са акаунти само за четене. Имаше някои акаунти само за четене, елате да разберете, че тези акаунти само за четене са, вмъкнаха данни и изтрийте привилегии. Именно там видяхме известна полза за потребителите. Голямото нещо, че отново чухме, че хората харесват, е в състояние отново да проследят промените и да се уверят, че нищо не ги заслепява.

Дез Бланчфийлд: Както Робин подчерта, имате сценарии, които хората не мислят често, нали? Когато с нетърпение очакваме, някак си мислим, знаете, ако правим всичко според правилата, и аз намирам, и съм сигурен, че и вие го виждате - кажете ми, ако не сте съгласни с това - организациите се фокусират така усилено върху разработването на стратегия и политика, спазване и управление и KPIs и отчитане, че те често са толкова фиксирани върху това, че не мислят за хората, които не са в състояние да го направят. И Робин имаше наистина страхотен пример, който аз ще открадна от него - съжалявам Робин, - но примерът е онзи друг път, когато на живо копие на базата данни, моментна снимка и го постави в тест за разработка, нали? Правим dev, правим тестове, правим UAT, правим интеграция на системи, всякакви подобни неща и тогава правим куп тестове за съответствие. Често dev тест, UAT, SIT всъщност има компонент за съответствие, където просто се уверяваме, че всичко е здравословно и безопасно, но не всеки прави това. Този пример, който Робин даде с копие на живо копие на базата данни, поставено в тест с среда за разработка, за да провери дали все още работи с данните на живо. Много малко компании седят назад и си мислят: „Това дори се случва или е възможно?“ Те винаги са фокусирани върху производството. Как изглежда пътуването към внедряването? Говорим ли за дни, седмици, месеци? Как изглежда редовното внедряване за организация със среден размер?

Игнасио Родригес: Дни. Това не са дори дни, искам да кажа, това е само няколко дни. Току-що добавихме функция, при която можем да регистрираме много, много сървъри. Вместо да се налага да влизате там в инструмента и да казвате, че имате 150 сървъра, трябва да влезете там индивидуално и да регистрирате сървърите - сега не е нужно да правите това. Има създаден от вас CSV файл и ние автоматично го премахваме и не го съхраняваме там поради съображения за сигурност. Но това е друго нещо, което трябва да вземем предвид, е дали ще имате CSV файл там с потребителско име / парола.

Това, което правим, е автоматично, изтриваме ли го отново, но това е опция, която имате. Ако искате да влезете там индивидуално и да ги регистрирате, а не искате да поемате такъв риск, тогава можете да направите това. Но ако искате да използвате CSV файл, поставете го на сигурно място, насочете приложението към това местоположение, той ще задейства този CSV файл и след това автоматично ще бъде настроен да изтрие този файл, след като го направи. И ще отиде и ще се уверите, че файлът е премахнат. Най-дългият полюс в пясъка, който имахме по отношение на реализацията, беше регистрация на действителните сървъри.

Дез Бланчфийлд: Добре. Сега говорихте за доклади. Можете ли да ни дадете малко повече подробности и поглед върху онова, което се предлага предварително в комплект с отчитането около, предполагам, компонента на откриването, за да разгледаме какво има там и да отчитаме за него, текущото състояние на нацията, какво идва предварително, изградени и предварително изпечени до доклади около текущото състояние на съответствие и сигурност и след това колко лесно се разширяват? Как да надграждаме тези?

Игнасио Родригес: Добре. Някои от отчетите, които имаме, имаме отчети, които се занимават с кръстосани сървъри, проверки за вход, филтри за събиране на данни, история на дейностите и след това доклади за оценка на риска. А също и всички заподозрени акаунти на Windows. Тук има много, много. Вижте съмнителни SQL влизания, сървърни входни данни и картографиране на потребители, потребителски разрешения, всички потребителски разрешения, сървърни роли, роли на базата данни, известна степен на уязвимост, която имаме или отчети за автентификация в смесен режим, бази данни за гостите с активиране, уязвимост на ОС чрез XPS, разширените процедури, и след това уязвимите фиксирани роли. Това са някои от докладите, които имаме.

Дез Бланчфийлд: И споменахте, че те са достатъчно значими и редица от тях, което е логично. Колко лесно ми е да го пригодя? Ако пускам доклад и получавам тази страхотна голяма графика, но искам да извадя някои парчета, които всъщност не ме интересуват, и да добавя няколко други функции, има ли писател на отчети, има ли някакъв интерфейс и инструмент за конфигуриране и адаптиране или дори потенциално изграждане на друг отчет от нулата?

Игнасио Родригес: След това бихме насочили потребителите да използват услугите за отчети на Microsoft SQL, за да направят това и имаме много клиенти, които всъщност ще вземат някои от отчетите, ще ги персонализират и планират, когато пожелаят. Някои от тези хора искат да виждат тези доклади месечно или седмично и те ще вземат информацията, която имаме, ще я преместват в службите за отчитане и след това ще направят това от там. Нямаме интегриран писател на отчети с нашия инструмент, но ние се възползваме от услугите за отчитане.

Дез Бланчфийлд: Мисля, че това е едно от най-големите предизвикателства с тези инструменти. Можете да влезете там и да намерите неща, но след това трябва да можете да го извадите, да го докладвате на хора, които не са непременно DBA и системни инженери. Има моя интересна роля в моя опит и това е, знаете, служителите по риска винаги са били в организации и че те са били предимно и напълно различен диапазон от рискове, които виждаме наскоро, докато сега с данни нарушенията стават не просто нещо, а действително цунами, CRO премина от това, знаете ли, HR и спазването на изискванията за безопасност и здравето на работното място сега към кибер риск. Знаете, нарушение, хакване, сигурност - много по-технически. И става интересно, защото има много CRO, които идват от родословие на MBA, а не от техническо родословие, така че те трябва да си вървят главите, нещо, какво означава това за прехода между кибер риска да се премести към CRO и т.н. Но голямото нещо, което искат, е само отчитане на видимостта.

Можете ли да ни кажете нещо около позиционирането по отношение на спазването? Очевидно една от големите силни страни на това е, че можете да видите какво се случва, можете да го наблюдавате, можете да научите, можете да докладвате за него, можете да реагирате на него, дори можете да предупредите някои неща. Основното предизвикателство е спазването на управлението. Има ли ключови части от това, които умишлено се свързват със съществуващите изисквания за съответствие или спазването на индустрията като PCI, или нещо подобно в момента, или това е нещо, което слиза от пътната карта? По някакъв начин се вписва в рамката на харесванията на COBIT, ITIL и ISO стандартите? Ако разгърнем този инструмент, дали той ни дава поредица от проверки и баланси, които се вписват в тези рамки, или как да го вградим в тези рамки? Къде е позицията с подобни неща?

Игнасио Родригес: Да, има шаблони, които предлагаме с инструмента. И отново стигаме дотам, че преоценяваме шаблоните си и ще добавяме и скоро ще има още. FISMA, FINRA, някои допълнителни шаблони, които имаме, и обикновено преглеждаме шаблоните и гледаме да видим какво се е променило, какво трябва да добавим? И всъщност искаме да стигнем до момента, в който, знаете, изискванията за сигурност са се променили доста, така че ние търсим начин да направим това разширяемо в движение. Това е нещо, което гледаме в бъдеще.

Но в момента разглеждаме може би създаването на шаблони и възможността за получаване на шаблоните от уебсайт; можете да ги изтеглите. И така се справяме с това - ние се справяме с тях чрез шаблони и търсим начини в бъдеще тук да направим това лесно разширяемо и бързо. Защото, когато правех одит, знаете, нещата се променят. Един одитор ще дойде един месец, а на следващия месец те искат да видят нещо различно. Тогава това е едно от предизвикателствата пред инструментите, е да можеш да направиш тези промени и да получиш това, от което се нуждаеш, и това е, докъдето искаме да стигнем.

Дез Бланчфийлд: Предполагам, че предизвикателството на одитора се променя редовно в светлината на факта, че светът се движи по-бързо. И веднъж изискването от одитна гледна точка, според моя опит, би било просто търговско съответствие и тогава то стана техническо съответствие и сега това е оперативно съответствие. И има всички тези други, знаете ли, всеки ден някой се появява и те не просто ви измерват по нещо като операция ISO 9006 и 9002, те гледат всякакви неща. И виждам, че сега 38 000 серии стават голямо нещо и в ISO. Представям си, че това ще стане все по-предизвикателно. Предстои ми да предам на Робин, защото бях наклонил честотната лента.

Много ви благодаря, виждам това и определено ще отделя повече време, за да го опозная, защото всъщност не осъзнах, че всъщност това е доста дълбоко. Така че, благодаря ти, Игнасио, сега ще предам на Робин. Страхотна презентация, благодаря. Робин, до теб.

Д-р Робин Блур: Добре, Иги, ще ви нарека Иги, ако това е наред. Това, което ме смущава, и мисля, че в светлината на някои неща, които Дез каза в своето представяне, там се случва ужасно много неща, които трябва да кажете, че хората наистина не се грижат за данните. Знаеш ли, особено когато се свежда до факта, че виждаш само част от айсберга и вероятно там се случва много. Интересува ме вашата гледна точка за това колко от клиентите, с които сте запознати, или потенциалните клиенти, които знаете, имат нивото на защита, което вие, вид, предлагате с не само това, но и вашата технология за достъп до данни? Искам да кажа, кой е подходящо оборудван за справяне със заплахата, въпросът е?

Игнасио Родригес: Кой е подходящо оборудван? Искам да кажа, много клиенти, които наистина имаме, не са се занимавали с никакъв вид одит, знаете ли. Те са имали някои, но голямото нещо се опитва да бъде в крак с това и се опитва да го поддържа и да се увери. Големият проблем, който видяхме, е - и дори имам, когато изпълнявах спазването на изискванията, е - ако пускате скриптите си, ще го правите веднъж на тримесечие, когато одиторите ще влязат и вие откриете проблем. Е, познайте какво, това вече е късно, одитът е там, одиторите са там, те искат своя доклад, те го маркират. И тогава или получаваме оценка, или ни беше казано, ей, ние трябва да поправим тези проблеми и ето къде ще влезе това. Би било по-скоро проактивно нещо от типа, където можете да намерите риска и да намалите риска и това е какво търсят нашите клиенти. Начинът да бъде донякъде проактивен, за разлика от реагирането, когато одиторите влязат и намерят някои от достъпа не са там, където трябва да бъдат, други хора имат административни привилегии и не трябва да ги имат, такива видове неща. И там видяхме много отзиви, че хората харесват инструмента и го използват.

Д-р Робин Блур: Добре, имам още един въпрос, който в известен смисъл е и очевиден въпрос, но просто съм любопитен. Колко хора всъщност идват при вас след хак? Къде, знаете, получавате бизнеса не защото са разгледали средата им и са преценили, че трябва да бъдат обезпечени по много по-организиран начин, а всъщност сте там, просто защото вече са претърпели част от болка.

Игнасио Родригес: По мое време тук в IDERA не съм го виждал. За да бъда честен с вас, по-голямата част от взаимодействието, което имах с клиентите, в които участвах, е по-скоро с нетърпение и се опитвам да започна одит и започнах да гледам привилегии и т.н. Както казах, аз имам себе си, не съм преживял в моето време тук, че сме имали някой, който е дошъл след нарушение, което знам.

Д-р Робин Блур: О, това е интересно. Бих си помислил, че е имало поне няколко. Всъщност разглеждам това, но и добавям към него всички сложности, които всъщност правят данните сигурни в предприятието по всякакъв начин и във всяка дейност, която извършвате. Предлагате ли директно консултации, за да помогнете на хората? Искам да кажа, че е ясно, че можете да купувате инструменти, но според моя опит често хората купуват сложни инструменти и ги използват много зле. Предлагате ли конкретни консултации - какво да правите, кой да тренира и подобни неща?

Игнасио Родригес: Има някои услуги, които бихте могли, що се отнася до помощните услуги, да позволят някои от тях да се появят. Но що се отнася до консултациите, ние не предоставяме никакви консултантски услуги, а обучение, знаете как да използвате инструментите и подобни неща, някои от тях ще бъдат адресирани до нивото на подкрепа. Но сами по себе си нямаме отдел за услуги, който да излиза и прави това.

Д-р Робин Блур: Добре. По отношение на базата данни, която покривате, презентацията тук само споменава Microsoft SQL Server - правите ли и Oracle?

Игнасио Родригес: Първо ще се разширим в сферата на Oracle с мениджъра за съответствие. Ще започнем проект с това, така че ще гледаме да разширим това в Oracle.

Д-р Робин Блур: А има ли вероятност да отидете другаде?

Игнасио Родригес: Да, това е нещо, което трябва да разгледаме в пътните карти и да видим как стоят нещата, но това са някои от нещата, които обмисляме, е какви други платформи на база данни трябва да атакуваме и ние.

Д-р Робин Блур: Аз също се интересувах от разделянето, нямам никаква предварителна представа за това, но по отношение на разполаганията, колко от това всъщност се разполага в облака или е почти всичко на място ?

Игнасио Родригес: Всички на място. Гледаме да разширим и Secure, за да покрием Azure, да.

Д-р Робин Блур: Това беше въпросът на Azure, все още не сте там, но отивате там, има много смисъл.

Игнасио Родригес: Да, ще отидем там съвсем скоро.

Д-р Робин Блур: Да, добре, че разбирам от Microsoft е, че има много страшно действие с Microsoft SQL Server в Azure. Става, ако желаете, ключова част от това, което предлагат. Другият въпрос, който ме интересува някак - не е технически, по-скоро е въпрос на начина, по който да се ангажирате - кой е купувачът за това? Приближавате ли се от информационния отдел или се обръщате към вас от ОГО или става въпрос за различно разнообразие от хора? Когато се обмисля нещо подобно, това е част от разглеждането на цяла поредица от неща за опазване на околната среда? Каква е ситуацията там?

Игнасио Родригес: Това е смес. Имаме граждански организации, много пъти екипът по продажбите ще достигне и ще говори с DBA. И тогава DBA-тата отново бяха уредени с въвеждането на някакви политики на одитния процес. И тогава от там ще оценят инструментите и ще отчетат веригата и ще вземат решение коя част искат да купят. Но това е смесена торба на това кой ще се свърже с нас.

Д-р Робин Блур: Добре. Мисля, че сега ще се върна на Ерик, защото ние някак си свършихме часа, но може да има някои въпроси на публиката. Ерик?

Ерик Кавана: Да, сигурно, тук сме изгорили много добро съдържание. Ето един наистина добър въпрос, който ще ви прехвърля от един от присъстващите. Той говори за blockchain и това, за което говорите, и се пита, има ли възможен начин да мигрирате част само за четене на SQL база данни към нещо подобно на това, което предлага blockchain? Това е нещо трудно.

Игнасио Родригес: Да, ще бъда честен с вас, нямам отговор на това.

Ерик Кавана: Ще го прехвърля на Робин. Не знам дали сте чули този въпрос, Робин, но той просто пита, има ли начин да мигрира частта, която е само за четене на SQL база данни, към нещо подобно на това, което предлага блокчейн? Какво мислиш за това?

Д-р Робин Блур: Това е така, ако ще мигрирате базата данни, вие също ще мигрирате трафика на базата данни. В това е ангажиран цял комплекс от сложности. Но не бихте го направили по друга причина, освен да направите данните неприкосновени. Тъй като блокчейн ще има по-бавен достъп, така че, знаете, ако скоростта е вашето нещо - и почти винаги е нещото - тогава няма да го правите. Но ако искате да предоставите, някакъв, кодиран шифрован достъп до част от него на някои хора, които правят такива неща, бихте могли да го направите, но ще трябва да имате много основателна причина. Много по-вероятно е да го оставите там, където е, и да го осигурите там, където е.

Дез Бланчфийлд: Да, съгласен съм с това, ако успея да претегля бързо. Мисля, че предизвикателството на blockchain, дори блокчейнът, който е публично там, се използва на биткойни - трудно ни е да го мащабираме отвъд, като цяло, четири транзакции в минута по пълен начин. Не толкова заради предизвикателството на изчисленията, въпреки че то е там, пълните възли са просто трудни да се съобразяват с обемите на базата данни, които се движат назад и напред и количеството данни, които се копират, защото сега са концерти, а не само меги.

Но също така, мисля, че основното предизвикателство е, че трябва да промените архитектурата на приложението, тъй като в база данни е предимно за привеждане на всичко на централно място и имате този модел тип клиент-сървър. Blockchain е обратното; става въпрос за разпространени копия. По-скоро прилича на BitTorrent по много начини и това е, че много копия са там от едни и същи данни. И знаете ли, че като Cassandra и бази данни в паметта, където го разпространявате, и много сървъри могат да ви дадат копия на същите данни от разпределен индекс. Мисля, че двете ключови части, както ти каза, Робин, са: една, ако искаш да я закрепиш и да се увериш, че тя не може да бъде открадната или хакната, това е чудесно, но все още не е задължително транзакционна платформа и ние изпитах това с проекта за bitcoin. Но на теория други са го решили. Освен това, архитектурно много приложения там просто не знаят как да питат и четат от блокчейн.

Там трябва да се свърши много работа. Но мисля, че ключовият момент с въпроса там, просто ако мога, е обосновката за преместването му в блокчейн, мисля, че въпросът, който се задава е, можете ли да извадите данни от база данни и да ги поставите под някаква форма, това е по-сигурен? И отговорът е, че можете да го оставите в базата данни и просто да го шифровате. Сега има много технологии. Просто шифровайте данните в покой или в движение. Няма причина, поради която не можете да имате криптирани данни в паметта и в базата данни на диска, което е далеч по-просто предизвикателство, защото нямате нито една архитектурна промяна. Неизменно повечето платформи на база данни, това всъщност е просто функция, която се активира.

Ерик Кавана: Да, имаме един последен въпрос, който ще ви прехвърля, Иги. Доста добър е. От гледна точка на SLA и планирането на капацитет какъв данък има чрез вашата система? С други думи, всякакви допълнителни закъснения или пропускателна способност, ако в система от производствени бази данни някой иска да включи технологията на IDERA тук?

Игнасио Родригес: Наистина не виждаме голямо влияние. Отново това е продукт без агенти и всичко зависи от, както споменах преди, снимките. Secure се основава на моментни снимки. Той ще отиде там и всъщност ще създаде работа, която ще излиза там въз основа на избраните от вас интервали. Или искате да го направите, отново, седмично, ежедневно, месечно. Той ще отиде там и ще изпълни тази задача и след това ще събере данните от инстанциите. В този момент след това натоварването се връща към услугите за управление и събиране, след като започнете да правите сравнения и всичко това, натоварването на базата данни не играе роля в това. Всичко това натоварване е сега на сървъра за управление и събиране, доколкото прави сравнения и цялото отчитане и всичко това. Единственият път, когато натиснете базата данни, е винаги, когато прави реалната снимка. И не сме имали никакви съобщения за това, че наистина е вредно за производствената среда.

Ерик Кавана: Да, това е наистина добър момент, който правиш там. По принцип можете просто да зададете колко пъти да правите снимки, какъв е този интервал от време и в зависимост от това какво може да се случи, но това е много интелигентна архитектура. Това са добри неща, човече. Добре, момчета сте на първа линия, които се опитват да ни защитят от всички онези хакери, за които говорихме в първите 25 минути на шоуто. И те са там, хора, не правите грешка.

Е, чуйте, ние ще публикуваме връзка към тази уебкаст, архивите, на нашия сайт insideanalysis.com. Можете да намерите неща в SlideShare, можете да ги намерите в YouTube. И хора, добри неща. Благодаря за отделеното време, Иги, обичам прякора ти, между другото. С това ще се сбогуваме, хора. Благодаря ви много за отделеното време и внимание. Ще те догоним следващия път. Чао чао.

Новото нормално: справяне с реалността на един несигурен свят