Almacenamiento y seguridad de la base de datos en memoria (MemSQL, Spark, Redis, Geode, et al)

2

Existe una tendencia creciente a utilizar más almacenamiento en memoria para una amplia variedad de casos de uso, desde análisis de big data (Spark) a una capacidad de procesamiento más rápida (MemSQL) a almacenamiento en caché (Redis), a los que se accede con mayor frecuencia antes de realizar un viaje a RDBMS basado en disco. AWS Elasticache es un ejemplo de esto. Una de las "mejores prácticas" arquitectónicas que he escuchado recientemente es almacenar primero todo en caché. Luego haga viajes al disco solo para datos menos usados (fríos).

Con esta tendencia creciente para aprovechar más el almacenamiento en memoria, no he visto mucho escrito sobre asegurar estos almacenes de datos junto con las posibles vulnerabilidades asociadas que vienen con ellos. Cuando le pregunté a Amazon si hay cifrado disponible para los datos de Elasticache, dijeron que no.

Además, no estoy seguro de que las pautas de seguridad de almacenamiento de datos tradicionales se apliquen de la misma manera que almacenamiento basado en disco para las agencias reguladas. Por ejemplo, el cifrado de datos en reposo (DAR) es un requisito del NIST para datos confidenciales (por ejemplo, PII, PHI) en la nube. ¿Este mismo estándar se aplica a los datos que solo existen en memoria ? Si no, ¿es realmente una buena idea? ¿Ya han considerado el NIST y otras organizaciones de seguridad los posibles vectores de ataque en este espacio? Si es así, ¿hay directrices publicadas para el almacenamiento en memoria? ¿O se supone que debemos inferir a partir de reglas / regulaciones / directrices antiguas y luego extrapolar a este entorno de almacenamiento?

Cualquier comentario sobre Protección de almacenes de datos en memoria se aprecia, especialmente por parte de quienes han tenido que certificar la seguridad de sus sistemas a través de asesores externos.

    
pregunta Dereksurfs 16.01.2017 - 01:01
fuente

1 respuesta

3

En general, el cifrado de los almacenes de datos en memoria / cachés no se realiza porque todos los datos de trabajo se almacenan en la memoria RAM, así como la clave de cifrado en algún momento y si un atacante tiene acceso a la memoria del sistema, tendrá acceso. a los medios para descifrar los datos o tener medios para acceder a los datos después del descifrado, por lo que no proporciona ninguna seguridad adicional.

La mejor práctica es evitar el acceso no autorizado desde un proceso externo o una máquina asegurándose de que tiene Modelado de amenazas hecho para su aplicación. Esto traerá a la luz todas las formas en que un atacante puede acceder a sus datos o atacarlos. Existen varias metodologías para el modelado de amenazas y la que he usado es STRIDE . Existe una herramienta gratuita que Microsoft proporciona, que es útil para crear modelos de amenazas usando Esta metodología. Esto no es específico de las bases de datos en memoria, sino más holístico, ya que cubre aspectos de seguridad para una aplicación determinada.

    
respondido por el ARau 16.01.2017 - 03:39
fuente

Lea otras preguntas en las etiquetas