Есть ли базы данных, хранилища, бэкенды для конфиденциальных данных?

Question

[Ярослав]

С веб-приложениями есть проблема в том, что в случае уязвимости в нем, сразу можно потерять практически все данные, к которым имеет доступ приложение, а средства безопасности SQL не позволяют надежно и тонко настроить права доступа.

Например, если в приложении есть SQL Injection, то найдя ее, взломщик просто отдает запрос SELECT * FROM customers; и получает список всех клиентов с паролями. Он может это сделать, потому что язык SQL дает такую возможность. Хотя с точки зрения безопасности, фронтенду именно такая опасная операция никогда не нужна (но нужен доступ к табл. customers).

Поэтому есть идея: а что если разделить данные и хранить по разному? 99% данных (они и так публичны или не слишком дороги, например, список товаров, описания, картинки, цены) - будут в обычной СУБД. Существующее приложение на 99% не изменится. Но 1% мы выносим куда-то на.... (тут не знаю, как назвать это, ну давайте назовем secure backend) и работаем с ним по API, которое, в отличие от SQL заточено на безопасность. В результате, что мы имеем:
1. Даже полный доступ к базе не дает доступа к secure backend
2. Даже root доступ к серверу, все равно не открывает возможность все слить с secure backend!

Примеры, как он мог бы работать:
Логин
При логине, есть возможность проверить, что username/password соответствует. (Но нельзя получить даже хеш пароля). Опционально - может быть даже ratelimit на эти операции, чтобы нельзя было bruteforce. Например, передается IP клиента, и более 10 запросов в минуту вызывают блокировку.

После логина, открываются возможности чтения профиля клиента. Например, адрес доставки, история покупок, итд. Как вариант, эта история и так хранится в SQL, но не имея какого-то id клиента, невозможно их увязать не выполнив успешную процедуру логина. Взломщик может узнать, что 21 числа была куплена тумбочка, но купил ее secure:user:id:123, а кто это - не знает.

Не-SQLные ограничения
Оператор в отделении банка в среднем обслуживает 20 человек в день (допустим), мы выделяем ему лимит, он может запросить данные о 50 клиентах банка из этого города, и 5 из других городов (чтобы избежать ситуации "где карту получали, туда и обращайтесь). Это не мешает ему в обычной работе, но он в принципе не может слить всю базу всех клиентов банка. (Через SQL, веб приложение с уязвимостью - может)

Разные роли пользователей
Веб-приложение устанавливает коннект к API именно как веб-приложение и имеет свой "профиль" (правила доступа). Например, оно в принципе не может получить список всех клиентов, никогда. Админка - может. Но чтобы приложение "залогинилось" как админка - во-первых, нужно код приложения изменить (т.е. получить root на фронтенд-сервере), а во-вторых, пройти доп. ограничения, например, знать пароль админа, а он никогда не вводится на фронтенде, или же вообще, админ может работать только с других IP адресов.

Есть ли уже готовые похожие решения для чего-то подобного?

Comments

[Антон Р.]

Просто шифруй хорошим хэшэм все конфиденциальное

[Владимир Коротенко]

Антон Р., И что ? Уведут ФИО, почту, номер соц страховки, телефон, вопрос для восстановления, запасное мыло.
Но бесполезный хэш будут расшифровывать очень долго. Так?

Как по мне данные выше намного чувствительней.

[Владимир Коротенко]

* Не доверяйте пользователю.
* Любой ввод санируйте теми же регэкспами.
* Используйте ORM, они в общем виде сами эскейпят данные.
* Сделайте прослойку в виде бизнес логики, даже если мусор попадет, то просто отдается пустой список, приложение вообще не знает о базе данных
* Лимиты как вы правильно сказали, и не только при внешнем обращении, но и во внутренней логике.
* не используйте "*"
* не используйте широкие запросы для списка, только id, время модификациии и заголовок, всю конкретику можно получить позже, запросив индивидуальную запись.

Готовых решений нет, ну или стоят как чугунный паровоз. Производят Cisco, Huawey, Checkpoint, Kaspersky (Infowatch) и другие менее известные.

[Ярослав]

Антон Р., хешировать только пароль можно. Даже ФИО пользователя уже не захешируешь, т.к. приложение должно с ними работать. Либо придется шифровать, но при этом ключ хранить рядом с замком, что не слишком-то помогает.

[Антон Р.]

Ярослав Поляков, можно хэшировать: почту, адрес, что-то еще что не публикуется на сайте но участвует во внутренних процессах.

[Ярослав]

Так если оно не используется фронтендом - можно просто исключить доступ к этим полям, для надежности. То, что захешировано - можно ведь все равно подобрать (имен - фамилий не так уж много, по крайней мере популярных, телефонных номеров - диапазон короткий). Хеш - защищает, конечно, но не так как полное отсутствие/недоступность данных.

[devalone]

2. Даже root доступ к серверу, все равно не открывает возможность все слить с secure backend!

С помощью какой магии твой secure backend должен работать? Если у тебя есть root доступ, значит есть доступ ко всему, что находится на сервере, можно шифровать, но опять же, если ключи на этом же сервере, то всё тщетно.

Те ограничения, что ты описал реализуются прекрасно на бэкенде приложения, а если боишься SQL Injection и не веришь в ORM и Prepared Statements, то можно использовать NOSQL решения.

[Ярослав]

Магия в том, что машина с фронтендом и машина с API/backend - это разные машины. root на фронтенде не дает никаких профитов для работы с бэкендом.

Answer 1

[Vitaly Karasik]

Посмотрите на WAF, особенно на Database Firewalls (https://www.imperva.com/ и т.п.)
Есть советы по безопасной архитектуре от OWASP,
по прохождения аудита на PCI, SOC2.

Comments

[Ярослав]

database firewalls прямо звучит как надо :-) Еще вопрос: а что-то опен-сорсное, бесплатное есть в этой сфере? По первому впечатлению, Imperva - это что-то для компаний типа боинга или кока-колы, за миллионы долларов.

Советы по безопасной архитектуре - вы имеете в виду эти:
https://www.owasp.org/index.php/Architecture_and_d... ?

[Vitaly Karasik]

Ярослав Поляков,

вы имеете в виду эти

это скорее список опасностей.
Посмотрите
https://www.owasp.org/index.php/Security_by_Design...
https://github.com/OWASP/DevGuide

По первому впечатлению, Imperva - это что-то для компаний типа боинга или кока-колы, за миллионы долларов.

Я не пользовался их database firewall, но их WAF/DDoS продукт Incapsula имеет вполне реальную цену - есть планы начиная с 300 $ в месяц, enterprise насколько помню около 2-3К $ в месяц.
Насчет open-source - посмотрите https://www.p r o x y s q l.com/

[Vitaly Karasik]

прокси - запрещенное слово :-)

[Ярослав]

Vitaly Karasik, забавная фильтрация тут, про тот опер-сорс линк - спасибо, очень интересно, почитаю!

Answer 2

[nApoBo3]

Это можно реализовать тонко настроив ограничения, плюс хранимые процедуры и триггеры. Но обычно так не делают поскольку это значительно усложняет систему и может крайне негативно сказаться на производительность ( а там где важна такая безопасность обычно важна и производительность ).

Comments

[Ярослав]

Сделать доступ к записи пользователя только после его аутентификации - возможно? А лимитировать "дать не более 100 записей из табл. customers" за день ?

По производительности: у меня сейчас идея как раз в том, чтобы только маленькую часть данных (самую конфиденциальную) так надежно защищать, поэтому, даже если логин будет происходит не 0.01s а 10s - это все равно терпимо. А 90-99% данных могут быть по прежнему в базе, пусть даже утекают - их утечка мало что даст.

[nApoBo3]

Ярослав Поляков, вы не корректно подходите к безопасности. Составьте модель угроз и поймете, что ваша идея не походит для закрытия каких либо угроз из модели.

Каким образом через приложение можно исполнить произвольный SQL код?
1. Уязвимость в ПО на котором хостится ваш код.
2. SQL инъекций. Если у вас эксплуатируется код подверженный SQL инъекциям, то ваших разработчиков нужно гнать поганой метлой, такое .... уже давно сложении написать, чем не написать.

Если вы защищаете от первого, то надо понимать, что подобные уязвимости могут быть и в коде СУБД. А скомпрометированный сервер приложений позволит злоумышленнику собрать через ваше api все необходимы данные, включая и логины пароли всех пользователей.
Если от второго, то нужно проводить аудит кода, поскольку в 2019 году писать код уязвимый к SQL инъекциям может только жутко дремучий джун которого к самостоятельно работе допускать нельзя и SQL инъекции будут только самой маленькой из ваших проблем.

Тут два варианта. Код вашего приложения доверенный и вы реализуете необходимую логику безопасности в нем. Или код вашего приложения не доверенный, а тогда вам нужно реализовать api для api, т.е. еще один api более низкого уровня. На чем его реализовывать не важно, можно и на хранимых процедурах, только вот кода у вас будет уже в два раза больше, и доверенность второго api, как и любого последующего будет вызвать сомнения в рамках модели угроз в которой такой шаг имеет смысл реализовывать.

Сделать доступ к записи пользователя только после его аутентификации - возможно

Пользователь при аутентификаций получает auth token, в котором есть id или пользователя или сессии, после чего запрос в базу идет через хранимую процедуру в которую это id передается.

А лимитировать "дать не более 100 записей из табл. customers" за день

Хранимая процедура или триггер записывает в отдельную таблицу дату и кол-во полученных записей каждым пользователем по его id, перед вызовом запроса выполняет сверку с этой таблицей, если данных больше чем можно возвращает ошибку или пустое множество.

Но как я уже сказал, это все не имеет особого смысла. Почитайте про модели безопасности их не так много и есть вполне конкретные практики как они реализуется. Вы изобретаете велосипед.

[Ярослав]

nApoBo3, Идея не в том, чтобы "давайте не будем фиксить SQL Injection'ы, а вместо этого вот так вот усложним архитектуру, чтоб от них не было больно", а в том, что гарантировать безопасность, увы, нельзя. И все методы создания безопасного кода при применении на выходе создают НЕбезопасный код. (просто иногда уязвимость не видно по многу лет). Есть ли проект, где не было уязвимостей вообще никогда?

Поэтому, могут быть разного рода уязвимости. Мы не можем исключать никакую. И в API, так же может быть уязвимость, согласен. Но в отличие от приложения с его кучей "декоративного" функционала и тоннами кода, отладить API более реально. Я бы скорее положился на "бездырочность" API с кодом из 500 строчек (и списком URLов из 10 строчек), чем на "бездырочность" всего приложения, с кодом на из 50 000 строк. Вероятность уязвимости ниже все таки.

Безопасность ведь в том и состоит, чтобы эшелонировать оборону, и следующий уровень защищал от фейлов на предыдущих. Зачем были бы нужны файрволы, если бы все сетевые демоны были без уязвимостей в коде и настройках?

Вы изобретаете велосипед
Именно про это и вопрос - какие уже готовые велосипеды есть, чтобы их купить (а лучше бесплатно взять)

[Ярослав]

nApoBo3, кстати, не могли бы вы пояснить по моделям безопасности один вопрос? Они все сводятся к тому, что субъект либо имеет доступ к объекту (файлу, записи), либо не имеет, и это не меняется динамически.

Но есть ведь важная потребность ограничить количество. Операционистка в Сбербанке должна иметь доступ к записи любого из ста миллионов клиентов. Но при этом она явно не должна иметь возможности слить всю базу целиком, за смену должна иметь доступ к не более чем 20 клиентам, допустим. В какой модели безопасности это динамическое ограничение реализуется?

[nApoBo3]

Ярослав Поляков,

Идея не в том, чтобы "давайте не будем фиксить SQL Injection'ы

Их не надо фиксить. Современные подходы не подразумевают их наличия, чтобы они были, их надо делать специально.

Поэтому, могут быть разного рода уязвимости. Мы не можем исключать никакую. И в API, так же может быть уязвимость, согласен. Но в отличие от приложения с его кучей "декоративного" функционала и тоннами кода, отладить API более реально. Я бы скорее положился на "бездырочность" API с кодом из 500 строчек (и списком URLов из 10 строчек), чем на "бездырочность" всего приложения, с кодом на из 50 000 строк. Вероятность уязвимости ниже все таки.

1. Составьте модель угроз. Любая безопасность начинается с этого.
2. Увеличение кода и слоев ведет к увеличению кол-ва уязвимостей, а не к их уменьшению. Т.е. добавляя дополнительный слой, вы можете только добавить уязвимости, но не можете их сократить. Ничто не мешает ровно те же меры реализовать слоем выше.

Безопасность ведь в том и состоит, чтобы эшелонировать оборону, и следующий уровень защищал от фейлов на предыдущих. Зачем были бы нужны файрволы, если бы все сетевые демоны были без уязвимостей в коде и настройках?

Нет, безопасность в это не состоит. Эшелонированная, почитайте определение, нужна для замедления продвижения противника. Безопасности она не добавляет. Файрволы не защищают от уязвимостей сетевых демонов, они сокращают площадь атаки.
Если упрощенно смотреть на модель угроз, то мы пишем, злоумышленник может атаковать наш сервер по 22 порту. И тут вас спрашивают, а как же 123 порт, там же у вас может висеть сервис времени, а вы негде не прописали, что мы его отключаем, и проверяем что он отключен и предпринимаем меры чтобы его нельзя было включить. А вы в ответ, а нам все равно, мы от этой угрозы прикрылись фаерволом.

Если обобщить. Все меры вы можете реализовать на уровне приложения и спускаться на уровень базы не обязательно. Права приложения на уровне базы минимизируются, не с целью защиты, а с целью минимизации потенциального ущерба, поскольку это самый простой способ его минимизировать( минимизация привилегий на любом уроне ). Реализация те же мер на уровне приложения будет дороже.
Спускаясь на уровне базы с сложной логикой вы размазываете зоны ответственности и усложняете архитектуру, это усложняет тестирование и разработку и может добавить уязвимостей.
Такой подход тоже можно реализовать. Но не следует смешивать одну зону ответственности в разных слоях. Т.е. если безопасность у нас реализуется на уровне базы, а это как правило будут хранимые процедуры, то вся безопасность будет именно там, и на уроне приложения ее нигде быть не должно.
Но следует понимать какие издержки вы при этом понесете. Вам потребуется значительно более широкие компетенции, большее кол-во специалистов и появятся точки "синхронизации" которые будут сильно тормозить разработку и усложнять управление проектами. По этому так обычно не делают. Плюс реализовывать такие механизмы на уровне базы сложно, просто в следствии меньшего кол-ва специалистов с нужными навыками и менее продвинутого инструментария( да я знаю, что есть весь необходимый инструментарии, но им реально мало кто умеет пользоваться, хотя бы для того же тестирования хранимых процедур ).

Если вы хотите повысить безопасность путем сокращения кодовой базы отвечающий за этот участок, просто выделите уязвимы в соответствии с вашей моделью угроз участки в отельный проект, и предоставьте остальному проекту доступ к нему по средствам api.

Они все сводятся к тому, что субъект либо имеет доступ к объекту (файлу, записи), либо не имеет, и это не меняется динамически.

Это не совсем так, поскольку есть динамические роли, например владелец. В общем динамический подход реализуется в attribute based security.
Если брать, то о чем вы пишите( 20 клиентов ), то такое обычно реализуют иначе. Через мониторинг и блокировку учетной записи по событию мониторинга.
Поскольку в данном случае речь идет или о злонамеренных действиях пользователя, а значит с ним нужно разбираться и просто запретить действие не достаточно или о компрометации учетной записи, а значит ее в любом случае сначала блокируют( или используют как "ханейпорт" ).

Начните с модели угроз.

Answer 3

[profesor08]

взломщик просто отдает запрос SELECT * FROM customers; и получает список всех клиентов с паролями

Ничего не получает, хоть запрос и выполнится, а если твой код не обрабатывает подобный кейс, то будет ошибка. Но он может сделать DROP TABLE customers, или сразу всю бд дропнуть.

Если злоумышленник получит доступ, то ему не составит труда обратиться и по api куда надо.

Comments

[Ярослав]

Идея в том, что у API в принципе нет метода (по крайней мере доступного для фронтенда) чтобы сделать то, что фронтенду не нужно (напр, получить всех юзеров или дропнуть таблицу). Поэтому обращаться некуда.

[profesor08]

Ярослав Поляков, и что, что нету метода? Можно по одному получать.

[Ярослав]

profesor08, вот в том что я предлагаю (вижу в своих мечтах), в пределах сессии, можно получить доступ только к той записи, с которой я прошел аутентификацию.

То есть, наше веб приложение дергает метод /api/login (передает логин и пароль). Получает некий sessid (если все успешно). Затем дергает /api/profile и получает данные о пользователе. Именно о том, который в /api/login был. (Там userid даже не передается). Чтобы получить профайл другого юзера, надо успешно залогиниться как другой юзер, то есть, знать его пароль.

Более сложная ситуация:
Если же у нас есть оператор (ну как оператор в сбербанке, к которому может прийти любой клиент сбера, даже из другой страны), то для оператора будет метод вроде /api/customer_profile/. Но при этом можно сделать счетчик обращений. Оператор в день обслуживает N клиентов в среднем, можно разрешить получить данные для 2*N, следующий (2*N+1) запрос к /api/customer_profile уже не пройдет и вызовет какой-то алерт. Операционистка сбера, даже зная уязвимость в приложении, не может слить всех клиентов.

Насколько я знаю (но может плохо знаю) у обычных СУБД нет механизмов для подобных ограничений.

[Андрей]

А что, у кого-то продакшн пользователь ещё обладает правом дропать таблицы?

[Ярослав]

Андрей, замечательное уточнение. Ну, дропать таблицу фронтенду, по правилам, наверное, не требуется, но удалять отдельную запись - может требоваться.

Но тут другой вопрос интересный есть: нет механизма "принуждения" вебморды к тому чтобы все было безопасно. Поэтому на этапе проектирования, естественно, все хотят все безопасно делать, а на этапе эксплуатации часто все становится не так хорошо в плане безопасности, как хотелось бы. (напр, когда-то может потребоваться полный доступ на базу для отладки, а потом забыли убрать). А вот работа через API позволяет четче это разделить и усложняет незаметное неправильное использование.

[Андрей]

Ярослав Поляков, ну так любой запрос требует проверки прав того, кто его отправляет, и это в принципе задача бэка.

[Ярослав]

Безусловно. А вероятность, что в бэкенде будет уязвимость, она растет, по мере того, как мы нагружаем бэкенд всякими разными сложными функциями?

Answer 4

[Дмитрий Шицков]

Хм, ну ещё ко всем ответам, могу предложить Hashicorp Vault

Comments

[Ярослав]

Спасибо, почитаю!

Answer 5

[Vitsliputsli]

Посмотрите в сторону мандатного контроля, это в первую очередь решения на основе SELinux, и основные СУБД их поддерживают.

Comments

[Ярослав]

Это же, если правильно понимаю, прослойка между приложением (базой) и ядром, чтобы доступ к объектам ОС (файлам) контролировать? А в том случае, который я имею в виду, надо в пределах таблицы доступ ограничивать и по частоте обращений, и по строкам.

[Vitsliputsli]

Ярослав Поляков, не только, в СУБД которые поддерживают мандатные метки можно устанавливать доступ на отдельные объекты, на базы, таблицы и даже столбцы. Насчет строк и по частоте обращений не подскажу, нужно смотреть.

[Ярослав]

Спасибо, это интересно!

Answer 6

[zavodp]

Например, если в приложении есть SQL Injection, то найдя ее, взломщик просто отдает запрос SELECT * FROM customers; и получает список всех клиентов с паролями. Он может это сделать, потому что язык SQL дает такую возможность. Хотя с точки зрения безопасности, фронтенду именно такая опасная операция никогда не нужна (но нужен доступ к табл. customers).

Есть куча решений:

1) СУБД дает такую возможность. Но совсем не обязательно, чтобы у пользователя SQL, используемого фронтендом был доступ к таблице customers, где хранятся пароли. К другим таблицам - пожалуйста. К этой - нет. Проверка паролей - только через отдельный сервер типа oAuth.

2) В СУБД есть куча тонких настроек ограничений доступа, даже если вам нужно дать доступ к таблице customers, где хранятся пароли.
https://www.postgresql.org/docs/10/ddl-rowsecurity.html
https://docs.microsoft.com/en-us/sql/relational-da...

3) Пароли хранить не нужно. Достаточно хранить "подсоленый хэш". Получение соленых хешей ничего не даст.
https://habr.com/en/post/145648/
https://habr.com/en/post/210760/
https://habr.com/en/post/145667/
https://habr.com/en/post/39079/

4) Есть специализированные БД, для хранения секретов.
Они, в отличие от обычных СУБД. невкрываемы, даже если злоумышленник утащит все файлы СУБД.
Также они позволяют вести аудит.
Также позволяют организовывать отзыв паролей и т.п.
Полностью задачу решить, понятно, нельзя, так как если злоумышленник проникнет внутрь и получит токен для доступа к данным, то до самих данных он доберется и тут.
Но хотя бы этот доступ будет ограниченным во времени.
https://habr.com/en/company/oleg-bunin/blog/438740/
https://habr.com/en/post/306812/

5) Можно вообще не хранить пароли в обычном виде в СУБД, а передавать их в приложение при старте через переменные среды окружение.
И пр.
И т.п.

6) Ограничение простого перебора. Исключить использование идентификаторов вида 1, 2, 3, 4, 5. А использовать что то вроде 0xF6C0F6C5430DC8904F60ABE822345200 и добавить throttling, чтобы ограничить скорость перебора. Уже не говоря о жесткой блокировке по IP при слишком большом количестве попыток перебора.

7) А с чего это ему хоть что то отдастся при таком запросе?

взломщик просто отдает запрос SELECT * FROM customers; и получает список всех клиентов с паролями

А зачем ваш бэкенд вообще по чьей либо указке выполняет непредусмотренный запрос? У меня вон в коде и предусмотренные запросы не так просто заставить выполнить. Выполняются только в строгих рамках разрешенного и предусмотренного при разработке.

SQL Injection вообще невозможен при современном подходе, кода выполняется только то, что предусмотрено; когда используются современные фреймворки и современные библиотеки, где всё фильтруется на несколько раз.
Ваш пример - это что-то из 2000-2010-х годов. Давно уже подобный код, разрешающий всё не практикуется.
Хотя, программисты конечно разные бывают....

Короче, методов защиты очень и очень много.

Тут дело вовсе не в специальной СУБД.
Так как и к ней можно получить доступ.

Дело в принципе - разделяй и властвуй.
Чтобы даже где-то что то получив, злоумышленник не смог сделать много вредного.

Answer 7

[Developer]

зломщик просто отдает запрос SELECT * FROM customers; и получает список всех клиентов с паролями

В нормальной базе он получит не пароли, а бесполезные для него хэши

Comments

[Ярослав]

Хеши тоже довольно полезные. Да и ФИО, адреса - в общем, в базе довольно много того, что если удастся получить в большом количестве - то можно использовать.

Answer 8

[tester12]

Это решается дополнительным слоем, реализующим "внешний" API.

Клиентское приложение вместо
select value from mytable where id=5
запрашивает
https://myhost.com/get.php?id=5

А уже скрипт решает, выдавать данные юзеру или нет, уложился он в лимиты или нет. Этот же скрипт пишет логи запросов и сообщает кому надо о подозрительной активности.

Непосредственного контакта клиентского приложения с СУБД быть не должно.

Comments

[Ярослав]

Да, я именно о прослойке и говорю.
Либо прослойка (API) вообще базу изолирует, либо же отдельная ценная таблица (customers) за ней, а всякие с публичными и техническими данными - можно и локально на вебсервере.