Toto je zase sotva verejna informacia, ale predpokladam ze policajne databazy su takto riesene.
A napriklad na MS SR heslo admina bolo v sejfe a jeho pouzitie bolo kontrolovane, hovoris teda o malych uradoch kde to moze byt, nie o velkych rieseniach. Tam kde su dvaja ludia na IT tam nepomoze skoro nic, a je jedno aku DB maju.
Ale pre istotu: SO v mojom priklade nema nic spolocne s DB, aj ked takato rola v DB existuje, v takom pripade SO nastavuje uzivatelske opravnenia. Ale auditny zaznam je vacsinou obycajny text a az nasledne sa spracuje do niecoho lahsie prehliadatelneho.
A pokial viem aj tu sa hovorilo o bezpecnosti, funkcia bezpecnostneho manazera je priamo vo vynosoch a kazdy urad by ju mal riesit. Je to ale sucast vacsieho balika. To o com rozpravame je len len mala cast bezpecnostnych projektov.
Z vynosu: Privilegovane role ktoré nemožno zlúčiť : Správca, auditor, programator
Na elementárne šifrovanie DB sa vo vynosoch roky rokuce nemyslelo
Musel prist geek Lary Elison, aby poukazal, ze sifrovanie DB je esecialnou bezpecnostnou vlastnostou kritickej infrastruktury. Ze aj vdaka nesifrovaniu unikali miliony zaznamov …
Hoci mssql ma tuto ficuru, v praxi sa nepouzivala. V oracle cloude sifrovanie zaznamov DB nie je mozne vypnut. Verim ze v azure cloude a mssql nebude jedneho dna mozne vypnut sifrovanie.
to je omyl, sifrovanie je esencialne pre nasadanie do cloudu, inak nie. Zase len marketing.
Pre sucasne systemy to nie je zasadne. Realne to neriesi velke riziko. Ale uz pri nasadeni do govcloudu to bude zapnute, nikto nechce aby mu MV citalo data
A reklamna vlozka
Azure MS SQL : Optimize performance with built-in AI intelligence
Improve memory usage, throughput, latency, and query performance.
uses built-in intelligence with machine learning and adaptive technologies to continuously optimize database performance in real time.
A stale zapnute kryptovanie v azure:
Data encryption
SQL Database secures your data by providing encryption for data in motion with transport layer security, for data at rest with transparent data encryption, and for data in use with always encrypted. Cize si sa dockal o par rokov dozadu.
Myslim ze som ti uz daval porovnanie, oracle je drahsi, vykonnost je otazka do zlozitej diskusie, pocul som nazory ze MS SQL je vykonnejsie. Neviem posudit. Oracle je podla toho co viem stabilnejsi a ma lepsie bezpecnostne funkcie. A problem je ze ORACLE je dnes len o trochu drahsi ale dlhodobo bol o dost drahsi a moze sa tam vratit. A pravda je taka ze dnesne projekty urcite nepojdu do ziadneho privatneho cloudu ale do govcloudu. Cela debata bola do velkej miery akademicka. Ale aj MS SQL aj ORACLE sa daju pouzit v govcloude, technologicky to ide. Ale sucasnosti si obstaravatel zrejme nemoze zvolit dB ale vyjde mu z VO.
Oracle ani zdaleka nebude mat vo vladnom cloude taky vykon, aky by mal vo svojom autonomnom cloude. Riesenim u oracle By bol oracle autonomny cloud u zakaznika. Ale aj tak to cle skonci na mssql a zopar foss app vo vladnom cloude bez AI/Ml takze skoda reci.
Faktom je, ze dalsiu miliardu treba v niecom utopit. Vladny cloud znie uderne.
oracle vykon zalezi od zeleza na ktorom bezi, nie od toho v ktorom cloude bezi. Ale vladny cloud je uz nasmerovany, kym sa nieco zmeni bude dalsie programove obdobie
V NCZI nevidia nic… .a to je aj problem odladit a dodat apku. Je to aj 100-nasobne drahsie na cas, ked si nevies vykrokovat apku a na vsetko musis pozuivat specialne protokoly … uz len pozriet nejaku hodnotu, ci sa dobre zapisala, vyzaduje sprecialny postup s pritomnostou 2 nezavislych ludi so svojimi heslami. SDCL postupy pre cielove sifrovane prostredia nedovoluju urobit vyvoj a test na nesifrovanych uloziskach a potom deploynut na ostre … to proste nejde …Cize je treba si veeelmi dobre rozmysliet kde vsade maju byt data sifrovane … potom vidis ako dopadlo eZdravie… sam som zazil nasadzovane monitorovacie softveru v bezpecnom prsostredi, kde manazeri chcu vidiet, ktory zo stoviek resourcov im prave havaruje, alebo ma vykonnostny problem, na druhej strane sa ani dodavatel k tym resourcom nevie dostat, len cez zdlhave bezp. protokoly, kedy napriklad cez dovolenky neurobis skoro nic, lebo jklucovi ludia s bezpecnostnymi pristupmi su nedostupni …
[quote=“ius, post:142, topic:2749”]
Musel prist geek Lary Elison, aby poukazal, ze sifrovanie DB je esecialnou bezpecnostnou vlastnostou kritickej infrastruktury.
[/quote]pPrepac…to sa neda …
Dve zaujimave informacie z dnesneho prerokovania projektu rozsirenia DC kopcianska:
p. Maliarik z MV ako kontaktna osoba za vladny cloud povedal, ze neeviduje ziadne problemy s bezpecnostou, SLA vladneho cloudu od OVM. Cize za neho tam mozu ist vsetci pokial nemaju nejaku specialnu vynimku.
Tak teda neviem ci sa mi na tych hiringoch inych projektoch snivalo, kde mi zase tvrdili, ze s MV komunikuju a je to problem. Takze odporucam problemy adresovat priamo jemu, aby nedochadzalo k sumom.
Cela studia je zalozena na tom, ze kapacita vladneho cloudu praska vo svikoch a musia nakupit hw. Ked sme isli do detailu, tak sa zistilo, ze vlastne je alokovanych cca 80% zdrojov vladneho cloudu, ale to vobec neznamena, ze tieto zdroje sa aj vyuzivaju. Doslova som sa pytal, ze ked tam nejaky projekt ma alokovanych 1000vcpu a pouziva realne len jedno, tak ci to oni beru ako 1/10 datacentra, ktore je vyuzivane. Ano, beru to tak. Udaje o tom ako realne vyuzivaju alokovane zdroje projekty beziace v cloude dnes nedodaju. Toto povazujem za red flag.
Len pre predstavu, ze zatial co my tu snivame o tom, ze mozno bude niekedy aj nejaka database as a service vo vladnom cloude, tak Amazon pustil prave pre celu zemegulu toto
A kto by si to kupoval / odoberal?
Je iluzórne si myslieť, že to bude ako v GovCloud v Británii. Aj keby som tam mal ja neviem registratúru as a servis tak aj si to žiadna inštitúcia nekúpi. … teda nekúpi “len tak”
Ale možno by stálo za to urobiť mostík k službám AWS, Azure a pod. Urobiť front end and ich API a máš službu aj celkom slušnými parametami
K tu spomenutému dokumentu “Metodické usmernenie pre proces zaradenia cloudovej služby do katalógu” bolo nejaké rokovanie na pracovnej skupine?
Lebo deklarované bolo že áno, ale nejako som to nezaregistroval.
na standardizacnej skupine 5.5.2019 bol pokus o hlasovanie, ale nebol dostatocny pocet ludi, cize sa malo hlasovat per-rollam, ale nemam info, ci sa take nieco udialo
