Percona maakt data-encryptie voor PostgreSQL transparant

Percona biedt ondersteuning en diensten voor open source databasesoftware. Het heeft nu zijn Transparent Data Encryption (TDE)-extensie voor PostgreSQL aangekondigd. Deze technologie is ontworpen om gevoelige data at rest te beveiligen (en te voldoen aan strenge compliance-vereisten). Het kan zonder licentiekosten en gebruiksbeperkingen worden gebruikt.

Maar wat is Transparent Data Encryption? TDE is specifiek afgestemd op data at rest en biedt automatische versleuteling en ontsleuteling op de databaselaag zonder dat er wijzigingen in een applicatie of andere externe services nodig zijn. TDE wordt meestal geassocieerd met databasebeveiliging, maar kan ook worden toegepast op back-ups en transactielogs. TDE-sleutels worden apart van de gegevens opgeslagen en kunnen worden beveiligd met certificaten of andere securitymechanismen.

Percona zegt dat het encryptie van enterprise-kwaliteit naar open source PostgreSQL brengt, waardoor het mogelijk wordt om data at rest te versleutelen op een manier die “automatisch en transparant” is voor de applicatie.

De pg_tde-extensie van Percona is ontwikkeld voor risicobeheer en compliance en beschermt gevoelige gegevens tegen ongeoorloofde toegang, waardoor wordt voldaan aan regelgeving zoals GDPR, HIPAA, SOX en PCI DSS v4.0, waar opslag-encryptie alleen niet langer voldoende wordt geacht om “kaartgegevens” at rest te beschermen.

“Cardholder data” (of CHD) is een steeds vaker gebruikte term die verwijst naar persoonlijk identificeerbare informatie (PII) met betrekking tot een betaalkaart, waaronder het primaire rekeningnummer (PAN), de naam van de kaarthouder, de vervaldatum en de servicecode.

Belangrijkste functionaliteiten

De belangrijkste functies die Percona voor PostgreSQL biedt, omvatten de mogelijkheid om de enige open source TDE-oplossing voor PostgreSQL klaar te maken voor productie. Dat wil zeggen: er zijn geen “gated features” of andere licenties, abonnementen of closed source-tekortkomingen.

Gebruikers kunnen alle databasebestanden op schijf versleutelen, gebruikmaken van multi-tenant-ondersteuning en de mogelijkheid om op databasetabelniveau te versleutelen en unieke sleutels voor elke database te gebruiken. Databasebeheerders behouden de volledige controle over hun encryptiestrategie en kunnen precies kiezen wat ze willen beveiligen, zonder dat ze gedwongen worden tot clusterbrede versleuteling.

Teams kunnen TDE implementeren zonder wijzigingen in de applicatiecode en ook het beheer van de levenscyclus van sleutels stroomlijnen met integraties met toonaangevende Key Management Services (KMS)-providers zoals Hashicorp, Thales, Fortanix en OpenBao, waardoor het eenvoudiger wordt om beveiligingsbeleid af te dwingen en encryptiesleutels veilig te beheren.

Inside track van CTO

Volgens Liz Warner, CTO van Percona, is versleuteling van data at rest een vereiste van een reeks normen, voorschriften en beleidsregels. Sommige, zoals PCI DSS, vereisen dit rechtstreeks, andere, zoals de AVG, bevelen versleuteling van data aan door sancties op te leggen voor het blootstellen van onversleutelde data, en weer andere, zoals ISO, bevelen in het algemeen versleuteling van gevoelige informatie aan. In de loop der jaren hebben veel databaseorganisaties waar wereldwijd op wordt vertrouwd, de mogelijkheid toegevoegd voor DBA’s om de data die ze opslaan te versleutelen.

“TDE was echter niet standaard beschikbaar in de open source-versie van PostgreSQL. Als je TDE wilde, moest je dus op zoek naar een commercieel product. Bij Percona zagen we dat als een grote tekortkoming die klanten ervan weerhield om over te stappen op de database. Daarom hebben we aan pg_tde gewerkt om die functionaliteit in een volledig open source-project aan te bieden. Dit betekent dat gebruikers voor Postgres kunnen kiezen en aan de regelgeving kunnen voldoen zonder hun applicaties te hoeven herschrijven of vast te zitten aan één leverancier door gebruik te maken van de propriëtaire benadering van TDE van één leverancier”, aldus Warner deze maand in een gesprek met Techzine in Londen.

Hoe past pg_tde in het bredere PostgreSQL-ecosysteem? Volgens Warner vereist pg_tde momenteel een gepatchte PostgreSQL-server. Percona levert die server samen met een selectie van andere extensies in zijn open source Percona Distribution for PostgreSQL. Dit vult het gat dat bestaat voor teams die een volledig open source database willen, maar ook versleuteling at rest nodig hebben.

Hoe het werkt

“De vereiste om Percona Server for PostgreSQL te gebruiken voor pg_tde komt voort uit het feit dat we, om TDE mogelijk te maken, moeten aansluiten op de Storage Manager (SMGR) API, die PostgreSQL-extensies in staat stelt om aangepaste opslagbeheerders en de Write Ahead Logging (WAL) Read/Write API te integreren om aan te sluiten op WAL-lees- en schrijfuncties. Deze zijn nodig om WAL-versleuteling van indexen mogelijk te maken”, legt Warner uit.

Percona wil pg_tde beschikbaar maken voor Community PostgreSQL, maar daarvoor moeten de patches die het bedrijf heeft voorgesteld daar beschikbaar worden gesteld. Dit kost tijd. Een deel van de code om dit te realiseren is upstream bijgedragen aan de PostgreSQL-community en wordt momenteel beoordeeld.

Maar waarom zouden ontwikkelaars/DBA’s zich überhaupt druk maken over compliance, als ze dit vaak als onderdeel van hun verantwoordelijkheid beschouwen?

“Moderne applicatieontwikkelaars hechten veel waarde aan de beveiliging van applicaties – en bij uitbreiding ook aan die van databases”, zegt ze. “Bovendien wil het compliance-team binnen een organisatie weten of hun activiteiten compliant zijn. Dat betekent dat ze moeten kijken hoe digitale diensten of applicaties in de praktijk werken. Die applicaties moeten voldoen aan vastgestelde best practices op het gebied van beveiliging en compliance, maar ook aan eisen op het gebied van gebruikerservaring en systeemontwerp. Maar al deze eisen komen op de schouders van ontwikkelaars terecht. Het is moeilijk om hen te laten focussen op beveiliging of compliance wanneer ze steeds meer nieuwe functionaliteiten moeten bouwen of integraties met andere systemen moeten beheren en up-to-date houden.”

Is data at rest veiliger?

Hoewel encryptie op applicatieniveau vaak wordt beschouwd als de veiligste aanpak voor data at rest, omdat zelfs DBA’s geen toegang hebben tot gevoelige informatie, brengt dit aanzienlijke kosten met zich mee. De implementatie ervan vereist doorgaans dat systemen vanaf de grond af worden gebouwd met deze aanname en brengt doorlopende onderhoudskosten met zich mee. Voor veel organisaties, met name die welke te maken hebben met legacy-systemen of proprietary, kant-en-klare oplossingen waarvan zij de code niet beheersen, is versleuteling op applicatieniveau geen haalbare optie.

“In deze scenario’s bieden beveiligingsoplossingen op databaseniveau, zoals TDE, een essentieel alternatief. TDE kan het gebrek aan versleuteling op applicatieniveau compenseren door een robuuste beveiligingslaag op databaseniveau te bieden, waardoor een deel van de last van beveiliging op applicatieniveau effectief wordt weggenomen. Het biedt organisaties een andere optie, waardoor ze een sterke beveiligingspositie kunnen bereiken door enkele inherente risico’s te accepteren, zonder de uitgebreide herarchitectuur die nodig is voor versleuteling op applicatieniveau”, aldus Warner.

Ontwikkelaars zijn dol op automatisering

Ontwikkelaars zijn altijd op zoek naar manieren om taken te automatiseren… en dat geldt ook voor compliance. Met benaderingen zoals policy as code of security as code kunnen teams hun compliancebeheer in de loop van de tijd stroomlijnen. Maar zonder dat basiskennis over hoe compliance in de bestaande infrastructuur en stack past, kan het in de praktijk moeilijker zijn om deze automatisering te realiseren of die compliancebenadering up-to-date te houden. Dit zorgt voor extra werk dat uiteindelijk weer bij de ontwikkelaars terechtkomt.

“Idealiter kunnen ontwikkelaars op deze vereisten anticiperen met behulp van open source-projecten die aan hun behoeften voldoen, zoals pg_tde. Maar dit moet ook deel uitmaken van een bredere benadering van compliance die dingen eenvoudiger maakt voor ontwikkelaars in plaats van hen nog meer te belasten”, concludeert Warner.

Vandaag de dag maakt de pg_tde-extensie deel uit van de Percona Distribution voor PostgreSQL. Percona ondersteunt TDE ook als onderdeel van Percona Support voor PostgreSQL, Managed Services en Consulting Services voor het installeren en configureren van de extensie.