Изначально и был :) Но лицензия postgres не позволяет в производных/коммерческих продуктах использовать слона в качестве логотипа и слово postgres в названии :)
В данной ветке комментариев подняли сразу несколько вопросов, постараюсь ответить тезисно :)
Признак "целевой" означает, что разработка новых систем осуществляется с применением Pangolin в качестве реляционной СУБД.
При этом есть определенное количество систем, на текущий момент, которые созданы до 2020 и используют в качестве СУБД: оригинальный PostgreSQL, Oracle, MS SQL или DB2.
Решение о необходимости миграции для каждой системы принимается в отдельности, в зависимости от ряда факторов.
Pangolin разрабатывали полностью своими силами на базе оригинальной версии PostgreSQL.
В благодарственном письме все написано корректно. Речь про оригинальный PostgreSQL.
Продукт сертифицирован по 4 уровню доверия ФСТЭК. Сертификация же от ФСБ в качестве СКЗИ в планах.
Влияние на потребление ресурсов, при включении TDE, в худшем случае, при помещении под защиту 100% данных, составляет +5%.
Виталий, смелю вас заверить, что прежде чем приступать к реализации мы прошли не один архитектурный совет. А сам подход, с учетом требований всех заинтересованных подразделений, был проработан экспертами их нескольких подразделений (безопасность, сопровождение, архитектура и т.д.).
Шифрование ФС это один из вариантов, который, действительно, рассматривался в самом начале.
Шифрование ФС требует ввода секрета, что категорически не соответствовало изначально сформированным требованиям.
Так же подобный подход увеличил бы комплексность решения в целом и потребовал бы либо покупки такого инструмента (являлся бы внешними/сторонними/вендорскими), либо потребовал бы использование open-source, который бы потребовалось бы дорабатывать и тюнить.
Подход же с реализацией TDE избавил нас от внешних зависимостей, прозрачное шифрование защищает данные не только на диске, но и передаваемые по реплекации и сохраняемые в систему резервного копирования.
Да и в целом это инвестиции в экспертизу, что для нас являлось одной из ключевых целей - создание собственного центра разработки/экспертизы для реализации/развития решения на базе postgresql.
Ключи хранятся в централизованной системе хранения секретов, которая используется не только для ключей шифрования для Pangolin, но и для хранения других секретов
Привет! На сколько помню, в момент когда мы начинали собственную реализацию TDE у cybertec отсутствовало TDE (осень 2019). Появилось у них весной 2020, без управления ключами. Далее не смотрели. т.о. сейчас сложно сказать, необходимо изучить код.
Первая версия решения у нас была готова весной 2020.
Меня зовут Михаил. Я являюсь владельцем продукта Pangolin (в терминологии agile). В настоящий момент мы готовим не техническую статью, в которой расскажем про продукт в целом :)
Ответы на вопросы:
С оригинального PostgreSQL переход осуществляется через логическую репликацию или через дамп. Мы обратную совместимость по интерфейсам сохраняем. Для нас это ключевое требование.
Переход с оригинального PostgreSQL на Pangolin не такая горячая тема, как переход с СУБД крупных иностранных вендоров. План по переходу есть, но он готовится с учетом специфики и планов каждой конкретной прикладной команды и с учетом нашего roadmap.
Так же есть ряд команд, которые развивают инструменты миграции и сопровождения, призванные облегчить процесс перехода. В данной статье говорится о безопасности, но помимо TDE мы реализовали ряд фичей упрощающих процесс сопровождения и расширяющих функциональные возможности в интересах разработчиков приклада. Добавлю, что Pangolin является целевой реляционной СУБД в Банке.
Связь с сообществом поддерживаем, но пока одностороннюю. Стараемся оперативно подтягивать к себе патчи и исправления. Новые мажорные версии оригинального PostgreSQL, тоже подтягиваем, но тут уже с учетом приоритетов задач из backlog.
Изначально и был :)
Но лицензия postgres не позволяет в производных/коммерческих продуктах использовать слона в качестве логотипа и слово postgres в названии :)
Привет!
В статье упоминаются АСки, не БД.
На текущий момент у нас более 10000 активных экземпляров из которых 2500 расположены в промышленной среде.
Привет!
Это скорее обзорная статья :)
По технике тоже материалы готовим: https://habr.com/ru/company/sberbank/blog/678370/
PostgreSQL имеет собственную лицензию, ее тип можно отнести к академической (вроде так называется).
Основное ограничение - это запрет на использование слона и слова postgres в названии производного продукта.
Пара утилит собственной реализации + pg_probackup + интеграция с СРК Сбер.
Привет!
Весь код точно нет, а вот точечные патчи планируем.
Привет!
На текущий момент патчи в upstream не выдавали, но желание такое есть.
Добрый вечер!
В данной ветке комментариев подняли сразу несколько вопросов, постараюсь ответить тезисно :)
Признак "целевой" означает, что разработка новых систем осуществляется с применением Pangolin в качестве реляционной СУБД.
При этом есть определенное количество систем, на текущий момент, которые созданы до 2020 и используют в качестве СУБД: оригинальный PostgreSQL, Oracle, MS SQL или DB2.
Решение о необходимости миграции для каждой системы принимается в отдельности, в зависимости от ряда факторов.
Pangolin разрабатывали полностью своими силами на базе оригинальной версии PostgreSQL.
В благодарственном письме все написано корректно. Речь про оригинальный PostgreSQL.
Продукт сертифицирован по 4 уровню доверия ФСТЭК. Сертификация же от ФСБ в качестве СКЗИ в планах.
Привет!
В shared memory данные не шифруются, Владимир чуть ранее отвечал - "Да, не запрещает, я это в статье явно указал.".
Тут защита идет уже внешними организационно-техническими средствами, с помощью аудита и т.п.
Влияние на потребление ресурсов, при включении TDE, в худшем случае, при помещении под защиту 100% данных, составляет +5%.
Виталий, смелю вас заверить, что прежде чем приступать к реализации мы прошли не один архитектурный совет. А сам подход, с учетом требований всех заинтересованных подразделений, был проработан экспертами их нескольких подразделений (безопасность, сопровождение, архитектура и т.д.).
Тут не в курсе :)
Уверен, что решения были обоснованными на момент их принятия.
Доброе утро!
Шифрование ФС это один из вариантов, который, действительно, рассматривался в самом начале.
Шифрование ФС требует ввода секрета, что категорически не соответствовало изначально сформированным требованиям.
Так же подобный подход увеличил бы комплексность решения в целом и потребовал бы либо покупки такого инструмента (являлся бы внешними/сторонними/вендорскими), либо потребовал бы использование open-source, который бы потребовалось бы дорабатывать и тюнить.
Подход же с реализацией TDE избавил нас от внешних зависимостей, прозрачное шифрование защищает данные не только на диске, но и передаваемые по реплекации и сохраняемые в систему резервного копирования.
Да и в целом это инвестиции в экспертизу, что для нас являлось одной из ключевых целей - создание собственного центра разработки/экспертизы для реализации/развития решения на базе postgresql.
Ключи хранятся в централизованной системе хранения секретов, которая используется не только для ключей шифрования для Pangolin, но и для хранения других секретов
Привет!
На сколько помню, в момент когда мы начинали собственную реализацию TDE у cybertec отсутствовало TDE (осень 2019). Появилось у них весной 2020, без управления ключами. Далее не смотрели. т.о. сейчас сложно сказать, необходимо изучить код.
Первая версия решения у нас была готова весной 2020.
Привет!
Меня зовут Михаил. Я являюсь владельцем продукта Pangolin (в терминологии agile).
В настоящий момент мы готовим не техническую статью, в которой расскажем про продукт в целом :)
Ответы на вопросы:
С оригинального PostgreSQL переход осуществляется через логическую репликацию или через дамп.
Мы обратную совместимость по интерфейсам сохраняем. Для нас это ключевое требование.
Переход с оригинального PostgreSQL на Pangolin не такая горячая тема, как переход с СУБД крупных иностранных вендоров.
План по переходу есть, но он готовится с учетом специфики и планов каждой конкретной прикладной команды и с учетом нашего roadmap.
Так же есть ряд команд, которые развивают инструменты миграции и сопровождения, призванные облегчить процесс перехода.
В данной статье говорится о безопасности, но помимо TDE мы реализовали ряд фичей упрощающих процесс сопровождения и расширяющих функциональные возможности в интересах разработчиков приклада.
Добавлю, что Pangolin является целевой реляционной СУБД в Банке.
Связь с сообществом поддерживаем, но пока одностороннюю.
Стараемся оперативно подтягивать к себе патчи и исправления.
Новые мажорные версии оригинального PostgreSQL, тоже подтягиваем, но тут уже с учетом приоритетов задач из backlog.