Компания Postgres Professional первой среди разработчиков СУБД провела оценку сертифицированных версий СУБД Postgres Pro Standard и СУБД Postgres Pro Enterprise согласно новым требованиям ФСТЭК по безопасности информации к СУБД от 14 апреля 2023 года, утвержденных Минюстом в июле 2023 года.
Сертифицированные версии позволяют использовать Postgres Pro в критической инфраструктуре первой категории и государственных информационных системах первого класса защищенности.
Направления оптимизации
Ранее сертифицированные версии Postgres Pro в основном уже соответствовали новым требованиям и содержали необходимые механизмы защиты. Для полного соответствия новым требованиям в СУБД внесли следующие изменения:
- Обновлена документация.
- Доработана ролевая модель СУБД. Введены новые роли администратора СУБД (PGPRO_DBMS_ADMIN), администратора БД (PGPRO_DB_ADMIN), ограничены возможности суперпользователя. В текущую сертифицированную версию СУБД добавлено разработанное Postgres Professional исправление для ограничения прав ролей с атрибутом CREATE ROLE. Теперь такая роль может создать новую роль только с теми привилегиями, которыми обладает сама.
- Доработаны некоторые команды и утилиты – например, CREATE PROFILE для возможности работы без суперпользователя, а также утилита контроля целостности pg_integrity_check, которая теперь сможет проверять целостность процедур в нескольких базах данных.
- Доработан модуль pg_proaudit, позволяющий регистрировать события, связанные с безопасностью.
Обновленная версия Postgres Pro Certified поддерживает три версии ядра СУБД: 11.21.2, 14.9.2 и 15.4.2. Сертификат соответствия № 3637 переоформлен 20 октября 2023 г. Обновленная версия Postgres Pro Enterprise Certified поддерживает четыре версии ядра СУБД: 11.21.2, 13.12.3, 14.9.3 и 15.4.3. Сертификат соответствия № 4063, переоформлен 3 ноября 2023 г.
Меры по обеспечению безопасности
- Ежеквартальные обновления
Postgres Professional ежеквартально выпускает обновления Postgres Pro Standard и Postgres Pro Enterprise, основанные на последних версиях СУБД PostgreSQL. Этот уникальный по скорости для российского рынка СУБД цикл обеспечивает российским пользователям Postgres Pro максимальную защиту. Кроме того, в компании Postgres Professional внедрены процессы безопасной разработки ПО, в том числе статический анализ кода, его динамическое тестирование и анализ уязвимостей в используемом коде и компонентах. Для тестирования применяется открытое ПО, проприетарное ПО Института системного программирования РАН и собственные разработки компании.
- Исправление ошибок и уязвимостей
Помимо своевременного обновления функциональности СУБД Postgres Pro, компания Postgres Professional регулярно сообщает о найденных в PostgreSQL ошибках и уязвимостях сообществу этой открытой СУБД. Список обнаруженных всеми разработчиками PostgreSQL уязвимостей публикуется ежеквартально одновременно с выпуском очередных минорных релизов. Postgres Professional выпускает собственные продукты с исправлением уязвимостей из этого списка уже через месяц. Таким образом, обновляя версию СУБД Postgres Pro, пользователь может быть уверен в том, что получил все последние изменения открытой СУБД PostgreSQL и исправления от команды Postgres Professional.
- Взаимодействие с БДУ ФСТЭК
Postgres Professional использует информацию из базы данных уязвимостей (БДУ) ФСТЭК и других открытых источников, обмениваясь с БДУ ФСТЭК информацией: команда экспертов компании исследует исходный код на предмет влияния уязвимости на функционирование и предлагает компенсирующие меры. В БДУ ФСТЭК компания Postgres Professional указана как единственный российский вендор СУБД на основе PostgreSQL.
Планы и перспективы
В октябре 2023 года Postgres Professional объявила о выпуске Postgres Pro Standard 16. Ее сертифицированная ФСТЭК версия появится уже после очередного инспекционного контроля.
В декабре Postgres Professional планирует мажорный релиз новой флагманской Postgres Pro Enterprise 16, куда войдет ряд новых крупных решений и доработок. В 2024 году запланирован выпуск очередной сертифицированной версии Postgres Pro Enterprise Certified.
Мнение эксперта
«Быстро реагировать на выпуск новых требований ФСТЭК нам помогают
внедренные в Postgres Professional процессы безопасной разработки, система быстрого выпуска релизов и поддержка регулятора, — говорит Иван Панченко, заместитель генерального директора, сооснователь Postgres Professional. — Кроме того мы оперативно реагируем на появление CVE (ошибок безопасности) в СУБД c открытым исходным кодом PostgreSQL и в короткие сроки исправляем их в релизах Postgres Pro, что обеспечивает российским пользователям Postgres Pro максимальную защиту при условии регулярных обновлений.