Besorgt über SQLite-Sicherheitsschwachstellen?

Stellen Sie sich dem Unvermeidlichen: Lokale persistente Daten am Rande des Netzwerks werden passieren

Es ist unbestreitbar, dass die Edge-Intelligenz zunehmen wird, egal ob es sich dabei um mobile Anwendungen auf Smartphones, IoT in intelligenten Autos (oder den zugrundeliegenden Sensoren), im Entertainment-Center, in Navigationssystemen usw. handelt. Es wird zahllose mobile und IoT geben, bei denen eine native Anwendung besser geeignet ist als eine webbasierte Anwendung oder bei denen es ineffizient bzw. potenziell weniger sicher wäre, Rohdaten von IoT zurückzusenden, anstatt die Daten zu verarbeiten und lokal zu speichern oder zu löschen.

Die Komplexität von Prozessen und Arbeitsabläufen am Rande der Wertschöpfungskette, die Möglichkeit, Analysen am Ort des Geschehens durchzuführen, und die Arbeit in getrennten Modi oder mit sporadischen Verbindungen sind alles Beispiele dafür, warum Sie eine lokale Datenspeicherung und somit eine lokale Datenbank benötigen. Es ist eine ausgemachte Sache, dass die mit diesen Anwendungen verbundenen Daten wie Pilze aus dem Boden schießen werden.

Leider ist es ebenso unvermeidlich, dass Sicherheitsschwachstellen und opportunistische Angriffe, die auf diese Schwachstellen abzielen, in absehbarer Zukunft zunehmen werden. In den letzten Jahren wurden mehrere Studien und Erhebungen durchgeführt, die eindeutig zeigen, dass die Zahl der Sicherheitslücken in IoT und mobiler gerätebasierter Software weitaus größer ist als in ausgereifteren Desktop- oder Laptop-Plattformen, ganz zu schweigen von Software, die auf Servern im Rechenzentrum läuft. Vergessen wir nicht, dass vor 10 Jahren jede Sicherheitsverletzung in der Cloud ein Gefühl der Panik auslöste und vielleicht die Akzeptanz von Cloud bremste. Genau an diesem Punkt könnten wir uns jetzt mit lokalisiertem und eingebettet Datenmanagement für Edge-Geräte befinden.

So wurde am Wochenende eine sehr schwerwiegende Sicherheitslücke in SQLite und der webbasierten Version von SQLite in Chromium (den Open-Source-Wurzeln von Google Chrome) entdeckt. Dies ist zwar weder die erste noch die größte potenzielle Sicherheitslücke, die im Datenmanagement gefunden wurde - schließlich hält der Heartbleed-Virus aus dem Jahr 2014, der OpenSSL ausnutzte, wahrscheinlich beide Rekorde -, aber da diese Sicherheitslücke mit SQLite, einer Datenbank, die in mobilen nativen und webbasierten Apps nahezu allgegenwärtig ist, und ihren APIs zusammenhängt, sollten wir uns auf eine reflexartige Reaktion gefasst machen: Vielleicht sollten Daten nicht lokal auf Edge-Geräten gespeichert werden, sondern alles in der Cloud, wo sie angeblich sicherer sind (wie sich die Zeiten doch geändert haben).

Ein Rückzug wäre eine Überreaktion

Zunächst einmal ist SQLite weitaus besser als eine Kombination aus temporärer Speicherzuweisung und flachen Dateisystemen, ein Ansatz, den ich nie jemandem empfehlen würde, den ich einen Freund nenne. Und warum? Im Gegensatz zur Speicherzuweisung und der Verwendung von Flat Files, die wenig Standardisierung, integrierte Indexierung oder andere echte Datenmanipulationen bieten, bietet SQLite grundlegende Datenbankunterstützung für Edge Intelligence.

SQLite kann auf einem Gerät ausgeführt werden, um die vollständig optimierte Nutzung lokaler Rechenressourcen zu unterstützen, so dass eine Anwendung die Möglichkeit hat, lokales Datenmanagement zu handhaben - und dennoch dieselben API-Aufrufe für eine webbasierte Version derselben Anwendung bietet oder sogar sowohl mit den nativen als auch den Webkomponenten einer komplexeren Anwendung funktioniert. Es verarbeitet die meisten SQL-API-Aufrufe, ist also ebenfalls ein Standard.

Ein Vergleich wäre eine ebenso schlechte Wahl

Allerdings hat SQLite viele Nachteile im Vergleich zu einer kommerziellen, unternehmenstauglichen eingebettet Datenbank. Vor allem hat es keine eingebaute Verschlüsselung für Data-at-Rest oder im Transit, geschweige denn mit 128-Bit oder mehr. Außerdem kann es nur in einer einzigen Anwendung und einer einzigen Instanz einbetten , so dass es nicht skaliert werden kann, um mehrere Benutzer zu unterstützen, die Daten von diesem SQLite-Image senden oder empfangen müssen.

Wenn Sie beispielsweise SQLite auf einem Gateway einsetzen und dann mehrere nachgeschaltete IoT versuchen, Daten in diese SQLite-Instanz zu schreiben, gibt es keine Möglichkeit, mehr als einen Client (ein nachgeschaltetes IoT ) zu verwalten , der gleichzeitig in die SQLite-Datenbank schreibt - eine Anforderung in einer IoT mit oft Dutzenden, Hunderten oder sogar Tausenden von nachgeschalteten Geräten. Client-Server-Datenbanken sind jedoch in der Lage, Hunderte oder Tausende von aktiven Downstream-Clients zu verarbeiten. Daher müssen Flatfile- und SQLite-Benutzer ihre Anwendungen, die Daten senden oder empfangen, immer mit MS SQL, mySQL, Oracle oder einer anderen Client-Server-Datenbank koppeln. Diese Kopplung garantiert, dass Datenumformatierung oder ETL (Extract, Transform, Load) ein notwendiges Übel ist.

Es gibt drei große Nachteile von ETL, mit denen die meisten Datenarchitekten und Entwickler zu kämpfen haben: Integrationskosten, Leistung und Datensicherheit. Die Kosten- und Leistungseinbußen hebe ich mir für einen anderen Blog auf, aber die Datensicherheit ist es wert, hier besprochen zu werden. Da es keine einheitliche Architektur für die Verwaltung von Client- und Server-Datenbanken gibt, müssten Sie selbst bei einer integrierten Verschlüsselung die Daten entschlüsseln und erneut verschlüsseln, um ETL-Funktionen ausführen zu können - selbst wenn Sie keine anderen Datenmanipulationen vornehmen müssen. Das Erfordernis der Entschlüsselung bedeutet, dass Ihre Daten-Nutzdaten - wenn auch nur vorübergehend - für Hacker angreifbar sind.

Eine überlegene Methode zur sicheren verwalten Daten am Netzwerkrand

Die Actian Zen-Datenbankfamilie basiert auf einer einzigen, skalierbar , sicheren Architektur, die es ermöglicht, Zen auf VMs in der Cloud und in praktisch jeder Betriebsumgebung laufen zu lassen, von Windows, Linux und Mac OS als vollwertige Client-Server-Datenbank bis hin zu Windows IoT Core, Raspbian Linux-Distributionen, Android und iOS als reduzierte Datenmanagement . Da Actian Zen mit vollständig übertragbaren APIs (Sie können SQL direkt oder NoSQL/SQL-APIs programmatisch von den meisten gängigen Programmiersprachen aus verwenden), der Engine und dem zugrundeliegenden Dateispeicher auf praktisch allem läuft, benötigt es Null-ETL. Außerdem verfügt es über eine 192-Bit-Verschlüsselung im Ruhezustand und bei der Übertragung, wodurch sowohl Integrationskosten als auch Schwachstellen in der Datensicherheit beseitigt und die Leistung gesteigert werden.

Zusammenfassung

Wenn es um SQLite und die kürzlich aufgedeckten Sicherheitslücken geht, muss die Antwort darin bestehen, die Sicherheitslücken zu schließen und das Risiko zu verringern, indem SQLite repariert oder eine bessere Unternehmenslösung wie Actian Zen eingesetzt wird. Die Antwort ist nicht, die Speicherung von Daten auf lokalen Geräten zu vermeiden oder stark einzuschränken. Diese Einschränkungen werden die Innovation und die verbesserten Ergebnisse erschweren, die sich zweifellos aus der am Ort des Geschehens eingebettet Intelligenz ergeben werden. Die Sicherheit Cloud hat sich deutlich verbessert, weil Anbieter, Industriekunden und Normungsgremien sowie die Regierung (NIST-Spezifikationen, FEDRamp usw.) die Herausforderung angenommen haben und nicht in alte Umgebungen zurückgelaufen sind. Ein Risiko wird es immer geben, aber es geht darum, dieses Risiko verwalten , indem man von statischen, reaktionären und periodischen Sicherheitskontrollen zu einem risikobasierten, kontinuierlichen Diagnose- und Überwachungsansatz übergeht. Erwarten Sie nichts Geringeres im Laufe der Zeit für die Sicherheit von Mobil- und IoT , da Anbieter - wie Actian - zusammenarbeiten, um Kunden zu helfen, ruhig zu bleiben und ihre Daten am Edge sicher zu halten.

Wenn Sie bereit sind, SQLite zu überdenken, erfahren Sie mehr über Actian Zen. Oder Sie können Zen Core kostenlos testen, das für Entwicklung und Vertrieb lizenzfrei ist.

Über Actian Corporation

Actian macht Daten einfach. Unsere Datenplattform vereinfacht die Verbindung, Verwaltung und Analyse von Daten in Cloud-, Hybrid- und lokalen Umgebungen. Mit jahrzehntelanger Erfahrung in den Bereichen Datenmanagement und -analyse liefert Actian leistungsstarke Lösungen, die es Unternehmen ermöglichen, datengesteuerte Entscheidungen zu treffen. Actian wird von führenden Analysten anerkannt und wurde für seine Leistung und Innovation mit Branchenpreisen ausgezeichnet. Unsere Teams präsentieren bewährte Anwendungsfälle auf Konferenzen (z. B. Strata Data) und tragen zu Open-Source-Projekten bei. Im ActianBlog behandeln wir Themen wie Echtzeit-Dateneingabe, Datenanalyse, Data Governance, Datenmanagement, Datenqualität, Datenintelligenz und KI-gesteuerte Analysen.