Les vulnérabilités de sécurité de SQLite vous inquiètent ?

Faire face à l'inévitable : Les données persistantes locales à la périphérie se produiront

Il est indéniable que l'intelligence en périphérie va se développer, qu'il s'agisse d'applications mobiles fonctionnant sur des smartphones, d'applications IdO fonctionnant dans des voitures intelligentes (ou les capteurs sous-jacents), le centre de divertissement, les systèmes de navigation, etc. Il y aura d'innombrables scénarios mobiles et IoT - pris dans leur ensemble - où une application native sera une meilleure approche qu'une application basée sur le web, ou lorsqu'il serait inefficace/potentiellement moins sûr de renvoyer des données brutes à partir de points de collecte IoT - plutôt que de traiter les données et de stocker ou d'effacer localement les données d'entrée.

La complexité des processus et des flux de travail à la périphérie, la possibilité d'effectuer des analyses au point d'action et le travail en mode déconnecté ou avec des connexions irrégulières sont autant d'exemples qui expliquent pourquoi vous aurez besoin d'un stockage de données local et donc d'une base de données locale. Il est évident que les données associées à ces applications vont proliférer.

Malheureusement, ce qui est tout aussi inévitable, c'est que les vulnérabilités en matière de sécurité et les attaques opportunistes qui ciblent ces faiblesses vont augmenter dans un avenir prévisible. Plusieurs études et enquêtes réalisées au cours des dernières années montrent clairement que les logiciels basés sur l'IdO et les appareils mobiles présentent un nombre bien plus important de failles de sécurité que les plateformesordinateurs de bureau ou portables plus matures, sans parler des logiciels fonctionnant sur des serveurs dans les centres de données. N'oublions pas qu'il y a dix ans, chaque faille de sécurité dans le cloud générait un sentiment de panique et ralentissait peut-être l'adoption des services cloud. Il se pourrait bien que nous en soyons là aujourd'hui avec lagestion des données localisée et Embarqué gestion des données pour les appareils périphériques.

Par exemple, au cours du week-end, une très grave vulnérabilité de sécurité a été découverte dans SQLite et la version web de SQLite dans Chromium (les racines Open Source de Google Chrome). Bien qu'il ne s'agisse pas de la première ou de la plus grande faille potentielle découverte dans la gestion des données Open Source - après tout, le virus Heartbleed en 2014 qui a tiré parti d'OpenSSL détient probablement ces deux records - parce que cette vulnérabilité est associée à SQLite, une base de données qui est presque omniprésente dans les applications mobiles natives et basées sur le web, et ses API, nous devrions nous préparer à la réaction spontanée : peut-être que les données ne devraient pas être stockées localement sur les appareils périphériques et que tout devrait être fait dans le nuage, où l'on suppose que c'est plus sûr (comme les temps ont changé).

Une réduction des effectifs serait une réaction excessive

Tout d'abord, SQLite est bien meilleur qu'une combinaison d'allocation de mémoire temporaire et de systèmes de fichiers plats, une approche que je ne recommanderais jamais à quelqu'un que j'appelle un ami. Pourquoi ? Contrairement à l'allocation de mémoire et à l'utilisation de fichiers plats, qui offrent peu de standardisation, d'indexation intégrée ou d'autres manipulations de données réelles, SQLite fournit un support base de données de base pour l'intelligence périphérique.

SQLite est capable de fonctionner sur un appareil pour support utilisation entièrement optimisée des ressources de calcul locales, offrant à une application la possibilité de gérer gestion des données localement - tout en offrant le même ensemble d'appels d'API pour une version web de cette même application, ou même de travailler à la fois sur les composants natifs et web d'une application plus complexe. Il gère la plupart des appels d'API SQL, ce qui le rend également standard.

Un règlement à l'amiable serait un choix tout aussi médiocre

Cependant, SQLite présente de nombreux inconvénients par rapport à une base de données commerciale Embarqué niveau entreprise. En particulier, il ne dispose pas d'un cryptage intégré pour les données au repos ou en transit, et encore moins d'un cryptage à 128 bits ou plus. De plus, il ne peut Embarquer que dans une seule application et une seule instance, et ne peut donc pas être mis à l'échelle pour support plusieurs utilisateurs qui ont besoin d'envoyer ou de recevoir des données à partir de cette image SQLite.

Par exemple, si vous installez SQLite sur une passerelle et que plusieurs appareils IoT en aval tentent d'écrire des données dans cette instance SQLite, il n'y a aucun moyen de gérer plus d'un client (appareil IoT en aval) écrivant dans la base de données SQLite à la fois - une exigence dans un environnement IoT avec souvent des dizaines, des centaines, voire des milliers d'appareils en aval. Cependant, les bases de données client-serveur sont capables de gérer des centaines ou des milliers de clients actifs en aval ; par conséquent, les utilisateurs de fichiers plats et de SQLite doivent toujours coupler leurs applications qui envoient ou reçoivent des données avec MS SQL, mySQL, Oracle ou une autre base de données client-serveur. Ce couplage garantit que le reformatage des données ou ETL (Extract, Transform, Load) est un mal nécessaire.

L'ETL présente trois inconvénients majeurs auxquels se heurtent la plupart des architectes et développeurs de données : les coûts d'intégration, les performances et la sécurité des données. Je garderai les pénalités de coût et de performance pour un autre blog, mais la sécurité des données mérite d'être abordée ici. En l'absence d'une architecture unique pour la gestion des bases de données client et serveur, même si vous disposiez d'un cryptage intégré, vous n'auriez pas d'autre choix que de décrypter et de recrypter pour pouvoir exécuter les fonctions ETL - même si vous n'aviez aucune autre manipulation de données à effectuer. L'obligation de décryptage signifie que vos données utiles sont - même temporairement - exposées aux pirates informatiques.

Un moyen supérieur de gérer les données en toute sécurité à la périphérie de l'entreprise

La famille de bases de données Actian Zen est basée sur une architecture unique, évolutif sécurisée qui permet à Zen de fonctionner sur des VM dans le cloud, dans pratiquement n'importe quel environnement d'exploitation, de Windows, Linux et Mac OS en tant que base de données client-serveur complète à Windows IoT Core, Raspbian distributions Linux, Android et iOS en tant que plate-forme de gestion des données réduite à 2MB en bordure de client uniquement. Étant donné qu'Actian Zen fonctionne sur pratiquement n'importe quoi avec des API entièrement transférables (vous pouvez utiliser SQL directement ou des API NoSQL/SQL par programmation à partir des langages de programmation les plus courants), un moteur et un stockage de fichiers sous-jacent, il nécessite Zero-ETL. Il dispose également d'un cryptage 192 bits au repos et en transit, ce qui permet d'éliminer les coûts d'intégration et les vulnérabilités en matière de sécurité des données, tout en améliorant les performances.

Résumé

En ce qui concerne SQLite et les récentes failles de sécurité découvertes, la réponse doit être de combler les failles de sécurité et de réduire le risque en corrigeant SQLite ou en optant pour une solution d'entreprise supérieure comme Actian Zen. La réponse n'est pas d'éviter ou de limiter fortement le placement des données sur des dispositifs locaux. Ces contraintes freineront l'innovation et l'amélioration des résultats qui découleront sans aucun doute de l'intelligence Embarqué au point d'action. La sécurité de l'informatique en nuage s'est nettement améliorée parce que les fournisseurs, les clients de l'industrie et les organismes de normalisation, ainsi que les pouvoirs publics (spécifications NIST, FEDRamp, etc.) ont relevé le défi, au lieu de se replier sur les environnements existants. Il y aura toujours des risques, mais il s'agit de les gérer en passant de contrôles statiques, réactionnels et périodiques de la sécurité à une approche de diagnostic et de surveillance continus, fondés sur les risques. Ne vous attendez à rien de moins au fil du temps pour la sécurité des données mobiles et IoT, car les fournisseurs - comme Actian - travaillent ensemble pour aider les clients à rester calmes et à garder leurs données à la périphérie sécurisées.

Si vous êtes prêt à reconsidérer SQLite, renseignez-vous sur Actian Zen. Vous pouvez également vous familiariser gratuitement avec Zen Core, qui est libre de droits pour le développement et la distribution.

À propos d'Actian Corporation

Actian facilite l'accès aux données. Notre plateforme de données simplifie la façon dont les gens connectent, gèrent et analysent les données dans les environnements cloud, hybrides et sur site . Avec des décennies d'expérience dans la gestion des données et l'analyse, Actian fournit des solutions de de haute performance qui permettent aux entreprises de prendre des décisions basées sur les données. Actian est reconnu par les principaux analystes et a reçu des prix de l'industrie pour sa performance et son innovation. Nos équipes partagent des cas d'utilisation éprouvés lors de conférences (par exemple, Strata Data) et contribuent à des projets à code source ouvert. Sur le blog d'Actian, nous abordons des sujets tels que l'ingestion de données en temps réel, l'analyse de données, la gouvernance données, la gestion des données, la qualité des données, l'intelligence des données et l'analyse pilotée par l'IA.