Agora está muito mais fácil e rápido para Administradores de Banco de dados das Agências governamentais dos EUA substituir Sistemas Gerenciadores de Banco de dados (SGBD) legados e caros, conhecendo as políticas públicas e adotar software de código aberto. O Departamento de Defesa (DoD) publicou um Guia de Implementação de Segurança Técnica (Security Technical Implementation Guide – STIG) para o banco de dados de código aberto EDB Postgres™ Advanced Server da EnterpriseDB^®(EDB™).

EDB é a primeira fornecedora de banco de dados de código aberto a ter um STIG publicado para seu produto central. A EDB é agora juntamente com apenas outras duas empresas – Oracle e Microsoft – que concluiu todo o rigoroso processo de revisão da Agência de Segurança de Defesa da Informação (Defense Information Security Agency – DISA), um braço do DoD, tendo um STIG publicado para um produto de Banco de dados. A DISA avalia tecnologias e conjuntos de padrões para segurança e implementação em favor do DoD.

Com o STIG EDB nas mãos, os DBAs não precisam mais investir meses em pesquisa e coleta de informações documentando para seus escritórios de segurança que o EDB Postgres possui os requisitos de segurança do Departamento de Defesa, e como configurar uma implementação garantindo a sua correta adequação. Os DBAs podem com a aprovação do Dod, alcançar seus objetivos de implementação mais rapidamente, com menor custo e menor risco. O STIG pode ser baixado em http://iase.disa.mil/stigs/app-security/database/Pages/index.aspx .

Trabalhando com a EDB, a DISA avaliou o EDB Postgres frente aos requisitos de segurança rigorosos do DoD e desenvolveu o guia que define como o EDB Postgres pode ser implementado e configurado para alcançar os requisitos de segurança dos sistemas governamentais dos EUA (Leia a reportagem em http://bit.ly/29Kliiq ).

O STIG fornece aos DBAs das agências uma valiosa e necessária ajuda para que o software de código aberto possa ter maior impulso nas agências governamentais. O código aberto é visto como uma oportunidade de facilmente reduzir os custos e migrar de fornecedores legados caros. É fato que o Gartner em recente relatório, migrando “Cargas de trabalho para a plataforma EDB Postgres informa que as empresas podem ter uma economia de até 80% redirecionando os altos custos de manutenção com estes sistemas de bancos de dados e investindo em novas iniciativas digitais de negócio.”^[1]

Com a criação do STIG a EDB implementou várias melhorias de segurança que foram disponibilizadas no código fonte do PostgreSQL para o banco de dados EDB Postgres Advanced Server. O extenso processo de validação mostrou como o EDB Postgres manipula a encriptação, disponibiliza auditagem granular e prevenção de ataques usados por ferramentas do EDB Postgres™ como SQL/Protect, uma solução de prevenção de ataque de SQL injection. Foram mais de 100 critérios de regras de segurança envolvidos.

STIGs são inúmeras revisões de segurança em nível governamental que os fornecedores devem perseguir. É importante entender porque a EDB escolheu um STIG para o EDB Postgres ao invés de outras como o Postgres Common Criteria Certification (CCC).

De acordo com a DISA, “Os Guias STIGs e a Agência Nacional de Segurança (NSA) são os padrões de configuração para a garantia de Informação (IA) do DoD e o IA para sistemas e equipamentos. Desde 1998, a DISA tem desempenhado um papel crítico na melhoria da postura de segurança dos sistemas do DoD fornecendo os STIGs. Os STIGs contem guias técnicos de bloqueio de informações para sistemas e softwares que poderiam ser vulneráveis a um ataque de computador malicioso”.

Um CCC é uma Certificação Internacional (http://bit.ly/2a2mB8p ) para um produto avaliado por laboratórios certificados de modo a determinar o cumprimento de propriedades particulares de segurança. Critérios comuns (CC) é uma estrutura na qual os sistemas de computadores podem especificar seus requerimentos de segurança funcional e garantias através do uso de perfis de proteção. Fornecedores podem então implementar e/ou fazer reivindicações sobre atributos de seus produtos, e os laboratórios poderão avaliar os produtos para determinar se eles efetivamente cumprem estas reivindicações.

Embora a EDB tenha recebido um CCC para versões anteriores do EDB Postgres, o Governo dos EUA posteriormente deixou isto claro em 2014 que tal certificação não era o que eles gostariam para os fornecedores de banco de dados. De fato a Associação Nacional de Garantia da Informação (National Information Assurance Partnership – NIAP), uma organização governamental que supervisiona CCCs para os Estados Unidos, liberou um memorando (https://www.niap-ccevs.org/Documents_and_Guidance/ccevs/DBMS%20Position%20Statement.pdf ) declarando que eles veem “Nenhum valor em um perfil de Proteção colaborativo para segurança de uso SGBDs para o Governo” e concluiu que “A Classe da tecnologia de SGBDs não é atualmente compatível com os objetivos, isolamento e testes que o CC pode fornecer.” Afim de alcançar o CCC para um banco de dados hoje, um fornecedor deve estar disposto a ignorar a posição do NIAP e um julgamento dos especialistas de segurança do Governo dos EUA e trabalhar com outro governo fora os Estados Unidos, por exemplo Turquia.

A EDB escolheu seguir o guia fornecido pelo Governo dos EUA e não planeja seguir o CCC a menos que o Governo dos EUA (NIAP) mude claramente sua posição ou que algum cliente estrangeiro requisite isto. Portanto, com o primeiro STIG para banco de dados de código aberto e com um foco inabalável em segurança, os DBAs do governo podem facilmente e seguramente implementar um poderosos banco de dados em total compatibilidade com os padrões e políticas do Departamento de Defesa.

A EDB já trabalha com mais de 150 clientes civis, de defesa e inteligência, incluindo militares dos EUA como exército, Marinha, Corpo de Fuzileiros e Força Aérea. Clientes que utilizam o EDB Postgres receberam autorização para operar em várias das mais seguras redes do DoD e IC.

Marc Linster, Ph.D., é Senior Vice President, Products and Services, EnterpriseDB.

– Veja mais em: http://www.enterprisedb.com/postgres-plus-edb-blog/marc-linster/dod-publishes-first-stig-support-government-agencies-deploying-o?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+EnterpriseDB+%28Open+Enterprise%3A+The+EnterpriseDB+Blog%29#sthash.6rJtHNsQ.dpuf