Защита баз данных: обзор российского рынка DAM и DBF

Обзор рынка систем защиты баз данных (Database Security)

Обзор рынка систем защиты баз данных (Database Security)

Базы данных — ценный актив любой компании, и именно они чаще всего становятся целью злоумышленников. Утечки данных из СУБД несут финансовые и репутационные потери, а регуляторы ужесточают требования к их защите. Анализируем рынок систем защиты баз данных и актуальные решения российских вендоров.

 

 

 

 

 

 

  1. 1. Введение
  2. 2. Что такое системы защиты баз данных и зачем они нужны
  3. 3. Подходы к внедрению систем защиты баз данных
  4. 4. Мировой рынок систем защиты баз данных
  5. 5. Российский рынок систем защиты баз данных
  6. 6. Обзор систем защиты баз данных
    1. 6.1. «Гарда DBF 5.7»
    2. 6.2. «Спектр | DAM»
    3. 6.3. «Крипто БД»
  7. 7. Встроенные средства безопасности российских СУБД
    1. 7.1. Jatoba
    2. 7.2. Postgres Pro
    3. 7.3. Tantor
    4. 7.4. Picodata
    5. 7.5. Arenadata Prosperity
    6. 7.6. Platform V Pangolin DB
  8. 8. Выводы

Введение

Базы данных — структурированные хранилища информации, которые лежат в основе большинства корпоративных ИТ-систем: интернет-магазинов, банковских транзакционных платформ, CRM, госуслуг, медицинских и логистических систем. В СУБД накапливаются клиентские базы, платёжные данные, интеллектуальная собственность, персональные сведения сотрудников — информация, составляющая коммерческую ценность и подлежащая правовой охране.

В 2025 году объём утёкших данных из российских сервисов достиг 767 млн строк — в 1,5 раза больше, чем годом ранее. При этом количество утечек сократилось почти вдвое. Злоумышленники стали действовать более целенаправленно и наносят больший ущерб за один инцидент. Мировая статистика показывает, что средняя стоимость утечки данных составляет 4,44 млн долларов; в здравоохранении этот показатель ещё выше.

Угрозы для баз данных могут исходить как изнутри, так и извне. Внешние угрозы — это в основном хакерские атаки. К ним относятся использование уязвимостей баз данных и системы, SQL-инъекции, подбор учётных данных, атаки на API. Внутренние угрозы — это непреднамеренная утечка данных, ошибки администраторов, чрезмерные привилегии, несанкционированные выгрузки, действия инсайдеров.

Противодействовать этим угрозам помогают системы защиты баз данных. Одни отслеживают и анализируют активность, другие блокируют подозрительные запросы, третьи контролируют доступ к данным или шифруют их. В настоящем обзоре рассмотрим, какие системы защиты баз данных представлены на отечественном рынке.

Что такое системы защиты баз данных и зачем они нужны

Рынок систем защиты баз данных (Database Security) активно развивается, отвечая на растущие угрозы кибербезопасности и нормативные требования. Такие системы контролируют доступ к информации, отслеживают действия пользователей и приложений, предотвращают атаки на уровне SQL и снижают риск утечек. Они дополняют встроенные механизмы СУБД и закрывают задачи, которые невозможно решить стандартными средствами: непрерывный мониторинг активности, блокировку вредоносных запросов, аудит привилегированных пользователей, шифрование и маскирование данных.

Ключевую роль здесь играют технологии DAM (Database Activity Monitoring — мониторинг активности в базах данных) и DBF (Database Firewall — межсетевой экран для СУБД).

DAM фиксирует все операции в базе данных в режиме реального времени, анализирует поведение пользователей, выявляет аномалии и подозрительные операции, например массовую выгрузку данных в нерабочее время. DAM-системы работают с копией трафика и не влияют на производительность СУБД.

DBF, в свою очередь, предназначены для активной защиты. Они фильтруют SQL-запросы, блокируют попытки SQL-инъекций и другие вредоносные действия, помогают управлять доступом на уровне запросов. В современных продуктах функции DAM и DBF часто объединены в едином решении и интегрируются с SIEM-платформами для корреляции событий.

Шифрование баз данных (DB Encryption) защищает информацию в состоянии покоя и при передаче. Используются протоколы TLS/SSL и механизмы прозрачного шифрования (Transparent Data Encryption), которые не требуют изменений в приложениях.

Маскирование данных (Data Masking) применяется для обезличивания информации в тестовых и разрабатываемых средах. Реальные значения заменяются фиктивными, но структура и логические связи сохраняются.

Управление доступом к базам данных (DB Access Control) включает PAM (Privileged Access Management — контроль привилегированных пользователей) и DCAP (Data-Centric Audit and Protection — аудит и защита данных на уровне прав доступа). Эти инструменты помогают управлять привилегиями администраторов и разработчиков, контролировать сессии, фиксировать команды и выявлять избыточные права.

При выборе системы защиты баз данных важно учитывать специфику инфраструктуры, тип СУБД, требования к производительности и соответствие нормативным актам (например, Федеральному закону № 152-ФЗ «О персональных данных», Федеральному закону № 187-ФЗ «О безопасности критической информационной инфраструктуры»).

 

Рисунок 1. Схема работы DAM/DBF (Источник: Noventiq)

Схема работы DAM/DBF (Источник: Noventiq)

 

Подходы к внедрению систем защиты баз данных

Подходы к внедрению систем защиты БД зависят от архитектуры инфраструктуры, требований к производительности и уровня контроля, который необходимо обеспечить.

Режим proxy/inline — классический подход для межсетевых экранов уровня баз данных (DBF). Система включается в разрыв трафика между приложением и СУБД, анализирует SQL-запросы и может блокировать вредоносные операции в реальном времени. Такой метод обеспечивает максимальный уровень активной защиты, но требует тщательного тестирования, чтобы избежать влияния на производительность.

Режим sniffing/mirror используется в DAM-системах. Решение получает копию сетевого трафика через SPAN/mirror-порт (Switch Port Analyzer) или TAP (Test Access Point), фиксирует операции в СУБД и выявляет аномалии, не вмешиваясь в работу приложений. Этот метод безопасен для производительности и подходит для аудита, расследования инцидентов и непрерывного контроля действий пользователей.

Agent‑based подход предполагает установку лёгкого агента на сервер СУБД или рядом с ним. Агент получает доступ к системным журналам, внутренним событиям и контексту выполнения запросов, что позволяет фиксировать операции, которые не видны в сетевом трафике. Метод обеспечивает максимальную детализацию, но требует контроля совместимости и обновлений.

Наконец, часть функций реализуется через встроенные механизмы безопасности СУБД. Это аутентификация, шифрование, аудит, ролевая модель доступа, маскирование данных и SQL-файрволы, встроенные в отечественные СУБД. Такие механизмы усиливают общий контур защиты, но не заменяют специализированные DAM/DBF-решения, особенно в распределённых инфраструктурах.

Мировой рынок систем защиты баз данных

Мировой рынок Database Security развивается стремительно, и это прямое следствие роста числа утечек данных, усложнения ИТ-ландшафта и ужесточения требований к защите информации. Организации переходят на облачные и гибридные СУБД, увеличивают объём данных и расширяют периметр, что делает традиционные методы защиты недостаточными. На этом фоне продолжает расти спрос на решения DAM, DBF, комплексные платформы защиты данных и встроенные механизмы безопасности, которые предлагают облачные провайдеры.

Современный рынок движется в сторону модели cloud‑first (приоритет облачных решений). Всё больше компаний выбирают управляемые облачные базы данных и используют нативные средства защиты, интегрированные в экосистему провайдера. В отличие от классических DAM- и DBF-систем такие инструменты встроены в инфраструктуру облака, автоматически масштабируются вместе с БД, управляются через единую консоль и включают встроенные механизмы обнаружения угроз и обновления. Они работают по модели операционных расходов (OPEX) и дают видимость активности не только в СУБД, но и во всей облачной среде.

По данным 360iResearch, в 2025 году объём мирового рынка Database Security достиг 12,78 млрд долларов, в 2026 году превысит 14,86 млрд, а к 2032 году вырастет до 38,51 млрд долларов при среднегодовом темпе роста около 17,05 % . Наибольший спрос наблюдается в финансовом секторе, ритейле, здравоохранении и госсекторе.

 

Рисунок 2. Рост мирового рынка систем защиты БД (Источник: 360iResearch)

Рост мирового рынка систем защиты БД (Источник: 360iResearch)

 

Среди ведущих международных вендоров выделяют IBM Guardium Data Protection, Oracle Data Safe, Imperva Data Security Fabric, Thales CipherTrust Database Protection и Trellix Database Activity Monitoring.

По данным Mordor Intelligence, DAM-сегмент становится одним из основных: организации стремятся к непрерывному контролю действий администраторов, выявлению инсайдерских угроз и автоматизации аудита. DAM-решения всё чаще используются как обязательный компонент Zero Trust-архитектуры.

 

Рисунок 3. Объём и доля рынка DAM-систем (Источник: Mordor Intelligence)

Объём и доля рынка DAM-систем (Источник: Mordor Intelligence)

 

Значимую долю рынка формируют и облачные решения. Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform предлагают собственные механизмы защиты, которые частично заменяют классические DAM/DBF-системы.

В AWS ключевую роль играет GuardDuty RDS Protection — сервис обнаружения угроз, анализирующий журналы аудита, CloudTrail и сетевой трафик, выявляющий брутфорс-атаки, аномальные запросы и подозрительные действия. Управляемые СУБД в Amazon RDS получают встроенную защиту: шифрование данных с помощью AWS Key Management Service (KMS), TLS-шифрование трафика, автоматические обновления и интеграцию с IAM для контроля доступа. Дополняют контур AWS Secrets Manager для безопасного хранения секретов и Amazon Macie для обнаружения и классификации чувствительных данных.

В Microsoft Azure функции защиты обеспечивает Defender for SQL, который выявляет SQL-инъекции, брутфорс и аномалии в Azure SQL Database и SQL Server. Microsoft Entra ID (ранее Azure Active Directory) и Key Vault используются для аутентификации и управления ключами. Azure Policy обеспечивает соблюдение единых стандартов безопасности, а Azure Monitor — анализ журналов, корреляцию событий и динамическое маскирование данных в Azure SQL.

В Google Cloud Platform встроенная защита реализована через механизмы Cloud SQL Security с автоматическим шифрованием данных, SSL-трафиком и интеграцией с Cloud IAM. Cloud Audit Logs фиксируют все операции с ресурсами, Security Command Center обеспечивает централизованный мониторинг безопасности, а VPC Service Controls создают периметр вокруг облачных ресурсов, предотвращая утечки данных.

Рынок движется в сторону унифицированных платформ, объединяющих мониторинг, контроль привилегий, шифрование, токенизацию и ИИ-аналитику. Например, IBM в октябре 2024 года представила Guardium Data Security Center как единый SaaS-фреймворк для сквозной защиты данных и автоматизации управления доступом.

Несмотря на рост, отрасль сталкивается с ограничениями: высокой стоимостью внедрения, дефицитом квалифицированных специалистов, сложностью интеграции с устаревшими системами и ограниченными бюджетами малого и среднего бизнеса.

Российский рынок систем защиты баз данных

Российский рынок защиты баз данных развивается под действием импортозамещения СУБД и ужесточения ответственности за утечки. С одной стороны, компании замещают Oracle, Microsoft SQL Server и IBM DB2 на отечественные СУБД (Jatoba, Postgres Pro, Tantor, Picodata). С другой — рост числа инцидентов и многомиллионные оборотные штрафы делают защиту баз данных обязательным условием для ведения бизнеса.

В 2025 году зафиксировано 250 публичных утечек баз данных в СНГ, из них 230 — в российских компаниях. Общий объём скомпрометированных данных превысил 767 млн строк. При этом значительная часть инцидентов связана именно с компрометацией СУБД или ошибками администрирования.

Несмотря на рост угроз и ужесточение законодательства, специализированные решения для защиты баз данных (DAM, DBF, DCAP, шифрование) применяют лишь 35 % компаний . Большинство ограничивается базовыми DLP-системами, что создаёт разрыв между формальным соблюдением требований и реальной защитой данных. Эксперты связывают это с разрывом между руководством и ИБ-командами, нехваткой ресурсов и знаний, фокусом только на «видимых» рисках и сложностью интеграции новых решений в существующую инфраструктуру.

Рынок движется в сторону интеграции с отечественными экосистемами: решения адаптируются под Astra Linux, «РЕД ОС» и российские СУБД, формируя единый импортонезависимый контур. Активно развивается автоматизация: машинное обучение используется для выявления аномалий, анализа поведения администраторов и автоматического реагирования.

Растёт спрос на защиту данных в облачных СУБД и на моделях SaaS/IaaS, особенно в финансовом секторе, промышленности и госсекторе. Компании стремятся к комплексным платформам, объединяющим DAM, DBF, DCAP, шифрование и DLP в единую Data Security Platform, которая обеспечивает классификацию данных, контроль привилегий, мониторинг SQL-активности и автоматизацию расследований.

Требования Федерального закона № 152-ФЗ «О персональных данных» , Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры» , оборотные штрафы , запрет на использование иностранных СУБД в КИИ, обязательная аттестация информационных систем и требования ФСТЭК, ФСБ, Банка России формируют устойчивый спрос на сертифицированные средства защиты.

Ниже — обзор российских систем защиты баз данных.

Обзор систем защиты баз данных

Ниже — обзор ключевых продуктов, которые закрывают задачи DAM, DBF, шифрования и контроля привилегий, поддерживают отечественные СУБД и операционные системы.

 

 

«Гарда DBF 5.7»

«Гарда DBF 5.7» (ранее «Гарда БД») — российская система класса DAM/DBF для управления безопасностью баз данных и бизнес-приложений из единого центра. Решение контролирует операции с данными и действия пользователей, выявляет внешние атаки и злоупотребления привилегиями в режиме реального времени, а также позволяет блокировать несанкционированную активность.

Система работает как в режиме пассивного аудита, так и в режиме активного межсетевого экрана баз данных (Database Firewall). В пассивном режиме она анализирует копию трафика и формирует детализированный журнал операций для расследования ИБ-инцидентов и ретроспективного анализа. В активном режиме «Гарда DBF» включается «в разрыв» соединения и фильтрует SQL-запросы, предотвращая SQL-инъекции, несанкционированные операции и попытки обхода политик доступа.

Особенности решения:

  • Поддержка более 40 типов СУБД, Big Data и облачных сред.
  • Защита веб-приложений, ERP, CRM и других информационных систем.
  • Поведенческий анализ для выявления мошеннических операций с возможностью их блокировки.
  • Выявление теневых баз данных в инфраструктуре.
  • Контроль соблюдения требований регуляторов и отраслевых стандартов.
  • Интеграция с SIEM-, SOAR-системами и дата-каталогами.

Внедрение «Гарда DBF» возможно в 3 режимах: копии трафика, сетевого экрана и агента. Упрощённые схемы каждого варианта представлены на рисунке ниже.

 

Рисунок 4. Схема вариантов внедрения «Гарда DBF» (источник: «Гарда»)

Схема вариантов внедрения «Гарда DBF» (источник: «Гарда»)

 

«Гарда DBF» совместима с Astra Linux, РЕД ОС и другими отечественными операционными системами.

Продукт сертифицирован ФСТЭК России по 4‑му уровню доверия (сертификат № 4443) и включён в Единый реестр отечественного ПО (запись № 1284 от 05.09.2016).

Подробнее о системе можно узнать на сайте компании.

 

 

«Спектр | DAM»

«Спектр | DAM» — модуль мониторинга активности баз данных в составе платформы защиты данных «Спектр» компании «Сайберпик». Он появился в версии 3.9 (2024 год) и предназначен для непрерывного аудита действий пользователей и учётных записей по отношению к объектам СУБД — таблицам, полям, функциям и процедурам. Сбор событий не зависит от настроек штатного аудита, что снижает нагрузку на базы данных и позволяет фиксировать операции даже при отключённом встроенном журналировании.

Модуль анализирует содержимое таблиц и полей, классифицирует данные и определяет места хранения критичной информации. Встроенный инструмент визуализации прав доступа показывает привилегии до уровня схем, таблиц и колонок, помогая выявлять учётные записи с избыточными правами.

«Спектр | DAM» поддерживает создание правил‑оповещений о важных операциях с анализом текста запросов, ответов и метаданных. Модуль поведенческой аналитики автоматически строит профили типичной активности каждой учётной записи и выявляет отклонения.

 

Рисунок 5. Интерфейс управления системой (Источник: «Сайберпик»)

Интерфейс управления системой (Источник: «Сайберпик»)

 

Система совместима с PostgreSQL, Postgres Pro, Platform V Pangolin, Jatoba, MySQL, MS SQL и Oracle. Она масштабируется для территориально распределённых компаний, управляется из единого интерфейса и выдерживает нагрузку более 10 000 запросов в секунду.

Платформа «Спектр» в целом включена в реестр отечественного ПО (№ 7143 от 03.11.2020) и сертифицирована ФСТЭК России (сертификат № 4668 от 04.04.2023).

Подробнее о системе можно узнать на сайте компании.

 

 

«Крипто БД»

«Крипто БД» — решение компании «Аладдин Р.Д.» для криптографической защиты данных и предотвращения утечек на уровне СУБД. Система выполняет выборочное шифрование таблиц и отдельных полей по ГОСТ 28147-89 и ГОСТ Р 34.12-2015, маскирует данные для неавторизованных пользователей и контролирует целостность информации.

Ключи шифрования хранятся отдельно, поэтому даже администраторы СУБД не имеют к ним доступа — данные остаются защищёнными от доступа любых привилегированных пользователей базы данных и ОС сервера.

Система поддерживает усиленную аутентификацию через USB-токены и смарт-карты JaCarta, ведёт журнал доступа обращений к зашифрованным данным и обеспечивает централизованное управление ключами шифрования. Шифрование выполняется селективно, что снижает нагрузку на инфраструктуру по сравнению с полным шифрованием файлов базы данных. В системе предусмотрено необратимое удаление данных: при удалении ключей информация становится недоступной. Первичное шифрование и перешифрование могут выполняться в фоновом режиме, без остановки информационной системы.

 

Рисунок 6. Окно выбора провайдера БД (Источник: «Аладдин Р.Д.»)

Окно выбора провайдера БД (Источник: «Аладдин Р.Д.»)

 

«Крипто БД» совместима с Oracle, MS SQL, PostgreSQL, Postgres Pro и Jatoba, что позволяет использовать её в смешанных и импортонезависимых инфраструктурах.

Система сертифицирована ФСБ России как средство криптографической защиты классов КС1 и КС2 (сертификат № СФ/124‑4638) и включена в Единый реестр отечественного ПО (№ 509, № 518, № 4292, № 4293).

Подробнее о системе можно узнать на сайте компании.

Встроенные средства безопасности российских СУБД

Помимо специализированных систем, часть функций защиты реализована непосредственно в отечественных СУБД. Эти механизмы не заменяют DAM/DBF‑решения, но усиливают общий контур безопасности и позволяют закрыть требования регуляторов.

 

 

Jatoba

Jatoba — российская СУБД компании «Газинформсервис», построенная на ядре PostgreSQL. Более чем 20-летний опыт компании в области информационной безопасности позволил реализовать в СУБД наиболее мощный на рынке СУБД общего назначения функционал обеспечения информационной безопасности. Платформа усиливает защиту данных за счёт уникального на российском рынке встроенного SQL Firewall с искусственным интеллектом, который работает в реальном времени: он пропускает только авторизованные запросы и подключения, блокирует SQL‑инъекции, несанкционированный доступ и попытки кражи учётных данных. «Ятоба» шифрует (скрывает) данные на диске, защищает таблицы от прямых обращений и контролирует целостность.

СУБД ведёт подробный аудит действий пользователей, фиксирует изменения схем и операций с привилегиями. Управляет доступом на уровне ролей, ограничивает права суперпользователей, объектов и отдельных полей, помогает быстро выявлять избыточные права и ограничивать критичные операции.

 

Рисунок 7. Схема работы встроенного SQL Firewall (Источник: Jatoba)

Схема работы встроенного SQL Firewall (Источник: Jatoba)

 

В СУБД «Ятоба» внедрено маскирование данных. Система скрывает персональные, финансовые, медицинские и корпоративные сведения с помощью статического и динамического маскирования, анонимных дампов, маскирующих представлений и обёрток данных. Платформа реализует принцип «конфиденциальность по замыслу»: разработчик заранее отмечает чувствительные поля и задаёт правила их маскирования прямо в схеме базы данных.

«Ятоба» активно использует искусственный интеллект в защите, анализирует логи, выявляет аномалии и вторжения, обнаруживает уязвимости, помогает автоматизировать управление доступом и предотвращать утечки. Поддерживает обфускацию хранимых процедур и функций, а также построение отказоустойчивых кластеров для высоконагруженных систем.

СУБД зарегистрирована в Едином реестре отечественного ПО (№ 5749 от 20.09.2019). В 2025 году Jatoba заняла 1-е место в Рейтинге кибербезопасности российских СУБД общего назначения по версии ResearchView. Поддерживает более 30 операционных систем, в том числе сертифицированных ФСТЭК. Сеть технологических партнёров включает более 130 вендоров, обеспечена широкая совместимость с ИБ-системами ведущих российских производителей.

Подробнее о системе можно узнать на сайте компании.

 

 

Postgres Pro

Postgres Pro — российская СУБД на базе PostgreSQL. Платформа усиливает защиту за счёт расширенной аутентификации с профилями паролей, шифрования трафика через SSL/TLS и прозрачного шифрования данных на диске (TDE) через pgpro_tde. TDE защищает информацию при краже носителей или доступе к файловой системе, а безопасность зависит от хранения ключей в защищённом хранилище.

Для аудита используется pg_proaudit, который фиксирует все действия пользователей и изменения в базе данных. Логи можно выводить в отдельный защищённый раздел или передавать в SIEM, чтобы исключить их подмену и обеспечить централизованный контроль.

Postgres Pro Enterprise устраняет проблему «всемогущего» superuser. Вместо одной привилегированной учётной записи система вводит две роли:

  1. Администратор СУБД: управляет сервером, репликацией и резервным копированием.
  2. Администратор баз данных: отвечает за объекты, пользователей и права.

Платформа поддерживает детализированную ролевую модель (RBAC), помогает ограничивать привилегии приложений и пользователей и предотвращает накопление избыточных прав.

Сертифицированная редакция Postgres Pro включает контроль целостности исполняемых модулей, конфигурационных файлов и системных каталогов. Система очищает память после удаления данных, исключая утечки через буферы и кеши. Дополнительно Postgres Pro поддерживает маскирование данных, шифрование резервных копий и регулярные обновления, которые закрывают уязвимости и усиливают защиту инфраструктуры.

 

Рисунок 8. Управление безопасностью через Enterprise Manager (PPEM) (Источник: Postgres Pro)

Управление безопасностью через Enterprise Manager (PPEM) (Источник: Postgres Pro)

 

Платформа работает на отечественных ОС Astra Linux Special Edition, РЕД ОС, Альт.

Postgres Pro зарегистрирована в Едином реестре отечественного ПО (№ 104 от 18.03.2016) и сертифицирована ФСТЭК России по 4‑му уровню доверия (сертификат № 3637 от 05.10.2016). Компания также прошла сертификацию по ГОСТ Р 56939‑2024 «Разработка безопасного программного обеспечения».

Подробнее о системе можно узнать на сайте компании.

 

 

Tantor

Tantor — СУБД, разработанная «Тантор Лабс» (входит в «Группу Астра») на базе PostgreSQL. Платформа включает встроенную систему централизованного администрирования и мониторинга, которая контролирует состояние серверов, конфигурацию и параметры безопасности.

Tantor поддерживает прозрачное шифрование данных на диске (TDE) через расширение pg_tde. Система позволяет выборочно шифровать отдельные таблицы, применять алгоритмы шифрования, включая ГОСТ, и защищать данные как при доступе к файловой системе, так и в случае кражи носителей. Платформа контролирует хранение ключей и обеспечивает их защиту на уровне инфраструктуры.

Для проверки безопасности Tantor использует утилиту pg_sec_check. Она автоматически анализирует конфигурацию системы, выявляет потенциальные уязвимости, проверяет параметры доступа и формирует отчёты с указанием конкретных нарушений.

Для работы с конфиденциальными данными Tantor применяет pg_anon — инструмент, который сканирует структуру базы данных, находит столбцы с персональными сведениями по шаблонам и эвристикам и создаёт анонимизированные логические дампы. Платформа поддерживает статическое и динамическое маскирование, что помогает ограничивать доступ к чувствительной информации без изменения приложений.

Tantor реализует аутентификацию по OAuth 2.0, интегрируется с SIEM-системами, регистрирует события безопасности и контролирует целостность исполняемых файлов и конфигурации. СУБД очищает память после удаления данных, исключая утечки через буферы и кеши, и поддерживает механизмы защиты, которые соответствуют требованиям регуляторов.

 

Рисунок 9. Пользовательский интерфейс Tantor (Источник: TANTOR LABS)

Пользовательский интерфейс Tantor (Источник: TANTOR LABS)

 

Платформа зарегистрирована в Едином реестре отечественного ПО (№ 14818 от 12.09.2022) и сертифицирована ФСТЭК России по 4‑му уровню доверия и 4‑му классу защиты (сертификат № 4856 от 24.09.2024).

Подробнее о системе можно узнать на сайте компании.

 

 

Picodata

Picodata — российская распределённая in-memory СУБД, разработанная компанией «Пикодата» (входит в группу Arenadata).

СУБД построена на архитектуре shared-nothing и использует ACID-подход для сохранности данных: любые изменения предварительно записываются в журнал на диске и реплицируются на несколько серверов. Целостность данных контролируется с помощью проверки контрольных сумм (CRC32).

Авторизация запросов основана на списках управления доступом (ACL) и ролевой модели (RBAC). Поддерживается блокировка пользователя после нескольких неудачных попыток входа.

Picodata ведёт детальный журнал аудита безопасности, фиксирующий создание учётных записей, изменение паролей и привилегий, а также события контроля целостности исполняемых файлов и конфигурации. Журнал может выводиться в файл, в системный журнал ОС (syslog) или передаваться внешнему процессу-коллектору.

Для безопасных соединений Picodata поддерживает TLS/SSL и mTLS (mutual TLS) при подключении по протоколу PostgreSQL, включая проверку сертификатов сервера и клиента, а также LDAPS для интеграции с корпоративными службами каталогов. Доступ к кластеру также возможен через веб-интерфейс, защищённый паролем.

 

Рисунок 10. Страница аутентификации в веб-интерфейсе Picodata (Источник: Picodata)

Страница аутентификации в веб-интерфейсе Picodata (Источник: Picodata)

 

Picodata совместима с Astra Linux Special Edition, РЕД ОС, Альт Линукс и другими российскими операционными системами.

Продукт включён в Единый реестр российского ПО (№ 12796 от 07.02.2022) и сертифицирован ФСТЭК России по 4-му уровню доверия (сертификат № 4917 от 03.03.2025).

Подробнее о системе можно узнать на сайте компании.

 

 

Arenadata Prosperity

Arenadata Prosperity (ADP) — российская реляционная СУБД на базе PostgreSQL, разработанная компанией Arenadata и дополненная enterprise-функциями для высокой производительности, масштабируемости и безопасности.

Платформа усиливает защиту за счёт ролевой модели доступа (RBAC), шифрования соединений через TLS и шифрования хранимых данных. ADP контролирует все операции в базе данных, регистрирует системные события и может передавать их в SIEM для централизованного мониторинга.

Роли ограничивают действия пользователей и сервисных учётных записей, а политики доступа позволяют изолировать чувствительные данные и минимизировать риск привилегированного доступа. ADP фиксирует:

  • изменения схем баз данных;
  • операции с привилегиями;
  • обращения к объектам;
  • изменения системных параметров.

Все события регистрируются в полном журнале безопасности.

 

Рисунок 11. Интерфейс Arenadata Prosperity (Источник: Arenadata)

Интерфейс Arenadata Prosperity (Источник: Arenadata)

 

Платформа шифрует сетевые соединения, защищает данные при передаче между компонентами и безопасно интегрируется с внешними сервисами. ADP поддерживает механизмы резервного копирования и восстановление с сохранением целостности данных, что снижает риски при сбоях и инцидентах.

Arenadata Prosperity зарегистрирована в Едином реестре отечественного ПО (№ 6986 от 07.10.2020) и сертифицирована ФСТЭК России по 4‑му уровню доверия (сертификат № 4905 от 27.01.2025).

Подробнее о системе можно узнать на сайте компании.

 

 

Platform V Pangolin DB

Pangolin DB — корпоративная СУБД «СберТеха» на базе PostgreSQL с более чем 80 доработками в ядре. Эти изменения адаптируют PostgreSQL под высоконагруженные системы и повышенные требования к защите данных.

Pangolin DB применяет прозрачное шифрование хранимых данных и параметров подключения (TDE). Система использует внешние хранилища ключей — HashiCorp Vault или совместимые KMS-решения — и исключает доступ к ключам со стороны администраторов ОС и резервного копирования.

СУБД блокирует доступ к пользовательским данным для суперпользователей PostgreSQL, администраторов ОС, администраторов безопасности и резервного копирования. Механизм разделяет роли и ограничивает операции, которые могут привести к чтению или копированию данных.

Pangolin DB поддерживает:

  • гибкие парольные политики;
  • двухфакторную аутентификацию;
  • маскирование паролей в логах;
  • ротацию учётных данных без простоя;
  • хранение сертификатов в формате PKCS#12 с интеграцией в систему секретов.

Ролевая модель доступа ограничивает действия сервисных и пользовательских учётных записей.

В ядро встроена модифицированная версия pgAudit. СУБД фиксирует подключения, изменения конфигурации, загрузку динамических библиотек, нарушения целостности объектов и события, связанные с защитой от привилегированных пользователей.

Pangolin DB проверяет контрольные суммы исполняемых модулей и конфигурационных файлов и очищает высвобождаемое дисковое пространство, исключая утечки данных через остаточные блоки.

 

Рисунок 12. Процесс аутентификации в Pangolin DB (Источник: Pangolin)

Процесс аутентификации в Pangolin DB (Источник: Pangolin)

 

Для управления используется консоль Platform V Kintsugi. Она отслеживает блокировки, собирает диагностическую информацию, анализирует активность запросов, контролирует ресурсы и управляет множеством инсталляций.

Platform V Pangolin DB сертифицирована ФСТЭК России (сертификат № 4704 от 22.08.2023) и включена в реестр отечественного ПО (№ 13436 от 29.04.2022).

Подробнее о системе можно узнать на сайте компании.

Выводы

Российский рынок систем защиты данных в СУБД формируется вокруг перехода на отечественные платформы, которые уже включают встроенные механизмы безопасности: шифрование, контроль привилегированных пользователей, аудит, целостность, маскирование данных и интеграцию с SIEM.

Комплексные платформы, объединяющие DAM, DBF, шифрование, DLP и DCAP в едином контуре, находятся на начальной стадии внедрения в России. Примерами могут служить экосистемные решения «Гарда» (сочетание DBF с DLP и SIEM) и Security Vision (интеграция DAM с SOAR и сервис-деском). Полноценные DSP-продукты, аналогичные зарубежным, пока отсутствуют, но их появление на рынке очевидно.

Отечественный рынок движется под влиянием нескольких устойчивых тенденций: переход на российские СУБД, рост атак на базы данных, интеграция DS-функций в SOC-процессы, развитие ML-детекторов и активной защиты. Российские решения закрывают большую часть задач, ранее решавшихся зарубежными продуктами, и движутся в сторону автоматизации, глубокой аналитики и встроенной защиты данных.

В ближайшие годы ожидается расширение сегмента комплексных платформ и усиление встроенных механизмов безопасности в отечественных СУБД, а также рост интереса к решениям, которые объединяют контроль доступа, мониторинг, аудит и защиту данных в едином контуре.

Полезные ссылки: