Tietokannat 25.01.2023

Suojaa data siellä, missä se sijaitsee, tietokannassa!

Tietoturva on tänään kriittisempää kuin koskaan. Kevyenä tietoturvaharjoituksena kehotan teitä tarkastamaan tietokantojenne versiot. Jos teillä on kirjoituksen lopussa olevaa listaa vanhempia versiota käytössä, tietokantojenne riskiprofiili on kohonnut. Riski on aito ja oikea, sillä reikäinen tietokantatuote tarjoaa hakkereille mahdollisuuksia tietomurtoihin. 

Teksti päivitetty 28.5.2024: Tarkista päivitetystä listasta organisaatiosi tilanne tietokantaversioiden osalta

Mitä vanhempi versio on käytössä, sen enemmän mahdollisia hyökkäystapoja hakkereilla on käytössään, sillä aukkoja ei ole tukittu ja toimivat hyökkäystavat ovat heidän tiedossaan. Kun haavoittuvuuksia löytyy, löytyy myös tahoja, jotka lähtevät etsimään helppoja kohteita murrolle. Viimeistään kun korjaukset julkaistaan, haavoittuvuus on kaikkien tiedossa. Jos tietokantaa ei tällöin päivitetä, haavoittuvuus on hyödynnettävissä rikollisten toimijoiden toimesta.

Helpoin tapa ylläpitää hyvää tietoturvaa tietokantakerroksessa on päivittää kantaversiot ajan tasalle. Tietomurtoja vastaan suojaudutaan nykyään teknisten ratkaisujen lisäksi myös mm. kybervakuutuksilla, mutta ne eivät estä luvattomia tunkeutumisia. Seuraavassa nosto erään kybervakuutuksia tarjoavan toimijan ehdoista: "Vakuutuksesta ei korvata vahinkoa, joka aiheutuu vakuutetun käyttämien laitteiden, laitteistojen, ohjelmien, tietoverkkojen tai muun omaisuuden ikääntymisestä, kulumisesta, suorituskyvyn laskusta tai puutteellisesta ylläpidosta."

Jos käytätte vanhaa päivittämätöntä versiota, ei vakuutus korvaa vahinkoja. On myös huomioitava, että tietokantaversion mennessä End of Life (EOL) -tilaan, ei siihen enää saa päivityksiä. Patchaamisen lisäksi niin sanottuja Major-versiopäivityksiä on tehtävä säännöllisesti. Jos säännölliset päivitykset ovat mahdottomia esimerkiksi asiakkaille annettujen palvelulupausten takia, voidaan päivityssykliä kasvattaa tuomalla niin sanottu Virtual Patching -kerros tietokannan päälle.

Virtuaalikorjauspäivitykset mahdollistavat tilanteen, jossa tietokanta on suojattu, vaikka valmistajan julkaisemia tietoturvapäivityksiä ei ole vielä asennettu varsinaiseen tietokantaan. Tällöin tietoturvapäivityksen asentamisen kanssa voidaan odottaa järjestelmän huoltoikkunaan saakka, kuitenkin säilyttäen tietoturvallisen toimintatason. Verkkoliikenteestä voidaan katkaista haavoittuvuuksien hyväksikäyttöyritykset tunnettua CVE-kantaa (Common Vulnerabilities and Exposures) vasten. Tämä antaa lisäaikaa varsinaisille päivityksille.

Muitakin suojautumiskeinoja kuin ajantasainen tietokanta tarvitaan, mutta ainakin päivityksistä ja ylläpidosta on syytä huolehtia säännöllisesti. Tietokannan varmistusketju on syytä katsoa kuntoon tietokantojen tietoturvaa kehittäessä. Ajantasaisella kantavarmistuksella voidaan palautua hankalistakin tilanteista, mutta sen toimivuudesta on syytä olla varma; varmistus ei saa tuhoutua esimerkiksi ransomware-hyökkäyksessä, eli varmistusputkessa pitää olla keinot palautua myös rikollisesta tiedon kryptauksesta. Varmistuksien lisäksi varautumissuunnitteluun voi kuulua tietokannan klusterointi (High Availability, HA) ja niin sanotut Disaster Recovery (DR) -toteutukset toiseen konesaliin tai pilveen, jolloin saadaan toipumista erilaisista vikatilanteista parannettua. Huomiona mainittakoon, että HA- ja DR-toteutukset mahdollistavat päivitysten ajamisen huoltoikkunoiden ulkopuolellakin. Palautumisiin tarvitaan lisäksi laadukas dokumentointi ja harjoittelu. Hyvin suunniteltu on puoliksi tehty.

Monella toimialalla vaatimuksena on datan kryptaus ja tästä saadaankin hyötyjä tiedon turvaamiseen. Tietojen salaaminen (kryptaaminen) tekee niistä lukukelvottoman sekä hakkereille että sisäisille toimijoille, joilla ei ole salausavainta. Kryptaamisen voikin nähdä eräänlaisena viimeisenä puolustuslinjana tunkeutujaa vastaan. Tietokantojen kryptaukseen (Transparent Data Encryption eli TDE) kannattaa hyödyntää valmistajien tuottamia ratkaisuja silloin kun niitä on saatavilla. TDE suorittaa kryptauksen tiedostotasolla ja ratkaisee ns. data-at-rest-tason suojauksen sekä levyllä että tietokannan varmistusten osalta.

Yllä mainittujen keinojen lisäksi tietokantojen 360:n asteen tietoturvaan kuuluu paljon muutakin, kuten datan käytön seuranta, konfigurointien säännöllinen auditointi, salasanojen ja käyttöoikeuksien hallinta, vahvat todennusmenetelmät ja datan anonymisointi ja pseudonymisointi. Näistä kerromme mieluusti lisää. Ensin pyydän kuitenkin palaamaan kirjoituksen toiseen lauseeseen ja tarkistamaan alla olevan listan mukaisesti, mikä tämän hetken tilanteenne on tietokantaversioiden osalta:

Oracle - Tuorein tuettu: 23ai

Suositus on 19, jonka Long-Term Support (LTS) loppuu 04/27 tai vasta julkaistu 23ai (LTS loppuu 04/32). Oracle 23ai korvasi 23c:n ja julkaistiin general availabilityyn 2.5.2024.

Vanhemmat kuin 19c ovat jo End-of-Life (EOL), pois lukien 12.1.0.2 ja 11.2.0.4, joiden EOL on 12/23 erikseen hankitulla Custom Market Driven Support -sopimuksella.

Jos et ole erikseen tilannut Custom Market Driven Support -sopimusta, teillä ei sitä ole.

SQL Server - Tuorein tuettu: 2022 CU13

Suositus on 2022, jonka LTS on 11/2028 Mainstream Supportin osalta ja 11/2033 erikseen hankittavan Extended Supportin osalta.

Vanhemmat versiot kuin 2019 ovat jo EOL mainstream supportin osalta ja vanhemmat kuin 2014 ovat EOL erikseen hankittavan Extended Supportin osalta. 2014 siirtyy myös tuettomaksi syyskuussa 2024.

Jos et ole erikseen tilannut Extended Support sopimusta, teillä ei sitä ole.

PostgreSQL - Tuorein tuettu (stable): 16.3

Suositus minimissään 13.15 jonka EOL on 11/2025, mutta suorituskyvyn takia suositellaan vähintään versiota 14.12 tai tuoreempaa.

Tuetut versiot: 16.3, 15.7, 14.12, 13.15 ja 12.19 joka siirtyy EOL tilaan 14.11.2024

Huom.! 10-version tuki loppui 11/22. 11 version tuki loppui 09/23 ja 12 version tuki loppuu 11/24.

DB2 - Tuorein tuettu: 11.5.9

Suositus on 11.5.9, jonka Base-tuen EOL on 09/2025 ja ilmoitettu Extended Support min. 3 vuotta Base EOL päälle. All editions-tuelle ei ole ilmoitettu lopetusaikaa.

11.1 Base -tuki on jo loppunut 04/22, mutta erikseen hankittavan Extended Supportin EOL on 04/2026.

Vanhemmat versiot ovat EOL.

Jos et ole erikseen tilannut Extended Support -sopimusta, teillä ei sitä ole.

MySQL - Tuorein tuettu: 8.4.0

Suositus on 8.4, jonka LTS loppuu 04/32. 8.0 LTS on tuettu 04/26 saakka.

Tuetut versiot: 8.4 LTS (8.4.0. tuorein)  ja 8.0 LTS (8.0.37 tuorein)

Huom.! 7 EOL 10/2023, 5.7 EOL 10/23, 8.1 EOL 10/23, 8.2 EOL 01/24 ja 8.3 EOL 04/24.

Tarkista EE- ja Cluster-versiot erikseen.

Mariadb - Tuorein tuettu (stable): 10.11

Suositus vähintään 10.11 jonka LTS on 02/28

Tuetut versiot: 10.4 LTS (EOL 6/24), 10.5 LTS (EOL 06/25), 10.6 LTS (EOL 07/26), 11.0 (EOL 06/24), 11.1 (EOL 08/24), 11.2 (EOL 11/24)  

11.3 löytyy tarjolla Rolling Releasena.

MongoDB - Tuorein tuettu (stable): 7.0

Suositus on 7.0 voimassa 08/26 saakka.

Tuetut versiot: 7.0 (EOL 08/26), 6.0 (EOL 07/25),  5.0 (EOL 10/24)

Huom.! 5.0 tuki loppuu 10/24.

(Lista on luotu 28.5.2024 hyödyntäen valmistajien julkista dokumentaatiota.)

Muistutuksena vielä: jos ette ole ym. versioissa, teidän kannattaa selvittää, miksi olette tuettomassa tilanteessa ja miten löytynyt ongelma ratkaistaan.

Käymme mieluusti kanssanne tilanteenne läpi ja autamme laatimaan vaiheistetun suunnitelman, jolla saadaan tietokantanne ajan tasalle ja tietoturva osaksi päivittäistä tekemistä.