Offcanvas

PostgreSQL

“타 계정의 클라우드 DB에 접근 가능” · · · 위즈 연구진, 애저 포스트그레SQL DBaaS 취약점 발견

위즈 연구진이 발견한 두 가지 취약점은 서버 상에서 패치되었지만, 아직 방심하기는 이르다.    클라우드 보안 업체 위즈(Wiz)의 연구진이 마이크로소프트의 애저 포스트그레SQL(Azure PostgreSQL)에서 두 가지 취약점을 발견했다. 이 취약점이 연쇄적으로 공격당할 때 클라우드에 호스팅된 다른 데이터베이스에 접근이 가능해진다는 경고다. 데이터베이스 복제와 관련된 기능을 악용해 엑스트라 레플리카(ExtraReplica)라고 불리는 이 잠재적 공격 방식은 두 가지 취약점을 겨냥한다. 바로 사용자의 데이터베이스를 호스팅하는 컨테이너 내에서 악성 코드를 실행할 수 있는 권한을 부여하는 권한 상승 취약점과 시스템 복제 서비스를 악용하여 다른 데이터베이스에 접근할 수 있는 권한을 탈취하는 인증 우회 취약점이다.   이 취약점은 이미 서버상에서 패치되었으며 사용자가 특별히 취해야 할 조치 사항은 없다. 하지만 이번 취약점을 발견한 위즈 연구진은 마이크로소프트에게 아이솔레이션 모델(isolation model)에 관련된 문서와 서비스 아키텍처에 관한 더 자세한 내용을 기업 고객에게 제공해야 한다고 권고했다.  클라우드 서비스에 온보딩하기 전에 위험 요인을 더 잘 검토해볼 수 있어야 한다는 이유에서다. 데이터베이스로부터 기반 시스템에 침투  ’애저 데이터베이스 포 포스트그레SQL’는 30년이 넘은 관계형 오픈소스 데이터베이스 엔진 포스트그레를 기반으로 구동되는 관리형 데이터베이스 서비스(Database-as-a-Service, DBaaS)다.  포스트그레SQL은 안정성, 고가용성 그리고 확장성을 강점으로 하는, 복잡하게 짜인 소프트웨어다. 마이크로소프트는 싱글 서버(Single Server), 플렉서블 서버(Flexible Server) 그리고 하이퍼스케일(Hyperscale, Citus) 이렇게 3가지의 포스트그레SQL 배포 방식을 제공한다.  플렉서블 서버를 사용하면 단일 애저 가용 영역 또는...

Postgre PostgreSQL 포스트그레SQL 포스트그레SQL 데이터베이스 아이솔레이션

2022.05.03

위즈 연구진이 발견한 두 가지 취약점은 서버 상에서 패치되었지만, 아직 방심하기는 이르다.    클라우드 보안 업체 위즈(Wiz)의 연구진이 마이크로소프트의 애저 포스트그레SQL(Azure PostgreSQL)에서 두 가지 취약점을 발견했다. 이 취약점이 연쇄적으로 공격당할 때 클라우드에 호스팅된 다른 데이터베이스에 접근이 가능해진다는 경고다. 데이터베이스 복제와 관련된 기능을 악용해 엑스트라 레플리카(ExtraReplica)라고 불리는 이 잠재적 공격 방식은 두 가지 취약점을 겨냥한다. 바로 사용자의 데이터베이스를 호스팅하는 컨테이너 내에서 악성 코드를 실행할 수 있는 권한을 부여하는 권한 상승 취약점과 시스템 복제 서비스를 악용하여 다른 데이터베이스에 접근할 수 있는 권한을 탈취하는 인증 우회 취약점이다.   이 취약점은 이미 서버상에서 패치되었으며 사용자가 특별히 취해야 할 조치 사항은 없다. 하지만 이번 취약점을 발견한 위즈 연구진은 마이크로소프트에게 아이솔레이션 모델(isolation model)에 관련된 문서와 서비스 아키텍처에 관한 더 자세한 내용을 기업 고객에게 제공해야 한다고 권고했다.  클라우드 서비스에 온보딩하기 전에 위험 요인을 더 잘 검토해볼 수 있어야 한다는 이유에서다. 데이터베이스로부터 기반 시스템에 침투  ’애저 데이터베이스 포 포스트그레SQL’는 30년이 넘은 관계형 오픈소스 데이터베이스 엔진 포스트그레를 기반으로 구동되는 관리형 데이터베이스 서비스(Database-as-a-Service, DBaaS)다.  포스트그레SQL은 안정성, 고가용성 그리고 확장성을 강점으로 하는, 복잡하게 짜인 소프트웨어다. 마이크로소프트는 싱글 서버(Single Server), 플렉서블 서버(Flexible Server) 그리고 하이퍼스케일(Hyperscale, Citus) 이렇게 3가지의 포스트그레SQL 배포 방식을 제공한다.  플렉서블 서버를 사용하면 단일 애저 가용 영역 또는...

2022.05.03

칼럼ㅣ이렇게 많은 ‘데이터베이스’가 필요한가? 

오늘날 데이터를 저장하기 위해 선택할 수 있는 수백 개의 데이터베이스가 있다. 하지만 우리는 더 많은 데이터베이스가 필요하다.  과거에는 약간의 데이터베이스만으로도 세상은 그럭저럭 돌아갔다. 이를테면 오라클(Oracle), 마이크로소프트 SQL 서버(Microsoft SQL Server), 인그레스(Ingres), IBM DB2와 같은 신뢰할 수 있는 관계형 데이터베이스를 예로 들 수 있겠다.  그러나 얼마 지나지 않아 ‘MySQL’과 ‘PostgreSQL’이라는 오픈소스 데이터베이스가 등장하면서 상업용 DB 제품에 도전장을 내밀었다. 그 이후 ‘NoSQL’ 데이터베이스가 출시되면서 대표주자 격인 몽고DB(MongoDB), 레디스(Redis), 아파치 카산드라(Apache Cassandra) 등이 인기를 끌고 있다.    숫자만 놓고 보자면 이 변화를 더 빠르게 체감할 수 있다. DB 엔진(DB-Engines)의 2013년 인기 순위 목록에는 총 109개의 데이터베이스가 있었다. 현재는 어떨까? 올해 목록에는 7년 전보다 3배 이상 늘어난 총 356개의 데이터베이스가 존재한다.  이제 자연스럽게 의문이 들기 마련이다. 데이터베이스의 증가가 좋은 일인가? 무려 365개나 되는 데이터베이스가 정말 필요한가? PostgreSQL(DB엔진 순위 4위)이 계속 사용될 텐데 굳이 Yanza(336위)나 Upscaledb(299위)가 필요한가? 대답은 ‘그렇다’일 가능성이 크다.  “소수만 성공할 것이다” 모두가 동의하는 것은 아니다. 이를테면 몽고DB의 CEO 데브 이티체리아는 한 인터뷰에서 “실제로 성공하는 플랫폼이나 기술은 소수다”라고 의견을 피력했다. 그렇다면 그 ‘소수’는 누구인가? 그는 “레거시 표준이나 관계형 데이터베이스(예: 오라클 또는 오픈소스)를 가진 기업들이 머지않아 ‘최신 표준’을 갖추게 될 것”이라고 전했다. 당연히 이티체리아는 몽고DB를 ‘최신 표준’으로 보고 있으며, 이 ...

데이터베이스 몽고DB 레디스 아파치 카산드라 오라클 마이크로소프트 SQL 서버 인그레스 IBM Db2 관계형 데이터베이스 오픈소스 데이터베이스 MySQL PostgreSQL NoSQL

2020.06.30

오늘날 데이터를 저장하기 위해 선택할 수 있는 수백 개의 데이터베이스가 있다. 하지만 우리는 더 많은 데이터베이스가 필요하다.  과거에는 약간의 데이터베이스만으로도 세상은 그럭저럭 돌아갔다. 이를테면 오라클(Oracle), 마이크로소프트 SQL 서버(Microsoft SQL Server), 인그레스(Ingres), IBM DB2와 같은 신뢰할 수 있는 관계형 데이터베이스를 예로 들 수 있겠다.  그러나 얼마 지나지 않아 ‘MySQL’과 ‘PostgreSQL’이라는 오픈소스 데이터베이스가 등장하면서 상업용 DB 제품에 도전장을 내밀었다. 그 이후 ‘NoSQL’ 데이터베이스가 출시되면서 대표주자 격인 몽고DB(MongoDB), 레디스(Redis), 아파치 카산드라(Apache Cassandra) 등이 인기를 끌고 있다.    숫자만 놓고 보자면 이 변화를 더 빠르게 체감할 수 있다. DB 엔진(DB-Engines)의 2013년 인기 순위 목록에는 총 109개의 데이터베이스가 있었다. 현재는 어떨까? 올해 목록에는 7년 전보다 3배 이상 늘어난 총 356개의 데이터베이스가 존재한다.  이제 자연스럽게 의문이 들기 마련이다. 데이터베이스의 증가가 좋은 일인가? 무려 365개나 되는 데이터베이스가 정말 필요한가? PostgreSQL(DB엔진 순위 4위)이 계속 사용될 텐데 굳이 Yanza(336위)나 Upscaledb(299위)가 필요한가? 대답은 ‘그렇다’일 가능성이 크다.  “소수만 성공할 것이다” 모두가 동의하는 것은 아니다. 이를테면 몽고DB의 CEO 데브 이티체리아는 한 인터뷰에서 “실제로 성공하는 플랫폼이나 기술은 소수다”라고 의견을 피력했다. 그렇다면 그 ‘소수’는 누구인가? 그는 “레거시 표준이나 관계형 데이터베이스(예: 오라클 또는 오픈소스)를 가진 기업들이 머지않아 ‘최신 표준’을 갖추게 될 것”이라고 전했다. 당연히 이티체리아는 몽고DB를 ‘최신 표준’으로 보고 있으며, 이 ...

2020.06.30

칼럼 | 클라우드·빅데이터로 판도 바뀌는 데이터베이스

애플리케이션의 여러 부분을 운영하려면 각기 다른 데이터베이스 엔진이 필요하다. 클라우드 시장의 강자 AWS가 경쟁사보다 이를 먼저 파악한 듯 보인다. 발빠르게 준비한 AWS로 인해 데이터베이스 시장의 판도가 바뀌고 있다. 오픈SCG(OpenSCG)에 대해 모르는 사람도 있을 것이다. 하지만 아마존 웹 서비스(AWS)는 오픈SCG를 눈여겨보고 있었다. 약 1주일 전, AWS는 포스트그레SQL(PostgreSQL) 베테랑인 데니스 러시에가 설립한 포스트그레SQL 마이그레이션 서비스 업체를 조용히 인수했다. 포스트그레SQL 팬들 중에는 이에 불만을 가진 이들도 있었지만, 오픈SCG의 인수는 사실 넓은 범주의 데이터베이스 요건을 충족하려는 AWS의 ‘큰 그림’을 완성하는 상징과도 같은 행위였다. 최근 AWS 서밋에서 아마존의 CTO 워너 보겔스도 “AWS를 특별하게 만드는 것은 다름 아닌 우리가 가지고 있는 데이터며, 특히 그 데이터의 우수한 품질이다”라고 말한 바 있다. 특히 오라클을 겨냥하며, 보겔스는 AWS에 비해 훨씬 적은 수의 관계형 데이터베이스 서비스 및 (NoSQL을 포함한) 데이터베이스 서비스만을 제공하면서도 ‘데이터베이스 업체라고 자칭하는’ 기업들을 비웃기도 했다. 지난 2년 동안에만 6만 4,000개 이상의 데이터베이스를 이전시킨 AWS는 이제 더 많은 기업 데이터를 받아들일 준비가 된 듯하다. AWS는 원래 M&A를 조용히 진행한다. AWS가 인수하는 기업 대부분은 소규모 업체로 인수 사실을 공고할 법적 의무가 없는 곳들이며, 인수된 기업들의 제품을 그대로 내다 파는 일부 기업과 달리 AWS는 자사에서 자체적으로 만들어 제공하는 서비스를 보완할 목적으로만 인수한다. AWS가 포스트그레SQL 스폰서에 관심을 두는 게 놀랄 일은 아니다. 한 레딧(Reddit) 사용자는 “시장에 진짜 프스트그레SQL 전문가라 할 만한 기업들은 많지 않다....

구글 포스트그레SQL 오픈SGC 다이나모DB 서버리스 아마존 웹 서비스 CTO 애저 AWS DBMS 마이크로소프트 데이터베이스 M&A 인수 오라클 PostgreSQL

2018.04.12

애플리케이션의 여러 부분을 운영하려면 각기 다른 데이터베이스 엔진이 필요하다. 클라우드 시장의 강자 AWS가 경쟁사보다 이를 먼저 파악한 듯 보인다. 발빠르게 준비한 AWS로 인해 데이터베이스 시장의 판도가 바뀌고 있다. 오픈SCG(OpenSCG)에 대해 모르는 사람도 있을 것이다. 하지만 아마존 웹 서비스(AWS)는 오픈SCG를 눈여겨보고 있었다. 약 1주일 전, AWS는 포스트그레SQL(PostgreSQL) 베테랑인 데니스 러시에가 설립한 포스트그레SQL 마이그레이션 서비스 업체를 조용히 인수했다. 포스트그레SQL 팬들 중에는 이에 불만을 가진 이들도 있었지만, 오픈SCG의 인수는 사실 넓은 범주의 데이터베이스 요건을 충족하려는 AWS의 ‘큰 그림’을 완성하는 상징과도 같은 행위였다. 최근 AWS 서밋에서 아마존의 CTO 워너 보겔스도 “AWS를 특별하게 만드는 것은 다름 아닌 우리가 가지고 있는 데이터며, 특히 그 데이터의 우수한 품질이다”라고 말한 바 있다. 특히 오라클을 겨냥하며, 보겔스는 AWS에 비해 훨씬 적은 수의 관계형 데이터베이스 서비스 및 (NoSQL을 포함한) 데이터베이스 서비스만을 제공하면서도 ‘데이터베이스 업체라고 자칭하는’ 기업들을 비웃기도 했다. 지난 2년 동안에만 6만 4,000개 이상의 데이터베이스를 이전시킨 AWS는 이제 더 많은 기업 데이터를 받아들일 준비가 된 듯하다. AWS는 원래 M&A를 조용히 진행한다. AWS가 인수하는 기업 대부분은 소규모 업체로 인수 사실을 공고할 법적 의무가 없는 곳들이며, 인수된 기업들의 제품을 그대로 내다 파는 일부 기업과 달리 AWS는 자사에서 자체적으로 만들어 제공하는 서비스를 보완할 목적으로만 인수한다. AWS가 포스트그레SQL 스폰서에 관심을 두는 게 놀랄 일은 아니다. 한 레딧(Reddit) 사용자는 “시장에 진짜 프스트그레SQL 전문가라 할 만한 기업들은 많지 않다....

2018.04.12

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9