Bewezen missiekritische beveiliging en betrouwbaarheid voor 's werelds belangrijkste applicaties

Beveiliging zonder in te leveren op prestaties

InterSystems-producten bieden flexibele en robuuste beveiligingsmogelijkheden die de prestaties en ontwikkeling van applicaties zo min mogelijk in de weg staan. Onze producten ondersteunen een veilige implementatie van applicaties op drie manieren, namelijk door:

1. de productomgeving zelf te beveiligen;
2. te zorgen dat ontwikkelaars eenvoudig beveiligingsfuncties kunnen inbouwen in hun applicaties;
3. te zorgen dat onze producten effectief samenwerken met – en geen afbreuk doen aan – de beveiliging van de besturingsomgeving.

De beveiliging van onze producten is gebaseerd op authenticatie. Authenticatie is een manier om gebruikers (mensen, apparaten, andere applicaties) te laten bewijzen dat ze zijn wie ze zeggen dat ze zijn. Onze producten ondersteunen een aantal authenticatiemechanismen (LDAP, Kerberos, wachtwoorden, OpenAM en OpenID) en bieden waar nodig ondersteuning voor tweefactorauthenticatie.

Autorisatie bepaalt welke resources een gebruiker mag gebruiken, bekijken of wijzigen. Het toekennen en beheren van rechten (waaronder rol- en applicatiegebaseerde rechten) is eenvoudig te realiseren via API's en interactieve applicaties. Ook ondersteunen we beveiliging op rij- en kolomniveau en RBAC.

We voorzien in mechanismen voor encryptie van zowel 'data at rest' als 'data in motion'. Voor 'data at rest' wordt de gehele database inclusief indexen versleuteld. Onze producten detecteren of de onderliggende hardware versnelling voor encryptiealgoritmen ondersteunt en maken hier gebruik van. Tevens ondersteunen we encryptie van data-elementen om zeer gevoelige informatie te coderen. Deze data-elementen kunnen zelfs in runtime opnieuw versleuteld worden.

In onze producten worden alle systeem- en applicatiegebeurtenissen vastgelegd in een tegen manipulatie beschermde append-only log die compatibel is met elke query- of rapportagetool die SQL gebruikt om auditrecords te bekijken en te analyseren. Naast de ingebouwde auditgebeurtenissen kunnen klanten ook applicatiespecifieke gebeurtenissen opslaan.

Het is belangrijk dat je data intact blijft en dat belangrijke applicaties 24×7 up and running zijn. InterSystems IRIS biedt verschillende opties voor high availability (HA) en disaster recovery (DR), waaronder clustering, virtualisatie HA en een elegante, eenvoudig te implementeren technologie voor database mirroring.

Een database mirror is een logische groepering van twee InterSystems IRIS-systemen. Bij het opstarten wijst de mirror automatisch een van deze twee fysiek onafhankelijke systemen aan als het primaire systeem. Het andere systeem wordt dan het reservesysteem. Gemirrorde databases worden via een TCP-kanaal in realtime gesynchroniseerd van het primaire systeem naar het back-upsysteem.

Bij sharded database-architecturen moet voor elke shard een database mirror worden opgezet, zodat alle single points of failure worden geëlimineerd. Voor implementatie in een cloudomgeving zijn een aantal extra configuratiestappen nodig om ervoor te zorgen dat inkomend verkeer automatisch wordt omgeleid naar de primaire node.

Met database mirroring kunnen applicaties doorgaans in slechts enkele seconden worden hersteld. Met mirroring is het ook mogelijk om upgrades uit te voeren met minimale downtime (of zelfs helemaal zonder).

Een asynchroon mirrorsysteem kan op een externe locatie worden opgezet en in near realtime worden geüpdatet. Als het primaire datacenter uitvalt, ben je je data niet kwijt. Wanneer beide systemen in een publieke cloud worden opgezet, kan disaster recovery afhankelijk van de mogelijkheden van de provider worden bereikt door asynchrone systemen op te zetten in verschillende 'regio's' of zelfs in clouds van verschillende providers.

Geclusterde systemen maken doorgaans gebruik van gedeelde schijftoegang, waarbij er slechts één systeem tegelijk actief is. Als het actieve systeem uitvalt, wordt InterSystems IRIS automatisch gestart op een andere server, die de verwerkingstaken overneemt. Gebruikers moeten zich opnieuw aanmelden op de nieuwe server, wat een merkbare vertraging kan veroorzaken. Virtualisatie HA werkt ongeveer op dezelfde manier.