分析:安全性对于NoSQL是否是亡羊补牢?

NoSQL厂商正在全力投入到NoSQL数据库产品的研发中,但是NoSQL数据库的安全性对于已经达到你的要求了呢?

在安全领域,NoSQL数据库的安全性一直存在争议。尽管没有人否认NoSQL在过去几年里得到了迅猛发展,但是有人认为,NoSQL在迅速抢占市场的过程中忽视了安全性(当然也有人认为NoSQL只不过是一时的流行时尚,很快就会湮灭在庞大的数据库市场中)。

只要市场随着NoSQL同步增长,数据库厂商就会全力跟进。对于市场和早期参与者来说,首要的目标是巩固他们的位置,以确保成为这一市场的领导者,获取最大的投资回报。尤其是在像NoSQL这样备受青睐的市场。市场与客户促进了产品特色与功能的发展。就如同他们出资金,你来创建。如果它们对于市场与客户来说并不重要,那么它们同样对于你来说也不重要。在自己帮助创业的软件公司中,您可以深切地体会到了这一点。

很不幸,在安全领域,这似乎是一个老生常谈的问题,我们也知道它的结局如何。安全性总是事后才增加的东西,在被增加时通常已经为时以晚。这非常像医生告诉我们要经常看医生进行健康检查,不要等到生病了再来看医生一样。在事情发生了再注重安全性,经常意味着有人已经为此付出了代价。如果认为安全市场所处理的事情不是什么大问题,那么大多数需要安全性的公司都将会吞下苦果。

NoSQL增长如此迅速,许多符合客户最高优先权的技术都有过先例。当然,如果你的NoSQL数据库并不是面向公众基础设施的一部分,那么安全性就并不是很重要。但是在多数情况下,你的NoSQL数据库都是面向公众基础设施的一部分。一个例外是我昨天写的基于新Sourcefire FireAMP云的反恶意软件。它们使用的是NoSQL,但是它们并不是面前置的,因此没有安全威胁等级值得担忧。

如果你的NoSQL主要是前置的,你可以通过关注你的特定应用和基础设施,以提供额外的安全性。在我们的讨论中,另一个需要注意的是,并不是所有NoSQL数据库的安全性都是相同的。一些NoSQL数据库的安全性取决于你使用的代码语言。由于大多数是开源的,因此你能够自己查看威胁位于何处。

有一点很明确,那就是多数NoSQL厂商正在尽全力地快速发展。他们研发客户想要的产品。一个可悲的事实是,他们的客户未必会在安全性上向他们提出要求。虽然发生在安全领域内的许多事情并不像之前所说的那样,但是它们是非常相似的事情。我可以肯定,当我们看到一些安全事故后,我们希望将更多的安全功能内置在NoSQL数据库内。但是与许多功能一样,只有当客户愿意支持并为此付出时,安全功能才能落到实处。

你必须记住NoSQL仍然还不成熟。我们在关系数据库中看到的许多安全与管理功能创建于15年或20年前,或是更长时间。让NoSQL数据库短期内达到这样的水平显然不公平。但是黑客、小偷和网络恐怖分子并不知“公平”二字所为何物。如果他们发现了可利用的漏洞,他们就会毫不犹豫的加以利用。因此我预测,在NoSQL市场,安全性将会被越来越频繁地提及,我们也将看到NoSQL厂商将会做出回应。

我不希望在这里给你错误的暗示。尽管安全性并不是一个最受关注的功能需求,但是MongoDB厂商 10Gen公司创始人兼首席执行官Dwight Merriman和Couchbase公司联合创始人兼产品高级副总裁James Phillips都强调其所在的公司都在采取相关措施,以确保产品在部署周期内是安全的。

NoSQL的安全性对于你来说是否已经足够了?最终结论将由你自己做出。你的结论将告诉NoSQL数据库厂商,他们应该在多大程度上重视NoSQL的安全性。