Єдина точка контролю, безпека бази даних як послуга: jSonar отримує 50 мільйонів доларів від Goldman Sachs

Давайте подивимося правді в очі: безпека баз даних — не найпривабливіша тема для більшості людей. Рон Беннатан, технічний директор і співзасновник jSonar, дуже це усвідомлює. Однак це не завадило йому та команді jSonar знайти місце для себе та досягти прогресу протягом багатьох років. Це також не завадило Goldman Sachs інвестувати в jSonar.

jSonar оголосила, що завершила інвестицію Goldman Sachs у розмірі 50 мільйонів доларів для першого інституційного раунду фінансування компанії. У рамках угоди Девід Кемпбелл, керуючий директор комерційного банківського підрозділу Goldman Sachs, увійде до ради директорів jSonar.

«За останнє десятиліття інфраструктура корпоративних баз даних експоненціально зросла в масштабах і складності. Одночасно безпека даних перетворилася з вимоги відповідності на критично важливий компонент безпеки підприємства.

jSonar дозволяє своїм клієнтам відповідати сучасним вимогам безпеки даних, дає їм можливість безперешкодно приймати нові баз даних, озер даних і хмарних сервісів, одночасно зменшуючи витрати та розширюючи аналітику можливості. Ми раді інвестувати в jSonar і співпрацювати з командою, щоб продовжувати будувати бізнес світового рівня», — сказав Кемпбелл.

ZDNet зв’язався з Беннатаном, щоб обговорити, що робить jSonar, чому та як це призвело до сьогоднішнього оголошення.

Купа інженерів зустрічає Goldman Sachs

Ми почали розмову з того, що входить до назви jSonar. Наше передчуття полягало в тому, що це було натяком на інженерне походження компанії, можливо, якийсь зв’язок із мовою програмування Java. Досить близько: не зовсім Java, але JSON - Нотація об'єктів JavaScript.

Беннатан розпочав розмову, зізнавшись, що до недавнього часу компанія була «купкою інженерів, які вибирають дивні імена». Якщо хочеш щоб отримати трохи більше технічного, скажемо просто, що назва була створена комбінацією JSON, архіву та сонара, як у пошуках візерунки.

Беннатан описує те, що робить jSonar, так: «Ми просто створюємо хорошу безпеку баз даних і сховищ даних. Дійсно, дуже просто. Це те, що ми робимо. Ми створюємо продукти безпеки для того, де живуть дані, але робимо це дуже добре».

Знову ж таки, не дуже технічно, але ми дійдемо до цього. Беннатан і його співзасновник Урі Сігал познайомилися в лабораторії розподілених систем в університеті приблизно 30 років тому. Беннатан описав їхній курс протягом багатьох років, включаючи також інші стартапи, поки вони не запустили jSonar у 2013 році. Цей досвід може допомогти пояснити, як вони підійшли до розробки продукту:

«Ми знаємо, що ви не будуєте речі самі, ви будуєте речі з купою клієнтів, які кажуть вам, що, знаєте, це дурниця. Це розумна річ. Тому ми не намагалися створити ідеальний продукт. Ми просто намагалися створити щось, що, як ми знали, було достатньо хорошим», — сказав Беннатан.

Беннатан також визнав, що безпека бази даних досить нудна. Це не сексуальна сфера, тому що бази даних існують від 40 до 50 років, на відміну від останні тенденції, такі як, скажімо, Kubernetes. Крім того, коли щось трапляється, вони дуже погані, травматичні; настільки погано, що ніхто про них не знає, додав він. Це цікавий момент від людини з його досвідом.

Можливо, як це не парадоксально, але це підводить нас до сьогоднішнього оголошення про фінансування. За словами Беннатана, Goldman Sachs знає, що якщо у вас немає належного захисту на рівні сховища даних, то майже нічого не має значення. jSonar зростав, не маючи залученого капіталу, і зв’язок із Goldman Sachs був встановлений приблизно рік тому, але не з конкретною метою.

jSonar був щасливий тим, що щорічно зростав у два рази, інколи за кількістю клієнтів, іноді за іншими параметрами. Проте в якийсь момент ця група інженерів вирішила прискорити свій розвиток, розширити свою діяльність за межі США та запропонувати безпеку баз даних як послугу. Отже, давайте подивимося, наскільки просто насправді все просто.

Безпека бази даних: чия це робота?

jSonar добре представлений у кількох ключових секторах, таких як фінансові послуги. Деякі сектори розуміють ризик і більш свідомі щодо його пом’якшення, ніж інші, але це дійсно повинні робити всі, каже jSonar. Що, звісно, ​​викликає запитання: чи не всі це вже роблять?

Чи не всі бази даних постачаються з можливостями безпеки з коробки? не можу адміністратори баз даних (Адміністратори баз даних) просто натисніть потрібні кнопки, і готово, проблему вирішено? Що ж, це трохи складніше, ніж це, з кількох причин, стверджує Беннатан.

Бази даних справді мають дуже багато надійні шари безпеки. Але люди, відповідальні за безпеку бази даних, зазвичай є адміністраторами баз даних. Беннатан стверджує, що адміністратор баз даних — це не той, хто має безпеку, і ми погоджуємося. Робота адміністратора баз даних полягає в тому, щоб переконатися, що система працює безперебійно, дані не втрачаються, запити виконуються швидко і так далі. Це вже жменька.

Наскільки добре адміністратори баз даних можуть знати безпеку? Можливо, не так добре. Можливо, тоді цим повинні займатися охоронці. За винятком того, що виникає питання: наскільки добре спеціалісти з безпеки можуть знати бази даних? Відповідь така: не дуже добре, сказав Беннатан. Бази даних складні, і їх стає все більше. Це не те, що 20 років тому, коли навіть великі компанії мали лише кілька баз даних:

«У них був би Oracle, SQL Server, DB2 на мейнфреймі і, можливо, ще один. Зараз кожна компанія має 40 баз даних. Вони мають бази даних SQL. Вони почали пробувати NoSQL, у них є Hadoop, у них є щось, що працює в хмарі. І кожен із них має окрему модель безпеки. У них немає способу впоратися з цим на такому рівні. Вони повинні мати послідовну політику.

Яке офіцеру служби безпеки діло до того, що ви зберігаєте дані на SQL Server, а я зберігаю дані в MongoDB, а хтось інший зберігає дані в комбінації S3 і Athena? Вам байдуже, чи ви офіцер безпеки, у вас має бути єдина точка, єдиний спосіб сказати, що відбувається. Таким чином, можливість підтримувати всі ці бази даних в уніфікований спосіб – тільки подумайте, скільки часу це забирає у рівняння».

Для нас це має сенс — мати можливість керувати політикою безпеки з єдиної точки. Але є ще щось. Так само, як інвестиції в будь-яку іншу сферу безпеки, для таких речей, як аналіз поведінки користувачів і виявлення загроз, те ж саме має застосовуватися до баз даних, стверджує Беннатан:

«База даних просто дозволить вам встановити набір привілеїв, які дозволять вам сказати, що користувач A може робити це, а користувач B може робити те. Але питання не в тому, що користувачеві А дозволено або не дозволено робити. Питання полягає в тому, якщо користувач A має право це робити, чи не зловживає користувач A цими привілеями?

Отже, це не жорстке визначення політики. Це аналіз, який порівнює політику з реальними діями та намагається сказати, ви знаєте, користувач А є інсайдером, він має привілеї, він є користувачем root цієї бази даних. Але чи справді він повинен робити стільки виразів SELECT у таблиці співробітників і постійно дивитися на зарплати всіх. Чому?"

Безпека бази даних як послуга

jSonar охоплює виявлення загроз, відповідність та іншу роботу, пов’язану з політикою. Він також займається такими сферами, як керування правами користувачів або моніторинг доступу для користувачів. Але якщо ми не зайдемо в базу даних і точно не зрозуміємо привілеї та зв’язки між речами, тоді ми матимемо лише половину картини, сказав Беннатан.

Це те, що jSonar хоче використати інвестиції, щоб мати можливість зробити це. Ну, це і пропонувати безпеку бази даних як послугу. Зараз базу встановлення jSonar складають найбільші компанії, і це дуже прибутковий ринок. Однак компанія також хотіла б звертатися до клієнтів, які не входять до списку Fortune 1000 і Forbes 2000.

Кожна компанія має бази даних, і кожна компанія потребує безпеки. Але робити щось, що працює для них, трохи відрізняється від того, що працює для найбільшого банку. Продукт може мати таку саму функціональність, але він повинен бути упакований інакше, спрощений і доставлений разом із Модель програмного забезпечення як послуги (SaaS).

Якщо ви спілкуєтеся з великими компаніями, з досвіду Беннатана видно, що у них є вимоги, у них є люди, які можуть реалізувати щось, і вони говорять вам, чого хочуть. Якщо ви звертаєтеся до менших компаній, вони більше не кажуть, що хочуть. Вони чекають, щоб ви сказали їм, що їм потрібно зробити, щоб надійно захистити свої дані.

У jSonar була пропозиція SaaS, але вони зрозуміли, що мати її та продавати це дві різні речі. Так само наявність API та використання API інших людей. Однак у цьому випадку jSonar, здається, працює однаково добре.

jSonar працює з API баз даних, до яких він підключається, переважно незалежно. Лише рідко їм доводиться звертатися за спеціальною допомогою до постачальника бази даних, сказав Беннатан. Але це стосується обох сторін. jSonar взаємодіє з базами даних, з якими він підключається, кількома способами, а також має власну базу даних, яка використовується для зберігання внутрішньої та сукупної інформації.

Вихідні API jSonar гарантують, що дані доступні не лише в jSonar, але й можуть бути інтегровані в будь-який спостережливість рішення клієнти вже використовують. Крім того, наявність цих даних дозволяє jSonar застосовувати машинне навчання, щоб вийти за рамки моніторингу, щоб мати можливість робити такі речі, як прогнозна аналітика.

Наше передбачення: ця купа інженерів може знайти щось, хоч би непривабливе.