คลังเก็บป้ายกำกับ: MONGODB

[สัมภาษณ์พิเศษ] อนาคตของเทคโนโลยี Flash และ Storage ระดับองค์กร ในมุมมองของ IBM

ในงาน IBM ASEAN Connect 2017 ทางทีมงาน TechTalkThai มีโอกาสได้สัมภาษณ์กับทางคุณ Craig McKenna ผู้ดำรงตำแหน่ง Director ของ Cloud & Cognitive Data Solutions แห่ง IBM Systems ในประเด็นเกี่ยวกับ IT Infrastructure เป็นหลัก ซึ่งครอบคลุมถึงอนาคตของเทคโนโลยี Flash และ Storage สำหรับองค์กร ซึ่งครอบคลุมถึงทั้งสถาปัตยกรรมที่จะมาในอนาคตสำหรับ Flash, อนาคตของ Tape, การรองรับ Big Data Analytics ไปจนถึงการออกแบบระบบ Storage สำหรับ Blockchain ในกรณีที่ต้องการทำ On-premises จึงขอนำมาสรุปเอาไว้ให้ได้อ่านกันดังนี้

คุณ Craig McKenna ผู้ดำรงตำแหน่ง Director ของ Cloud & Cognitive Data Solutions แห่ง IBM Systems

 

ทำไม IBM ถึงเลือกที่จะพัฒนาผลิตภัณฑ์หลาย Line ในกลุ่มของ Storage?

ปัจจุบัน IBM นี้มี Product Portfolio ที่หลากหลายมากสำหรับระบบ Storage เนื่องจาก IBM นั้นมีความเชื่อว่าเทคโนโลยีของ Storage นั้นไม่สามารถออกแบบให้ระบบเดียวสามารถรองรับ Workload ได้ครบทุกแบบอย่างมีประสิทธิภาพ และเทคโนโลยีเดียวกันบน Hardware ที่ต่างกันก็รองรับ Workload ได้ต่างกันแล้ว ทำให้ IBM มีการแบ่งผลิตภัณฑ์ทางด้านระบบ Storage ที่หลากหลายมาก ทั้งการแบ่งตาม Software ของระบบ Storage ที่ใช้ และการแบ่งตาม Hardware Platform รวมถึงแบ่งตามการขายแบบ Software Only หรือ Cloud ด้วย

ระบบ Storage ของ IBM นี้ออกแบบมาเป็น Software-defined Storage (SDS) แทบทั้งหมด เพื่อให้เกิดความยืดหยุ่นในการเลือกใช้ IT Infrastructure ได้ตามความต้องการขององค์กรที่แตกต่างกันไป และด้วยการออกแบบระบบให้เป็น SDS เป็นหลักนี้ก็ทำให้แทบทุกผลิตภัณฑ์ของ IBM สามารถถูกนำเสนอได้ทั้งในฐานะของ Software หรือ Bundle ชุดรวมเป็น Hardware Appliance หรือผูกเข้ากับบริการ Cloud ก็ได้ทั้งนั้น ในขณะที่การเลือก Media ที่ใช้บันทึกข้อมูลก็จะทำให้ IBM สามารถแบ่งผลิตภัณฑ์ออกเป็น All Flash, Hybrid หรือ Disk ได้อีก

 

อนาคตของ All Flash Array จะเป็นอย่างไร? อะไรจะมาถัดจาก Flash?

IBM เชื่อว่าสุดท้ายแล้ว Flash จะสามารถรองรับ Workload ได้ทุกรูปแบบ แต่เพื่อไปให้ถึงเป้าหมายนั้นสุดท้ายแล้ว Flash เองก็จะถูกแบ่งออกเป็นหลายๆ ประเภท และแต่ละประเภทก็จะมี Workload ในรูปแบบที่เหมาะสมแตกต่างกันไป ซึ่งเมื่อนำ Flash ทุกๆ แบบมารวมกันภายในระบบแล้ว โลกเราก็จะไปถึงปลายทางของ Flash for Any Workload ได้จริง

เมื่อถึงจุดนั้นแล้ว โลกของเราจะมีทั้ง Flash ที่มี Characteristic หรือคุณลักษณะเฉพาะตัวที่แตกต่างกัน เช่น ประสิทธิภาพสูง/ต่ำ, Flash ที่มีความจุสูง/ต่ำ, Flash ที่มีราคาแพง/ถูก รวมถึงเทคโนโลยีที่นำ Flash เหล่านั้นไปใช้ซึ่งจะมีความแตกต่างกัน และเราก็จะกลับไปสู่จุดของการทำ Storage Tiering ระหว่าง All Flash Array ที่มีความแตกต่างหลากหลายเหล่านี้

ส่วนเทคโนโลยีที่จะมาถัดจาก Flash นี้จะถูกเรียกว่า Storage Class Memory ซึ่งจะช่วยลด Latency จากการเข้าถึงข้อมูลภายใน Flash ที่หลัก Microsecond ให้เหลือเพียงหลัก Nanosecond บน Storage Class Memory แทน

 

Tape ยังเป็นเทคโนโลยีที่มีอนาคตอีกหรือไม่? ในเมื่อ Flash นั้นมีขนาดที่ใหญ้ขึ้นและราคาถูกลงทุกวัน?

ทาง IBM ยืนยันว่า Tape นั้นจะยังคงอยู่คู่กับตลาดองค์กรไปอีกระยะหนึ่งแน่นอน เพราะเทคโนโลยีของ Tape นั้นก็มีการพัฒนาก้าวหน้าไปทุกวัน และคุณลักษณะเฉพาะตัวของ Tape นั้นก็ยังไม่อาจหาอุปกรณ์รูปแบบอื่นๆ มาทดแทนได้ง่ายนัก แต่แน่นอนว่าด้วยความเปลี่ยนแปลงของเทคโนโลยีที่เกิดขึ้นนี้ ก็จะทำให้อุปกรณ์จัดเก็บข้อมูลแต่ละแบบนั้นต้องเปลี่ยนบทบาทกันไป รวมถึง Tape เองด้วยเช่นกัน

Tape นั้นกลายเป็นทางเลือกที่มีความเหมาะสมสำหรับการจัดเก็บข้อมูลแบบ Long Term Archive เช่น การจัดเก็บประวัติผู้ป่วยและข้อมูลทางการแพทย์, การจัดเก็บข้อมูลการดำเนินธุรกิจย้อนหลัง และการจัดเก็บข้อมูลอื่นๆ ที่กฎหมายบังคับเอาไว้ว่าจะต้องเก็บย้อนหลังเป็นระยะเวลานานหลายปี

ในเชิงสถาปัตยกรรมก็เปลี่ยนไปเช่นกัน เดิมที Tape นั้นมักจะถูกออกแบบเป็น Tier สุดท้ายในการเชื่อมต่อ ที่แยกขาดจากระบบ Storage อื่นๆ ค่อนข้างชัดเจน แต่ในอนาคตอันใกล้นี้ แนวคิดของการทำ Storage Pooling ระหว่างระบบ Storage หลากหลายเทคโนโลยีเข้าด้วยกันกำลังจะมาถึง และการเขียนอ่านข้อมูลทั้งหมดจะถูกควบคุมด้วย Policy ว่าข้อมูลประเภทไหน, ขนาดเท่าใด, อายุเท่าไหร่ และนำไปใช้งานอะไรจะถูกบันทึกลงไปที่อุปกรณ์ Storage แบบไหนบ้าง ซึ่ง Tape เองก็จะอยู่ภายใน Pool นี้และถูกเขียนข้อมูลด้วย Policy ของการทำ Archive เป็นหลัก

 

องค์กรมีทางเลือกอย่างไรในการออกแบบ Storage สำหรับระบบ Big Data บ้าง? และการสำรองข้อมูล Big Data จะทำได้อย่างไร?

โดยทั่วไปสำหรับองค์กรในปัจจุบันที่กำลังจะทำโครงการ Big Data Analytics นั้น มักจะแบ่งเหตุผลทางธุรกิจออกเป็น 2 แนวทาง ได้แก่

  1. โครงการในกลุ่มของการทำ Optimization ภายในองค์กร ซึ่งสามารถประเมิน ROI หรือความคุ้มค่าได้ง่าย จากการตั้งเป้าหมายเชิงตัวเลขที่อยากไปให้ถึง และคำนวนกลับมาเป็นค่าใช้จ่าย ก็จะทำให้องค์กรรู้แล้วว่าด้วยความคุ้มค่าระดับเท่านี้ องค์กรควรจะใช้งบประมาณในการลงทุนเท่าใดถึงจะยังคุ้มค่าอยู่
  2. โครงการในกลุ่มของการสร้างนวัตกรรมใหม่ๆ ที่ยังไม่รู้ว่าจะประสบความสำเร็จหรือไม่ ทำให้การประเมิน ROI นั้นทำได้ค่อนข้างยาก การกำหนดงบประมาณในการลงทุนนั้นก็จึงต้องอาศัยจากตัวเลขอื่นๆ แทน เช่น สภาพคล่องของธุรกิจ เป็นต้น

จากข้อมูลตรงส่วนนี้จะนำไปสู่ประเด็นที่ว่า องค์กรนั้นมีทางเลือกในการออกแบบและการลงทุน Storage ด้วยกัน 2 ทาง ได้แก่

  1. การพัฒนาระบบเสริมต่อยอดขึ้นมาจากระบบเดิม โดยสร้างระบบย่อยสำหรับทำการรวบรวมข้อมูลจากระบบอื่นๆ และนำมาทำการวิเคราะห์โดยเฉพาะแยกต่างหาก ก็จะทำให้องค์กรสามารถเสริมการลงทุนเพิ่มขึ้นได้โดยไม่ต้องเปลี่ยนระบบใหม่ทั้งระบบ
  2. การพัฒนาระบบใหม่ด้วยการใช้เทคโนโลยีที่รองรับการทำ Big Data Analytics เลย เช่น Apache Hadoop, Apache Spark, MongoDB และอื่นๆ เพื่อลดขั้นตอนของการทำ ETL ลงไป และทำให้ทุกๆ โครงการของการวิเคราะห์ข้อมูลนั้นสามารถเข้าถึงข้อมูลในรูปแบบต่างๆ ได้อย่างยืดหยุ่นและรวดเร็ว

ซึ่งการเก็บข้อมูลในรูปแบบ On-premises หรือ Cloud นั้นก็สามารถทำได้ทั้งคู่ในกรณีนี้ (IBM มี Cleversafe บริการ Cloud Object Storage สำหรับองค์กรพร้อมความปลอดภัยในระดับสูง) ส่วนการสำรองข้อมูลของระบบ Big Data นั้นถือเป็นทั้งงานที่สำคัญและงานที่ท้าทายมากในเวลาเดียวกัน เพราะการสำรองข้อมูลขนาดใหญ่มาก นอกจากจะมีประเด็นทางด้านค่าใช้จ่ายแล้ว ประเด็นทางด้านประสิทธิภาพก็ถือเป็นโจทย์ที่ยากไม่แพ้กัน ซึ่งระบบ Big Data Analytics ส่วนใหญ่นั้นก็มักจะต้องมีการจัดเก็บข้อมูลด้วยเทคโนโลยี Distributed File System หรือ Distributed Database เป็นหลัก และมีการจัดเก็บข้อมูลหลาย Copy อยู่แล้ว จึงควรนำข้อดีตรงนี้มาใช้ให้เป็นประโยชน์ด้วย

จากมุมมองนี้ จะเห็นได้ว่าการทำ Full Backup กับข้อมูลขนาดใหญ่นี้เป็นเรื่องที่แทบจะเป็นจริงไม่ได้เลย ดังนั้นการทำ Incremental Backup อย่างต่อเนื่องนั้นจึงเป็นทางเลือกที่เหมาะสมกว่ามากในระยะยาว แต่โจทย์ของการทำ Full Backup ในครั้งแรกก็ยังคงมีอยู่ ซึ่งแต่ละเทคโนโลยีของระบบจัดเก็บข้อมูลก็จะมีวิธีการที่แตกต่างกันไป รวมถึง IBM GPFS เองก็เช่นกัน และการเลือก Integrate ระบบเข้ากับระบบสำรองข้อมูลรูปแบบต่างๆ นั้นก็ถือเป็นทางเลือกที่ต้องทำการศึกษาและทดสอบให้ดี

แน่นอนว่าการ Archive Cold Data ที่ไม่ได้มีการเข้าถึงบ่อยในสื่อที่มีความจุสูง, มีความทนทานสูง, มีราคาต่ำ และทำการลดขนาดข้อมูลให้เล็กลงด้วยการทำ Compression หรือ Deduplication นั้นก็ถือเป็นเรื่องสำคัญที่ควรทำด้วยเช่นกัน

 

อนาคตของ IBM Power เป็นอย่างไร?

ในยุคที่พลังประมวลผลมีความสำคัญมากกับทุก Application สมัยใหม่ ไม่ว่าจะเป็น AI, Big Data หรือ Cognitive Computing ก็ตาม ทำให้ IBM Power ที่ออกแบบมาโดยเน้นประสิทธิภาพการประมวลผลเป็นพิเศษนี้มีแนวโน้มที่ดีมาก จากการออกแบบ Memory Bus ขนาดใหญ่ และมี Interconnect ที่หลากหลาย ส่งผลให้ในภาพรวมแล้ว IBM Power นั้นมี Price/Performance ที่ดี อีกทั้งยังมี OpenPower สถาปัตยกรรมแบบ Open Source สำหรับให้ธุรกิจขนาดใหญ่นำไปพัฒนาต่อยอดตอบโจทย์ของ Hyperscale Data Center ด้วย

 

Data Privacy เป็นประเด็นกับ IBM Cloud หรือไม่? หากมีหน่วยงานรัฐมาขอให้เปิดเผยข้อมูลองค์กรที่เป็นลูกค้าอยู่ IBM จะทำอย่างไร?

IBM นั้นได้เตรียมรับมือกับประเด็นที่มีความละเอียดอ่อนเหล่านี้แล้ว โดยการใช้เทคโนโลยี Encryption เข้ามาช่วย ซึ่งผู้ที่ถือครองกุญแจในการเข้าและถอดรหัสนั้นก็คือองค์กรของลูกค้าเอง ดังนั้นถึงแม้ IBM จะเป็นคนดูแล IT Infrastructure ที่อยู่บน Cloud ของแต่ละองค์กร แต่พนักงานของ IBM เองก็ไม่สามารถเข้าถึงข้อมูลเหล่านั้นหรือถอดรหัสออกมาได้เลย ดังนั้นหากมีการร้องขอข้อมูลเกิดขึ้น ก็ต้องไปร้องขอกับทางองค์กรซึ่งเป็นเจ้าของข้อมูลตัวจริงเองเท่านั้น

 

สำหรับองค์กรที่สนใจเทคโนโลยี Blockchain จะออกแบบระบบ Storage เพื่อรองรับ Blockchain ได้อย่างไร?

ประเด็นนี้ถือเป็นประเด็นที่น่าสนใจที่คนไม่ค่อยได้พูดถึงกัน เพราะสถาปัตยกรรมการทำงานของ Blockchain เองนั้นมุ่งเน้นไปที่ความถูกต้องของข้อมูลและความปลอดภัยเป็นหลัก ทำให้ต้องมีการออกแบบการกระจายข้อมูลแบบ Distributed และการสอบเทียบข้อมูลระหว่างกัน ซึ่งกระบวนการเหล่านี้เองก็กินเวลาค่อนข้างมาก ทำให้คอขวดส่วนใหญ่ของระบบนั้นไม่ได้อยู่ที่ CPU, RAM, Network หรือ Storage แต่อยู่ในชั้น Software ของระบบ Blockchain เอง ความเร็วของ Storage จึงไม่จำเป็นนัก

และด้วยความที่ระบบเป็นแบบกระจายตัว ดังนั้นการเลือกใช้ Server, Storage Server หรือบริการ Cloud ไปเลยก็จะเป็นหนทางที่เหมาะสมกว่าสำหรับ Blockchain แทนที่จะมาใช้ระบบ Storage เต็มตัว และการเสริมความปลอดภัยด้วยการเข้ารหัสเพิ่มเติมในระดับของ Hardware หรืออื่นๆ ก็เป็นทางเลือกที่อาจพิจารณาเพิ่มเติมได้เช่นกัน

from:https://www.techtalkthai.com/interview-with-craig-mckenna-director-of-cloud-and-cognitive-data-solutions-ibm-systems-on-the-future-of-storage/

Advertisements

ฐานข้อมูล MongoDB กว่า 27,000 แห่ง ถูกจับเรียกค่าไถ่ภายในแค่สัปดาห์เดียว

มีกลุ่มแฮ็กเกอร์ที่ใช้แรนซั่มแวร์ Harak1r1 เข้าถึง, ล้วงข้อมูล, พร้อมทั้งลบฐานข้อมูล MongoDB ที่ตั้งค่าไม่ปลอดภัย หรือไม่ได้ติดตั้งแพทช์ล่าสุด เพื่อเรียกค่าไถ่จากเหล่าแอดมิน โดยเกิดขึ้นและระบาดอย่างรวดเร็วมากภายในเวลาไม่ถึงสัปดาห์

โดยเริ่มตั้งแต่เมื่อวันจันทร์สัปดาห์ที่แล้วที่นักวิจัยด้านความปลอดภัย Victor Gevers ตรวจพบการติดตั้ง MongoDB กว่า 200 Instance โดนลบข้อมูลพร้อมขึ้นข้อความขู่เรียกค่าไถ่ จากนั้นวันอังคารพบตัวเลขเพิ่มขึ้นเป็นกว่า 2,000 ฐานข้อมูลจากรายงานของผู้ก่อตั้ง Shodan อย่าง John Matherly และเมื่อวันศุกร์ล่าสุด Gever และทีมงานของเขา Niall Merrigan ได้อัพเดตตัวเลขเพิ่มเป็น 10,500 ซึ่งนับจากเวลาดังกล่าวเพียงแค่ 12 ชั่วโมง ตัวเลขฐานข้อมูลที่ตกเป็นเหยื่อเพิ่มขึ้นมากกว่าเท่าตัวเป็น 27,000 ราย

ช่วงแรกของการโจมตี มีการเรียกค่าไถ่ด้วยจำนวนเงิน 0.2 บิทคอยน์ (ประมาณ 184 ดอลลาร์สหรัฐฯ) ซึ่งพบเหยื่อประมาณ 22 รายมีการจ่ายค่าไถ่ไปแล้ว แต่ตอนนี้ผู้โจมตีได้อัพราคาขึ้นเป็นถึง 1 บิทคอยน์ (ประมาณ 906 ดอลลาร์ฯ)

ทีมนักวิจัยยังตรวจพบการกระทำจากผู้โจมตีกว่า 15 ราย ซึ่งใช้อีเมล์แนบไฟล์ของแรนซั่มแวร์ Kraken0 ที่โจมตีฐานข้อมูล MongoDB อีกกว่า 15,482 ราย พร้อมเรียกค่าไถ่ 1 บิทคอยน์ แม้ว่ายังไม่พบเหยื่อรายใดยอมจ่ายค่าไถ่นี้

ในทุกกรณีที่ตกเป็นเหยื่อ พบว่าเซิร์ฟเวอร์ MongoDB ที่โดนเล่นงาน มีบัญชีผู้ใช้ระดับแอดมินที่ไม่ได้ตั้งค่ารหัสผ่านป้องกันไว้

ที่มา : http://thehackernews.com/2017/01/mongodb-database-security.html

from:https://www.enterpriseitpro.net/?p=5032

ฐานข้อมูล Hello Kitty รั่ว แฟนคลับกว่า 3.3 ล้านได้รับผลกระทบ

สุดสัปดาห์ที่ผ่านมา ข้อมูลส่วนบุคคลของผู้ใช้กว่า 3.3 ล้านคนจากฐานข้อมูลของ Sanrio เจ้าของลิขสิทธิ์ Hello Kitty รั่วไหลสู่สาธารณะ คาดสาเหตุมาจากปัญหาการตั้งค่าไม่มั่นคงปลอดภัยขณะติดตั้ง MongoDB ที่ค้นพบโดย Chris Vickery

Credit: Javier Mediavilla Ezquibela

การเจาะระบบเพื่อขโมยข้อมูลถูกรายงานครั้งแรกเมื่อเดือนธันวาคม 2015 แต่ทาง Sanrio ปฏิเสธว่าไม่มีข้อมูลสูญหายจากการเจาะระบบดังกล่าว อย่างไรก็ตาม เมื่อวันอาทิตย์ที่ผ่านมา LeakedSource เว็บไซต์ชื่อดังที่รวบรวมข้อมูลที่ถูกขโมยเผยแพร่สู่สาธารณะ ออกมาระบุว่า ฐานข้อมูลลูกค้ารวม 3,345,168 คนของ Sanrio ถูกเปิดเผย ซึ่งมีข้อมูลเด็กอายุต่ำกว่า 18 รวม 186,261 รายการ

ข้อมูลที่หลุดออกมาประกอบด้วยชื่อนามสกุลของผู้ใช้ วันเกิด เพศ ประเทศที่อยู่ อีเมล ชื่อผู้ใช้ รหัสผ่านที่ถูกแฮช คำถามเมื่อลืมรหัสผ่านและคำตอบ นอกจากนี้ยังมีฟิลด์ข้อมูลที่ชื่อว่า “incomeRange” แต่น่าแปลกตรงที่ข้อมูลอยู่ระหว่าง 0 – 150 ข้อมูลที่ปรากฏบน LeakedSource นี้ตรงกับที่ Vickery ค้นพบ ซึ่งทาง Sanrio อ้างว่าเขาเป็นคนเดียวที่มีสิทธิ์เข้าถึงฐานข้อมูลในช่วงไม่กี่สัปดาห์ที่ผ่านมา และไม่พบว่ามีการบุกรุกจากภายนอกแต่อย่างใด

Vickery ระบุว่า ฐานข้อมูลผู้ใช้กว่า 3.3 ล้านคนที่รั่วไหลออกมานี้ มาจากบริการออนไลน์หลายอย่างของ Sanrio ซึ่งต้นตอสาเหตุมาจากการที่ฐานข้อมูลถูกจัดเก็บโดยใช้การตั้งค่า MongoDB ที่ไม่มีการระบุ Credential ในการเข้าถึง

ที่มา: https://threatpost.com/hello-kitty-database-of-3-3-million-breached-credentials-surfaces/122932/

from:https://www.techtalkthai.com/hello-kitty-database-leakage/

ฐานข้อมูล MongoDB ถูกเจาะเป็นจำนวนมาก ข้อมูลถูกล้างและเรียกค่าไถ่

มีรายงานว่าฐานข้อมูล MongoDB จำนวนมากบนอินเทอร์เน็ตถูกเจาะ โดยแฮ็กเกอร์ลบข้อมูลทั้งหมดในฐานข้อมูลเดิมออก และเรียกค่าไถ่ข้อมูลที่ขโมยออกไป

ตอนนี้ยังไม่มีตัวเลขแน่ชัดว่า ฐานข้อมูล MongoDB ที่ได้รับผลกระทบมีจำนวนเท่าไรกันแน่ แถมจำนวนก็เพิ่มขึ้นเรื่อยๆ ตัวเลขล่าสุดคือ 2,000 แห่ง ผู้ที่เจาะฐานข้อมูลเป็นรายแรกใช้นามแฝงว่า “Harak1r1” โดยเรียกค่าไถ่จำนวน 0.2 BTC (ประมาณ 220 ดอลลาร์หรือ 8,000 บาท) แต่เมื่อข่าวแพร่กระจายออกไป ก็มีแฮ็กเกอร์รายอื่นๆ มาร่วมเจาะ MongoDB อีกเช่นกัน

Bob Dyachenko ผู้เชี่ยวชาญด้านความปลอดภัยจากบริษัท MacKeeper ระบุว่าฐานข้อมูล MongoDB ที่ถูกเจาะมักตั้งค่าคอนฟิกตามค่าดีฟอลต์ (ไม่ต้องมีรหัสผ่าน) และมักรันอยู่บนเซิร์ฟเวอร์ AWS ที่มีช่องโหว่ตรงอนุญาตให้ MongoDB แบบค่าดีฟอลต์รันได้

ฝั่งของ MongoDB ก็ออกมาให้คำแนะนำเรื่องการคอนฟิกความปลอดภัย การตรวจสอบว่าฐานข้อมูลของเราถูกเจาะหรือไม่ และวิธีแก้ปัญหากรณีพบว่าฐานข้อมูลถูกเจาะไปแล้ว

ที่มา – ThreatPost, MongoDB

from:https://www.blognone.com/node/88956

พบการโจมตีแบบใหม่ มุ่งเป้ายึด MongoDB และขโมยข้อมูลออกไปเพื่อเรียกค่าไถ่

Victor Gevers ผู้ร่วมก่อตั้งของ GDI Foundation ได้ออกมาเปิดเผยถึงกรณีการที่มีผู้ร้ายชื่อ Harak1r1 ได้ทำการโจมตี MongoDB ที่ไม่ได้ถูกตั้งค่าให้ทำงานอย่างปลอดภัยบน Internet ก่อนจะทำการสับเปลี่ยนข้อมูลภายใน MongoDB และเรียกค่าไถ่เจ้าของฐานข้อมูลนั้น

การโจมตีลักษณะนี้เกิดขึ้นได้เมื่อมีผู้ที่พัฒนาระบบด้วย MongoDB แต่ไม่ได้ทำการตั้งค่าความปลอดภัยให้ดี เช่น เปิดให้มีการเชื่อมต่อเข้าไปได้จากภายานอกโดยไม่ต้องใช้รหัสผ่าน หรือกรณีอื่นๆ จนทำให้ Harak1r1 นี้สามารถทำการโจมตีและเข้ายึดฐานข้อมูลเหล่านั้น แล้วจึงทำการ Copy ข้อมูลทั้งหมดออกมาเก็บไว้ ก่อนจะทำการลบข้อมูลเหล่านั้นทิ้ง แล้วสร้างฐานข้อมูลใหม่พร้อมตั้งชื่อให้เสร็จสรรพว่า WARNING อีกทั้งยังทิ้งข้อมูลเอาไว้ภายในฐานข้อมูลว่า จะต้องโอน Bitcoin ไปที่ใดจึงจะคืนข้อมูลทั้งหมดให้

Gevers ได้ให้คำแนะนำเบื้องต้นว่าสิ่งที่เหล่าผู้ใช้ MongoDB ควรทำมีดังนี้

  • ตั้งกฎบน Firewall ภายใน Server ของ MongoDB ให้ Block Port 27017 จากภายนอก และตั้งค่าให้รับการเชื่อมต่อได้จากระบบภายในเท่านั้น
  • ตั้งค่า Username และ Password สำหรับใช้ในการเข้าถึงข้อมูลภายในฐานข้อมูลให้ดี
  • หมั่นตรวจสอบ Account ภายใน MongoDB ว่าถูกสร้าง Admin หรือ User ที่เราไม่รู้จักขึ้นมาหรือไม่
  • หมั่นตรวจสอบใน GridFS ว่ามีใครนำไฟล์ที่ไม่พึงประสงค์มาวางเอาไว้หรือเปล่า
  • หมั่นตรวจสอบใน Log ดูว่ามีใครพยายามเข้าถึง MongoDB หรือไม่

การโจมตีแบบนี้มีความคล้ายคลึงกับ Ransomware ตรงที่มีการยึดข้อมูลของผู้ถูกโจมตีเอาไว้เป็นตัวประกัน แต่วิธีการที่ใช้นั้นถือว่ายังแตกต่างกันค่อนข้างมาก ซึ่งประเด็นเหล่านี้ก็ถือว่าน่าสนใจไม่น้อยและเหล่านักพัฒนา Software ทั้งหลายก็ควรหันมาใส่ใจในประเด็นทางด้านความปลอดภัยกันมากขึ้นได้แล้ว

ที่มา: http://www.infosecurity-magazine.com/news/attacker-hijacks-mongodb-databases/

from:https://www.techtalkthai.com/hacker-attacks-mongodb-for-money/

INOX ประกาศเป็นตัวแทนจำหน่าย MongoDB สำหรับองค์กรในประเทศไทยอย่างเป็นทางการ

inox_logo

Innovative Extremist หรือ INOX ได้ประกาศเป็นตัวแทนจำหน่าย MongoDB สำหรับตอบโจทย์ความต้องการของ NoSQL Database ระดับองค์กรภายในประเทศไทยอย่างเป็นทางการ และได้จัดงาน MongoDB “Let us power your success” ขึ้นในวันที่ 14 พฤศจิกายน 2016 ทีมงาน TechTalkThai จึงขอเขียนสรุปคร่าวๆ ร่วมกับข้อมูลในเว็บไซต์ของ MongoDB เอาไว้ดังนี้ครับ

mongodb_banner

 

MongoDB เน้นตอบโจทย์ที่นอกเหนือไปจากความสามารถของ Relational Database

ที่ผ่านมานั้น Relational Database นั้นเน้นตอบโจทย์เรื่องของการจัดการข้อมูลแบบ Transactional เป็นหลัก MongoDB นั้นจึงต้องการพัฒนาเทคโนโลยี Database ที่สามารถตอบโจทย์การจัดเก็บข้อมูลขนาดใหญ่และสามารถ Scale ระบบได้อย่างต่อเนื่องทั้งในเชิงพื้นที่จัดเก็บข้อมูล, ประสิทธิภาพการทำงาน และความทนทาน โดยยังคงมีความยืดหยุ่นในการใช้งานและความง่ายในการเข้าถึงข้อมูลต่างๆ ได้นั่นเอง ซึ่งก็เรียกได้ว่า MongoDB นั้นเป็น NoSQL Database ประเภทหนึ่งนั่นเอง ลองอ่านคำอธิบายเกี่ยวกับ NoSQL Database ได้ที่ https://www.mongodb.com/nosql-explained นะครับ

ข้อมูลแต่ละบรรทัดของ MongoDB นั้นจะเรียกว่า Document ซึ่งด้วยความที่เป็น NoSQL นั้นก็ทำให้ MongoDB สามารถจัดเก็บข้อมูลได้อย่างหลากหลาย และเพิ่มลดฟีลด์ที่จัดเก็บข้อมูลได้อยู่เสมอ ทำให้มีความยืดหยุ่นในการใช้งานเป็นอย่างมาก โดยใครที่ใช้ Node.js นั้นก็จะสามารถทำความคุ้นเคยกับ MongoDB ได้อย่างรวดเร็ว เพราะ Object ของ Javascript นั้นมีรูปแบบเหมือนกับข้อมูลที่ MongoDB เขียนหรืออ่านเลย ทำให้สามารถเรียนรู้ได้ง่าย

หลายคนนั้นเข้าใจผิดว่า MongoDB ไม่รองรับการทำ Transaction ซึ่งในความเป็นจริงนั้นก็รองรับได้เช่นกัน แต่ Usecase ส่วนใหญ่นั้นไม่จำเป็นมากนัก และ MongoDB นั้นไม่มีแนวคิดของการ Join ข้าม Table กัน แต่มีการ Lookup ข้าม Collection ได้แล้วตั้งแต่รุ่น 3.2 เป็นต้นมา

นอกจากนั้นก็มีแนวคิดของการทำ Replica Sets คือการ Replicate ข้อมูลระหว่าง Server หลายๆ เครื่องได้ในระดับของ Software เลย ทำให้สามารถทำ Failover ได้โดยอัตโนมัติ, รองรับการทำ Disaster Recovery ได้ในตัว และรองรับการทำ Multiple Read/Single Write เพื่อเพิ่มประสิทธิภาพได้ รวมถึงสามารถทำ Automatic Sharding ได้ ทำให้สามารถแบ่งข้อมูลออกเป็นหลายๆ Shard และจัดเก็บใน Server คนละกลุ่มกัน ทำให้สามารถ Scale ประสิทธิภาพของระบบให้สูงขึ้นได้อย่างต่อเนื่องและเข้าถึงข้อมูลทั้งหมดได้ด้วยความเร็วสูงอยู่เสมอ

ผู้ที่สนใจอยากศึกษาว่า MongoDB ต่างกับ MySQL อย่างไรบ้าง ก็สามารถอ่านได้ที่ https://www.mongodb.com/compare/mongodb-mysql เลยนะครับ

 

นอกจากรุ่น Open Source ทั่วไปแล้ว MongoDB ยังมีรุ่นสำหรับองค์กรโดยเฉพาะอีกด้วย

โดยทั่วไปแล้วเรามักจะรู้จัก MongoDB กันในฐานะของ Open Source Software ที่ใช้งานได้ฟรี แต่ในความเป็นจริงนั้น MongoDB ก็มีซอฟต์แวร์รุ่นที่รองรับการใช้งานภายในองค์กรโดยเฉพาะภายใต้ชื่อ MongoDB Enterprise Advanced อยู่ด้วย โดยภายในชุดของ MongoDB Enterprise Advanced นี้จะประกอบไปด้วยสิ่งต่างๆ ที่เหนือกว่ารุ่น Open Source ดังต่อไปนี้

  • การสนับสนุนโดยตรงจากทีมวิศวกรจาก MongoDB ทั้งในแง่ของการให้คำปรึกษา, การช่วยเหลือเวลาที่ระบบมีปัญหา และอื่นๆ ได้แบบ 24×7
  • มีระบบ Ops Manager สำหรับใช้บริหารจัดการ MongoDB และ MongoDB Cloud Manager สำหรับบริหารจัดการ MongoDB ได้ผ่าน Cloud โดยจะรองรับทั้งการติดตามการทำงาน, การบริหารจัดการ, การทำ Automation และการ Backup ข้อมูล
  • รองรับการเสริมความสามารถด้านความปลอดภัย เช่น การยืนยันตัวตนร่วมกับระบบ Kerberos และ LDAP, การทำงานร่วมกับ Red Hat Identity Management Certification, การ Audit, Encrypted Storage Engine เสริมขึ้นมาจากความสามารถในการรักษาความปลอดภัยพื้นฐานอย่างการกำหนดสิทธิ์ผู้ใช้งาน, การใช้ PKI Certificate, SSL, Field-Level Redaction
  • มีระบบ Advanced Analytics สำหรับเชื่อมต่อ MongoDB เข้ากับระบบ Business Intelligence ได้ด้วย MongoDB Connector for BI
  • มี MongoDB Compass สำหรับใช้ Query ข้อมูลต่างๆ ออกมาแสดงได้ทันที โดยไม่ต้องมีความรู้ด้านภาษาที่ใช้ในการ Query ข้อมูลแต่อย่างใด
  • มี In-Memory Storage Engine สำหรับใช้สร้างฐานข้อมูลความเร็วสูงได้
  • มี SNMP สำหรับใช้ทำงานร่วมกับระบบ IT Infrastructure Monitoring & Management ได้
  • มี License สำหรับใช้งานและแจกจ่ายในระดับองค์กรโดยเฉพาะ รวมถึงการ OEM ด้วย
  • ผ่านการทดสอบความเสถียรและประสิทธิภาในการทำงานบน Windows, Red Hat, CentOS, Ubuntu, Amazon Linux, Linux on z Systems, LinuxONE และ Linux on Power Systems
  • มี Online Trainig ให้เข้าเรียนได้
  • มี Customer Success Program ช่วยนำเสนอข้อมูลหรือความรู้ต่างๆ และสื่อสารกับลูกค้าแต่ละแห่งอยู่ตลอด ให้มั่นใจว่าการนำ MongoDB ไปใช้จะประสบความสำเร็จและคุ้มค่า

ผู้ที่สนใจ MongoDB Enterprise Advanced สามารถศึกษารายละเอียดเพิ่มเติมหรือโหลดไปทดสอบการใช้งานได้ที่ https://www.mongodb.com/products/mongodb-enterprise-advanced

 

มีองค์กรหลากหลายในไทยเริ่มใช้งาน MongoDB ในระดับ Production แล้ว

ในงานสัมมนาครั้งนี้ทาง INOX ได้เปิดให้เหล่าผู้ใช้งาน MongoDB ในประเทศไทยหลากหลายรายมาร่วมแชร์ประสบการณ์การใช้งาน MongoDB ได้แก่ Pantip.com, DTAC และ Zanroo

 

ติดต่อทีมงาน INOX ได้ทันที

inox_logo

ผู้ที่สนใจนำ MongoDB สามารถติดต่อทีมงาน INOX ได้ทันทีที่ http://www.inox.co.th/ หรือ info@inox.co.th

from:https://www.techtalkthai.com/inox-becomes-official-mongodb-partner-in-thailand/

MongoDB ออกรุ่น 3.4 รองรับการวิเคราะห์ข้อมูลได้ดีขึ้น, แบ่ง Zone ตาม Data Center ได้ และมีเครื่องมืออำนวยความสะดวกเพิ่ม

MongoDB ประกาศเปิดตัวระบบฐานข้อมูล NoSQL รุ่น 3.4 ที่เพิ่มความสามารถใหม่ๆ เข้ามาดังนี้

mongodb_banner

  • เพิ่มระบบ Native Graph Analytics และ Faceted Navigation ทำให้สามารถทำ Query ได้หลากหลายรูปแบบมากยิ่งขึ้น
  • ปรับปรุง SQL Interface อย่าง BI Connector ใหม่ทั้งหมดให้ทำงานได้รวดเร็วขึ้น และรองรับการใช้งานบน Windows ได้
  • MongoDB Connector for Apache Spark รองรับ Spark 2.0 ได้แล้ว
  • เพิ่มระบบ Zone ในการติดตั้งใช้งานหลาย Data Center เพื่อระบุตำแหน่งที่จัดเก็บและกระจายข้อมูลต่างๆ ได้
  • ทำการ Balancing ข้อมูลระหว่าง Cluster ที่กระจัดกระจายอยู่ได้เร็วขึ้น ทำให้สามารถเพิ่มลดขนาดของระบบได้โดยไม่มี Downtime
  • เพิ่ม Compass GUI ใหม่สำหรับใช้จัดการข้อมูลภายในระบบ
    mongodb_compass_01
  • เพิ่มระบบ Server Pools และการ Integrate ระบบเข้ากับ Cloud Foundry ได้ง่ายขึ้นบน MongoDB Ops Manager
  • มีโหมด Read Only ให้ Application Development Team ใช้ จะได้ไม่เกิดความผิดพลาดกับข้อมูลจริง

นอกจากนี้ยังมีการเปิดเผยด้วยว่าที่ Baidu เองนั้นก็มีการใช้งาน MongoDB สำหรับจัดเก็บข้อมูลหลักหลาย Petabyte บน Server เกือบๆ 1,000 Node เลยทีเดียว

ผู้ที่สนใจ MongoDB 3.4 จะเปิดให้โหลดภายในเดือนธันวาคม 2016 ครับ ระหว่างนี้ก็สามารถลงทะเบียนเข้าร่วม Webinar เพื่ออัปเดตเทคโนโลยีกันได้ที่ https://www.mongodb.com/webinar/whats-new-in-mongodb-3-4 เลยครับ

ที่มา: https://www.mongodb.com/press/3_4

from:https://www.techtalkthai.com/mongodb-announces-mongodb-3-4/