Startseite
Leitfäden
Wie man DataSunrise zur Datenmaskierung für Amazon Athena konfiguriert

Wie man DataSunrise zur Datenmaskierung für Amazon Athena konfiguriert

Wie man die DataSunrise CloudFormation-Vorlage von Launch Configuration (LC) zu Launch Template (LT) Ressource in Auto Scaling Group migriert Wie man DataSunrise-Ereignisse über eingehendes Webhook mit Abonnenten an einen Microsoft Teams-Kanal sendet Wie man die Überwachungsdatenbankdaten auf AWS S3 auslastet und sie mit dem AWS Athena Service liest So wandeln Sie die Test- oder BYOL-Konfiguration von DataSunrise in stundenweise Abrechnung um Backend-DB: PostgreSQL (RDS) oder Aurora PostgreSQL So beheben Sie “Verbindung wurde beendet” oder “Verbindung unerwartet beendet” Fehler in Anwendungen, die DataSunrise-Proxys verwenden Untersuchung der Leistung von DataSunrise unter hohen Verkehrsauslastungen DataSunrises Ansatz zur Konfiguration von Strafen für die Erkennung von SQL-Injection Wie man spezifische Hosts in DataSunrise für erhöhte Datenbanksicherheit blockiert Fehlerbehebung bei AWS-Abrechnung und stündlichen Abrechnungsproblemen in DataSunrise auf dem AWS Marketplace Cloud Formation Anpassung Dynamische Datenmaskierung mit DataSunrise: Maskierung mit Lua-Skripten Wie wählt man die richtige Datenbank für Audit-Speicher: Eine Leistungsanalyse Wie man pgbench durch den DataSunrise-Proxy auf PostgreSQL 14 mit SCRAM-Authentifizierung ausführt DataSunrise SSO-Authentifizierung basierend auf SAML (Okta) DataSunrise SSO-Authentifizierung basierend auf OpenID (Okta) Wie man nach sensiblen Daten in Bildern sucht, die auf AWS S3 gehostet werden Wie man DataSunrise mit Terraform-Template auf Azure bereitstellt Wie man DataSunrise mit SQL Server Always On Cluster integriert Wie man DataSunrise in Microsoft Azure mithilfe des Azure Resource Manager bereitstellt Wie man DataSunrise Static Data Masking für MongoDB durchführt Wie man das Datenbank-Audit-Trailing für MS Azure MySQL konfiguriert Wie man DB Audit Trailing für MS Azure PostgreSQL konfiguriert Wie man DataSunrise zur Datenmaskierung für Amazon Athena konfiguriert Wie man die RHEL OS-Version bestehender DataSunrise-Server aktualisiert Wie man DataSunrise mit AWS Database Activity Streams integriert, um Auditergebnisse für AWS Aurora PostgreSQL zu erhalten Wie man SSL-Zertifikate für den DataSunrise-Datenbankproxy einrichtet Wie man Berichte in DataSunrise erstellt Wie man Schemas von Benutzern in Redshift versteckt AWS RDS PostgreSQL Audit Protokolle in DataSunrise Wie man administrative Aktionen in Ihrem Oracle RDS und EC2 überwacht Wie überprüft man, ob DataSunrise Datenverkehr von der Clientanwendung und der geschützten Datenbank erhält Wie man ein Verfahren oder eine Funktion aus einer Datenbank entfernt

Wir erweitern unsere Möglichkeiten, indem wir die dynamische Maskierung für Amazon Athena einführen. Jetzt können Sie sensible Daten aus Athena in Echtzeit verschleiern, um sie vor unbefugten Personen zu schützen.

Kundenanwendungen verwenden eine verschlüsselte Verbindung, um sich mit Athena zu verbinden. DataSunrise kann Daten in Athena nur im Proxy-Modus maskieren. Eine sichere Verbindung wird dabei in zwei Teile aufgeteilt: von einer Kundenanwendung zu DataSunrise und von DataSunrise zu Athena. Gleichzeitig wird das Zertifikat des Servers überprüft. Wenn dieses Zertifikat selbstsigniert ist, könnten einige Anwendungen die Verbindung als unsicher betrachten und ablehnen.

DataSunrise verwendet standardmäßig ein selbsterstelltes SSL-Zertifikat, um eine verschlüsselte Verbindung zwischen einer Kundenanwendung und einem DataSunrise-Proxy herzustellen.

Es gibt zwei Optionen für eine Verbindung zu Athena über einen DataSunrise-Proxy:

Verwenden Sie das selbstsignierte Zertifikat von DataSunrise;
Verwenden Sie ein ordnungsgemäß signiertes SSL-Zertifikat von einer bestimmten Zertifizierungsstelle.

Wenn ein Zertifikat authentisch ist, wird eine Verbindung hergestellt. Andernfalls wird es von einer Kundenanwendung als Man-in-the-Middle-Angriff betrachtet und die Verbindung wird nicht hergestellt, es sei denn, die Kundenanwendung ist ordnungsgemäß konfiguriert. In diesem Artikel werden wir diesen Prozess anhand von DBeaver als Beispiel überprüfen.

Erstellen einer Instanz für Amazon Athena

Zuerst müssen Sie eine Instanz für Athena in DataSunrise erstellen. Dies ist notwendig, um ein Datenbankprofil zu erstellen. Der Anfang ist für jede Datenbank gleich: Geben Sie einfach die Verbindungsdetails für Ihr Athena ein. Beachten Sie, dass Abfrageergebnisse in S3-Buckets gespeichert werden, sodass Sie einen S3-Bucket im Feld Abfrageergebnis-Standort angeben müssen.

Unten im Abschnitt Capture Mode müssen Sie Proxy auswählen. Im Feld Proxy Keys wählen Sie Create New, um eine neue SSL Key Group zu erstellen und sie Ihrem Proxy zuzuordnen.

Klicken Sie danach auf Save.

Zertifikat in den Keystore importieren

Führen Sie Folgendes aus:

Nachdem Sie eine neue SSL Key Group an Ihren Proxy in DataSunrise angehängt haben, navigieren Sie zu Configuration → SSL Key Groups. Finden Sie Ihre SSL Key Group in der Liste und öffnen Sie sie, kopieren Sie das Zertifikat aus dem entsprechenden Feld in eine Textdatei. Erstellen Sie zum Beispiel eine Datei mit dem Namen dsca.crt und fügen Sie das Zertifikat dort ein. Legen Sie die Datei im Ordner C:\athena ab.
Führen Sie die Eingabeaufforderung als Administrator aus und navigieren Sie zu Ihrem DBeaver-Installationsordner. Zum Beispiel C:\Program Files\DBeaver\jre\bin\.

Fügen Sie Ihr Athena-Zertifikat zu cacerts hinzu, das unter C:\Program Files\DBeaver\jre\lib\security gespeichert ist. Beispiel:

keytool.exe -importcert -trustcacerts -alias dsca -v -keystore "C:/Program Files/DBeaver/jre/lib/security/cacerts" -file "C:/athena/dsca.crt" -storepass changeit

Einrichten und Ausführen von DBeaver

Da wir DBeaver verwenden, um Abfragen an Athena über den DataSunrise-Proxy senden zu können, müssen Sie die dbeaver.ini-Datei in Ihrem DBeaver-Installationsordner finden und mit einem Texteditor öffnen. Fügen Sie die folgenden Zeilen am Ende der Datei hinzu:

-Djavax.net.ssl.trustStore=<jks_file_path>
-Djavax.net.ssl.trustStorePassword=<jks_file_password>

Zum Beispiel:

-Djavax.net.ssl.trustStore=C:/Program Files/Java/jdk-11.0.1/lib/security/cacerts
-Djavax.net.ssl.trustStorePassword=changeit

Führen Sie DBeaver mit den folgenden Parametern aus (Beispiel):

dbeaver.exe -vm "C:\Program Files\DBeaver\jre\bin" -vmargs -Djavax.net.ssl.trustStore="C:\Program Files\DBeaver\jre\lib\security\cacerts" -Djavax.net.ssl.trustStorePassword=changeit

Verbinden über den Proxy mit DBeaver

Konfigurieren Sie eine Verbindung zu Ihrem Athena über den DataSunrise-Proxy. Im Driver properties Tab setzen Sie ProxyHost und ProxyPort gemäß den Einstellungen Ihres Athena-Proxys.

Testen Sie dann die Verbindung. Jetzt sollten Sie in der Lage sein, sich über den DataSunrise-Proxy mit Ihrem Athena zu verbinden.

Konfigurieren der dynamischen Maskierung

Nachdem Sie einen Proxy konfiguriert haben, können Sie eine dynamische Maskierungsregel für Athena erstellen. Dieser Prozess ist einfach und für jede Datenbank anwendbar.

Nachfolgend ein Beispiel einer Tabelle mit echten Daten und maskierten E-Mail-Adressen:

Außerdem unterstützt DataSunrise die Maskierung unstrukturierter Daten für Athena aufgrund von NLP (Natural Language Processing). Unstrukturierte Maskierung ermöglicht es Ihnen, sensible Daten in jeder Form und jedem Format zu maskieren. Zum Beispiel kann es sich um ein Word-Dokument oder eine PDF-Datei handeln. Sensible Daten werden mit Sternchen (*) maskiert.

Die dynamische Maskierung für Athena basiert auf Änderungen der Abfrageergebnismengen. Das bedeutet, dass eine Datenbank eine ursprüngliche Abfrage erhält und auch ursprüngliche Daten zurückgibt. Die Maskierung erfolgt, wenn die Daten durch einen DataSunrise-Proxy gehen, und der Kunde erhält danach verschleierte sensible Daten.