DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

SSL-Zertifikate für den DataSunrise-Datenbank-Proxy einrichten

Wie man die DataSunrise CloudFormation-Vorlage von Launch Configuration (LC) zur Launch Template (LT) Ressource in der Auto Scaling Gruppe migriert Wie man DataSunrise-Ereignisse über einen eingehenden Webhook an einen Microsoft Teams-Kanal sendet, indem man Abonnenten nutzt Wie man die Überwachungsdatenbankdaten auf AWS S3 auslastet und sie mit dem AWS Athena Service liest Konvertieren Sie die Test- oder BYOL-Konfiguration von DataSunrise zu stundenweiser Abrechnung PostgreSQL (RDS) vs Aurora PostgreSQL So beheben Sie Fehler wie „Verbindung wurde beendet“ oder „Verbindung wurde unerwartet beendet“ in Anwendungen, die DataSunrise-Proxys verwenden DataSunrise’s Leistung unter hohen Verkehrsbedingungen DataSunrise’s Ansatz zur Konfiguration von Strafen für die Erkennung von SQL-Injection Wie man spezifische Hosts in DataSunrise für erhöhten Datenbank-Schutz blockiert Fehlerbehebung bei AWS Metering und stundenbasierten Abrechnungsproblemen in DataSunrise auf dem AWS Marketplace Wie man Änderungen an Cloud Formation durchführt Dynamische Datenmaskierung mit DataSunrise: Maskierung mit Lua-Skripten Wie wählt man die richtige Datenbank für Audit-Speicher: Eine Leistungsanalyse Wie man pgbench durch den DataSunrise-Proxy auf PostgreSQL 14 mit SCRAM-Authentifizierung ausführt DataSunrise SSO-Authentifizierung basierend auf SAML (Okta) DataSunrise SSO-Authentifizierung basierend auf OpenID (Okta) Umfassender Leitfaden, wie man nach sensiblen Daten in Bildern sucht, die auf AWS S3 gehostet werden Wie man DataSunrise mit Terraform-Template auf Azure bereitstellt DataSunrise mit SQL Server Always On Cluster integrieren Wie man DataSunrise in Microsoft Azure mithilfe des Azure Resource Manager bereitstellt Wie man DataSunrise Static Data Masking für MongoDB durchführt Wie man das Datenbank-Audit-Trailing für MS Azure MySQL konfiguriert Konfigurieren von DB-Audit-Trailing für MS Azure PostgreSQL Wie man DataSunrise zur Datenmaskierung für Amazon Athena konfiguriert Wie man die RHEL-OS-Version bestehender DataSunrise-Server aktualisiert Wie man DataSunrise mit AWS Database Activity Streams integriert, um Auditergebnisse für AWS Aurora PostgreSQL zu erhalten SSL-Zertifikate für den DataSunrise-Datenbank-Proxy einrichten Berichte in DataSunrise: Wichtige Systeme zur Verbesserung der Datenbanksicherheit Wie man Schemas von Benutzern in Redshift versteckt AWS RDS PostgreSQL Audit Protokolle in DataSunrise Wie man administrative Aktionen in Ihrem Oracle RDS und EC2 überwacht Wie man überprüft, ob DataSunrise Traffic empfängt Wie man ein Verfahren oder eine Funktion aus einer Datenbank entfernt

Die meisten Datenbanken unterstützen die Verifizierung der Serveridentität mittels Zertifikaten. Dabei wird bei einer Verbindung zu einem Server ein Verifizierungsverfahren durchgeführt: Sollte das vom Server empfangene Zertifikat authentisch sein, wird eine Verbindung hergestellt, andernfalls wird dies als ein Man-in-the-Middle-Angriff betrachtet. Diese Serverzertifikatsüberprüfung kann je nach dem DBMS standardmäßig aktiviert/deaktiviert werden. Wir empfehlen jedoch, die Zertifikatsprüfung zu aktivieren, um Ihre Daten sicher zu halten.

Für eine direkte Verbindung zwischen einer Datenbank und einer Clientanwendung funktioniert eine Zertifikatsprüfung wie folgt:

client(CA-cert) <---> server(Server-cert, Server-key)
  • CA-cert – Root-Zertifikat der Zertifizierungsstelle,
  • Server-key – Server-Privatschlüssel
  • Server-cert – vom CA signiertes Serverzertifikat.

Schauen wir uns das Beispiel von MySQL an.

Der MySQL-Client kennt das CA-Zertifikat. Auf der Serverseite befinden sich Server-cert und Server-key. Der Client kann SSL-Modus aktivieren. Der Standardwert von ssl_mode=prefer bedeutet, dass die Serverzertifikatsauthentifizierung deaktiviert ist. Außerdem kann der Parameter ssl_mode auf folgende Werte gesetzt werden:

  • Verify-CA (Ich möchte, dass meine Daten verschlüsselt werden und akzeptiere den Overhead. Ich möchte sicherstellen, dass ich eine Verbindung zu einem vertrauenswürdigen Server herstelle)
  • Verify-Identity (Ich möchte, dass meine Daten verschlüsselt werden und akzeptiere den Overhead. Ich möchte sicherstellen, dass ich eine Verbindung zu einem vertrauenswürdigen Server herstelle und dass es der angegebene Server ist)

Unten ist eine Beispiel-String, die zur Herstellung einer direkten Verbindung mit Zertifikatsprüfung verwendet wird:

$mysql --host=localhost --port=3306 --user=root --ssl-ca=ca.pem --ssl_mode=VERIFY_CA
[root@3306][(none)]>

Das folgende Diagramm zeigt den Prozess der Herstellung einer Verbindung mit aktiviertem DataSunrise Zertifikatsprüfung:

Diagramm

Datasunrise implementiert die End-to-End-Verschlüsselungsfunktionalität in einer Client-Proxy-Server-Kette.

Schauen Sie sich das obige Diagramm an: Es gibt zwei Verbindungen. Die erste Verbindung wird zwischen einem Client und einem DataSunrise-Proxy hergestellt. Die DataSunrise-Proxy-SSL-Konfiguration wird für die Verbindung verwendet. Um diese einzurichten, müssen Proxy-key und Proxy-cert generiert und von der CA-Zertifikate signiert werden. Dies ermöglicht es Ihnen, sicherzustellen, dass Sie eine Verbindung zu einem authentischen DataSunrise-Proxy herstellen.

Die zweite Verbindung wird zwischen einem DataSunrise-Proxy und einem Datenbankserver hergestellt und verwendet seine eigene SSL-Konfiguration. Der DataSunrise-Proxy fungiert hier als Client-App und kann auch eine Verbindung zu einem authentischen Server verifizieren.

Beachten Sie bitte, dass die Zertifikatsauthentifizierung eine zusätzliche Option für die SSL-Verschlüsselung darstellt und nicht funktioniert, wenn die SSL-Verschlüsselung deaktiviert ist.

Es ist auch wichtig, dass der DataSunrise-Proxy ein transparenter Proxy ist und den Verschlüsselungsmodus unterstützt, der zwischen dem Client und dem Datenbankserver ausgehandelt wird. Das bedeutet, dass es unmöglich ist, nur eine Verbindung in der Kette zu verschlüsseln. Der DataSunrise-Proxy kann keine verschlüsselten Daten von einem Ende empfangen und unverschlüsselte Daten an das andere Ende senden und umgekehrt.

Hier sind die Schritte, die Ihnen ermöglichen, eine SSL-Zertifikatsprüfung im DataSunrise einzurichten:

Erste Verbindung

1. Gehen Sie zu KonfigurationSSL-Schlüsselgruppen und klicken Sie auf Gruppe hinzufügen

Gruppe hinzufügen

2. Geben Sie Ihr Proxy-Zertifikat und Ihren Proxy-Schlüssel in die entsprechenden Felder ein. Hierfür müssen Sie den Proxy-Typ auswählen.

Proxy-Typ

3. Gehen Sie zu Konfiguration → Datenbanken. Öffnen Sie Ihre Datenbankinstanz-Seite und klicken Sie auf das „Stift“-Symbol, um die Proxy-Einstellungen zu bearbeiten.

Datenbanken

4. Wählen Sie Ihre SSL-Schlüsselgruppe in der Proxy-Schlüssel Dropdown-Liste und speichern Sie die Einstellungen.

Proxy-Schlüssel

Zweite Verbindung

1. Gehen Sie zu Konfiguration → SSL-Schlüsselgruppe und klicken Sie auf Gruppe hinzufügen. Wählen Sie den Interface-Typ und geben Sie Ihr CA-Zertifikat in das CA-Feld ein.

SSL-Schlüsselgruppe

2. Gehen Sie zu Konfiguration → Datenbanken, wählen Sie Ihre Instanz und klicken Sie auf das “Stift”-Symbol, um die Schnittstelleneinstellungen zu bearbeiten

Instanz

3. Sie müssen die in Schritt eins erstellte Gruppe angeben, den Zertifikatsverifizierungsmodus auswählen und die Einstellungen speichern.

Zertifikatsverifizierung
  • Nicht verifizieren – die Zertifikatsprüfung wird nicht durchgeführt,
  • Nur CA verifizieren – das CA-Zertifikat des Servers wird verifiziert,
  • CA und Identität verifizieren – das CA-Zertifikat des Servers und der Hostname des Servers im Zertifikat wird verifiziert.

Nachdem Sie die obigen Schritte abgeschlossen haben, löst das Herstellen einer Verbindung zu einem Proxy die Zertifikatsprüfung für die beiden Server aus und beseitigt die Möglichkeit von MITM-Angriffen.

$mysql --host=localhost --port=3307 --user=root --ssl-ca=CA_Proxy.crt --ssl_mode=VERIFY_IDENTITY
[root@3307][(none)]>

Did this guide help you?

Contact Us