DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Wie man SSL-Zertifikate für den DataSunrise-Datenbankproxy einrichtet

Wie man die DataSunrise CloudFormation-Vorlage von Launch Configuration (LC) zu Launch Template (LT) Ressource in Auto Scaling Group migriert Wie man DataSunrise-Ereignisse über eingehendes Webhook mit Abonnenten an einen Microsoft Teams-Kanal sendet Wie man die Überwachungsdatenbankdaten auf AWS S3 auslastet und sie mit dem AWS Athena Service liest So wandeln Sie die Test- oder BYOL-Konfiguration von DataSunrise in stundenweise Abrechnung um Backend-DB: PostgreSQL (RDS) oder Aurora PostgreSQL So beheben Sie “Verbindung wurde beendet” oder “Verbindung unerwartet beendet” Fehler in Anwendungen, die DataSunrise-Proxys verwenden Untersuchung der Leistung von DataSunrise unter hohen Verkehrsauslastungen DataSunrises Ansatz zur Konfiguration von Strafen für die Erkennung von SQL-Injection Wie man spezifische Hosts in DataSunrise für erhöhte Datenbanksicherheit blockiert Fehlerbehebung bei AWS-Abrechnung und stündlichen Abrechnungsproblemen in DataSunrise auf dem AWS Marketplace Cloud Formation Anpassung Dynamische Datenmaskierung mit DataSunrise: Maskierung mit Lua-Skripten Wie wählt man die richtige Datenbank für Audit-Speicher: Eine Leistungsanalyse Wie man pgbench durch den DataSunrise-Proxy auf PostgreSQL 14 mit SCRAM-Authentifizierung ausführt DataSunrise SSO-Authentifizierung basierend auf SAML (Okta) DataSunrise SSO-Authentifizierung basierend auf OpenID (Okta) Wie man nach sensiblen Daten in Bildern sucht, die auf AWS S3 gehostet werden Wie man DataSunrise mit Terraform-Template auf Azure bereitstellt Wie man DataSunrise mit SQL Server Always On Cluster integriert Wie man DataSunrise in Microsoft Azure mithilfe des Azure Resource Manager bereitstellt Wie man DataSunrise Static Data Masking für MongoDB durchführt Wie man das Datenbank-Audit-Trailing für MS Azure MySQL konfiguriert Wie man DB Audit Trailing für MS Azure PostgreSQL konfiguriert Wie man DataSunrise zur Datenmaskierung für Amazon Athena konfiguriert Wie man die RHEL OS-Version bestehender DataSunrise-Server aktualisiert Wie man DataSunrise mit AWS Database Activity Streams integriert, um Auditergebnisse für AWS Aurora PostgreSQL zu erhalten Wie man SSL-Zertifikate für den DataSunrise-Datenbankproxy einrichtet Wie man Berichte in DataSunrise erstellt Wie man Schemas von Benutzern in Redshift versteckt AWS RDS PostgreSQL Audit Protokolle in DataSunrise Wie man administrative Aktionen in Ihrem Oracle RDS und EC2 überwacht Wie überprüft man, ob DataSunrise Datenverkehr von der Clientanwendung und der geschützten Datenbank erhält Wie man ein Verfahren oder eine Funktion aus einer Datenbank entfernt

Die meisten Datenbanken unterstützen die Überprüfung der Serveridentität mittels Zertifikaten. So wird beim Verbindungsaufbau zu einem Server ein Verifikationsprozess durchgeführt: Wenn das vom Server empfangene Zertifikat authentisch ist, wird eine Verbindung hergestellt; andernfalls wird dies als „Man-in-the-Middle“-Angriff betrachtet. Standardmäßig kann diese Serverzertifikatsprüfung je nach DBMS aktiviert oder deaktiviert werden. Wir empfehlen jedoch, die Zertifikatsprüfung zu aktivieren, um Ihre Daten zu schützen.

Bei einer direkten Verbindung zwischen einer Datenbank und einer Clientanwendung funktioniert eine Zertifikatsprüfung wie folgt:

Client(CA-Zertifikat) <---> Server(Server-Zertifikat, Server-Schlüssel)
  • CA-Zertifikat – Wurzelzertifikat der Zertifizierungsstelle,
  • Server-Schlüssel – privater Schlüssel des Servers
  • Server-Zertifikat – vom CA unterschriebenes Serverzertifikat.

Werfen wir einen Blick auf MySQL als Beispiel.

Der MySQL-Client kennt das CA-Zertifikat. Auf der Serverseite gibt es Server-Zertifikat und Server-Schlüssel. Der Client kann den SSL-Modus aktivieren. Der Standardwert ssl_mode=prefer bedeutet, dass die Serverzertifikatsauthentifizierung deaktiviert ist. Außerdem kann der Parameter ssl_mode auf:

  • Verify-CA (Ich möchte meine Daten verschlüsseln und nehme den Overhead in Kauf. Ich möchte sicherstellen, dass ich mich mit einem vertrauenswürdigen Server verbinde)
  • Verify-Identity (Ich möchte meine Daten verschlüsseln und nehme den Overhead in Kauf. Ich möchte sicherstellen, dass ich mich mit einem vertrauenswürdigen Server verbinde und dass es der angegebene Server ist)

Unten steht eine Beispielzeichenfolge für die Herstellung einer direkten Verbindung mit Zertifikatsprüfung:

$mysql --host=localhost --port=3306 --user=root --ssl-ca=ca.pem --ssl_mode=VERIFY_CA
[root@3306][(none)]>

Das folgende Diagramm zeigt den Prozess der Herstellung einer Verbindung mit aktivierter DataSunrise-Zertifikatsprüfung:

diagram

Datasunrise implementiert die End-to-End-Verschlüsselungsfunktionalität in einer Client-Proxy-Server-Kette.

Sehen Sie sich das obige Diagramm an: Es gibt zwei Verbindungen. Die erste Verbindung wird zwischen einem Client und einem DataSunrise-Proxy hergestellt. Die DataSunrise-Proxy-SSL-Konfiguration wird für die Verbindung verwendet. Um diese einzurichten, benötigen Sie Proxy-Schlüssel und Proxy-Zertifikat, die vom CA-Zertifikat erstellt und unterzeichnet wurden. Dies ermöglicht Ihnen sicherzustellen, dass Sie sich mit einem echten DataSunrise-Proxy verbinden.

Die zweite Verbindung wird zwischen einem DataSunrise-Proxy und einem Datenbankserver hergestellt und verwendet ihre eigene SSL-Konfiguration. Der DataSunrise-Proxy fungiert hier als Clientanwendung und kann auch eine Verbindung zu einem authentischen Server überprüfen.

Bitte beachten Sie, dass die Zertifikatsauthentifizierung eine zusätzliche Option für die SSL-Verschlüsselung ist und nicht funktioniert, wenn die SSL-Verschlüsselung deaktiviert ist.

Es ist auch wichtig, dass der DataSunrise-Proxy ein transparenter Proxy ist und den vom Client und dem Datenbankserver verhandelten Verschlüsselungsmodus unterstützt. Dies bedeutet, dass es unmöglich ist, nur eine Verbindung in der Kette zu verschlüsseln. Der DataSunrise-Proxy kann keinen verschlüsselten Datenverkehr von einem Ende empfangen und unverschlüsselten Datenverkehr an ein anderes Ende senden und umgekehrt.

Hier sind die Schritte, die Ihnen ermöglichen, eine SSL-Zertifikatsprüfung in DataSunrise einzurichten:

Erste Verbindung

1. Navigieren Sie zu KonfigurationSSL-Schlüsselgruppen und klicken Sie auf Gruppe hinzufügen

Gruppe hinzufügen

2. Geben Sie Ihr Proxy-Zertifikat und Ihren Proxy-Schlüssel in die entsprechenden Felder ein. Dazu müssen Sie den Proxy-Typ wählen.

Proxy-Typ

3. Navigieren Sie zu Konfiguration → Datenbanken. Öffnen Sie Ihre Datenbank-Instanzseite und klicken Sie auf das „Stift“-Symbol, um die Proxy-Einstellungen zu bearbeiten.

Datenbanken

4. Wählen Sie Ihre SSL-Schlüsselgruppe in der Proxy-Schlüssel-Dropdown-Liste aus und speichern Sie die Einstellungen.

Proxy-Schlüssel

Zweite Verbindung

1. Navigieren Sie zu Konfiguration → SSL-Schlüsselgruppe und klicken Sie auf Gruppe hinzufügen. Wählen Sie den Schnittstellen-Typ und geben Sie Ihr CA-Zertifikat in das CA-Feld ein.

SSL-Schlüsselgruppe

2. Navigieren Sie zu Konfiguration → Datenbanken, wählen Sie Ihre Instanz aus und klicken Sie auf das „Stift“-Symbol, um die Schnittstelleneinstellungen zu bearbeiten

Instanz

3. Sie müssen die in Schritt 1 erstellte Gruppe angeben, den Modus zur Zertifikatsüberprüfung auswählen und die Einstellungen speichern.

Zertifikatsüberprüfung
  • Nicht überprüfen – Zertifikatsprüfung wird nicht durchgeführt,
  • Nur CA überprüfen – das CA-Zertifikat des Servers wird überprüft,
  • CA und Identität überprüfen – das CA-Zertifikat des Servers und der Hostname des Servers im Zertifikat werden überprüft.

Nachdem Sie die obigen Schritte abgeschlossen haben, löst das Verbinden mit einem Proxy die Zertifikatsprüfung für die beiden Server aus und eliminiert die Möglichkeit von MITM-Angriffen.

$mysql --host=localhost --port=3307 --user=root --ssl-ca=CA_Proxy.crt --ssl_mode=VERIFY_IDENTITY
[root@3307][(none)]>

Did this guide help you?

Contact Us