DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Seguridad de Athena

Seguridad de Athena

Esquema de Seguridad de Amazon Athena

Contenido:


Comprender Athena

Imagine un escenario donde necesita recopilar datos de diversos archivos de registro y almacenarlos en una base de datos. Sin embargo, el desafío radica en la multitud de tipos y formatos de archivos de registro: CSV, JSON, TSV y más. ¿No sería conveniente tener un bucket de S3 donde simplemente colocar un archivo haga que sus datos sean accesibles a través de consultas SQL estándar?

Amazon Athena se considera un servicio sin servidor proporcionado por Amazon Web Services (AWS). Le permite consultar datos almacenados en Amazon S3 utilizando sintaxis SQL estándar sin necesidad de gestionar ninguna infraestructura. Esta naturaleza sin servidor significa que no necesita proporcionar o gestionar servidores; solo paga por las consultas que ejecuta.

En este artículo, exploraremos las funciones de seguridad integradas de AWS y cómo DataSunrise puede mejorar aún más la seguridad de Athena.

Descripción General del Flujo de Trabajo de Athena

Cuando crea una tabla en Athena, especifica la ubicación de los datos en un bucket de S3, y Athena escanea los datos para inferir el esquema y los metadatos para esa tabla. Este proceso de inferencia típicamente ocurre cuando ejecuta una consulta contra la tabla.

Manejo de Nuevos Datos en Athena

Si agrega nuevos archivos a la misma ubicación de S3 después de que se haya creado la tabla, Athena no creará automáticamente nuevas tablas para cada archivo. En su lugar, reconocerá e incorporará automáticamente los nuevos archivos en el esquema de la tabla existente si tienen la misma estructura (es decir, los mismos nombres de columna y tipos de datos) que los archivos originales utilizados para crear la tabla.

La tabla existente en Athena representará todos los archivos de datos en la ubicación de S3 especificada como un único conjunto de datos lógico. Athena trata los datos combinados de todos estos archivos como parte de la misma tabla, permitiéndole consultar todo el conjunto de datos sin necesidad de crear tablas adicionales.

Sin embargo, si los nuevos archivos tienen un esquema diferente del/los archivo(s) original(es), Athena puede no ser capaz de incorporarlos automáticamente en la tabla existente, y es posible que necesite actualizar manualmente el esquema de la tabla o crear una nueva tabla para acomodar la nueva estructura de archivos.

La Perspectiva de Seguridad

Funciones de Seguridad Integradas de AWS para Athena

AWS proporciona varias medidas de seguridad integradas para proteger su entorno de Athena. Estas incluyen:

  • Políticas de IAM: Gestionar permisos de usuario y controlar el acceso a los recursos de Athena.
  • Encriptación: Asegurar datos en reposo utilizando la encriptación del lado del servidor de Amazon S3 o la encriptación del lado del cliente.
  • Aislamiento de Red: Utilizar Amazon VPC para aislar su entorno de red de Athena.
  • Registro y Monitoreo: Utilizar AWS CloudTrail y Amazon CloudWatch para la auditoría y el monitoreo en tiempo real de las actividades de Athena.

Estas funciones fundamentales forman la base de la seguridad de Athena, asegurando que sus datos estén protegidos desde el principio.

Registro y Monitoreo: Especificaciones para Athena

Amazon Athena viene con varias funciones de monitoreo y registro integradas como parte del ecosistema de la nube de AWS. Sin embargo, a pesar de tener muchas herramientas de monitoreo esenciales que proporcionan datos de uso a nivel de fila, carece de reglas de seguridad orientadas a bases de datos, descubrimiento de datos sensibles, enmascaramiento y capacidades de análisis del comportamiento de los usuarios proporcionadas de manera nativa por DataSunrise. Si bien las herramientas integradas son cruciales para mejorar la seguridad, requieren análisis y procesamiento de datos adicionales.

  • Métricas de Ejecución de Consultas: Amazon Athena proporciona métricas detalladas de ejecución de consultas.
  • Integración con AWS CloudWatch Logs: Athena puede publicar registros de ejecución de consultas en Amazon CloudWatch Logs.
  • Integración con AWS CloudTrail: Athena se integra con AWS CloudTrail, que proporciona un rastro de auditoría completo de la actividad de la API y el uso de recursos dentro de su cuenta de AWS.
  • Historial de Consultas: Amazon Athena mantiene un historial de consultas que le permite ver detalles de ejecuciones de consultas pasadas.
  • Registros de Acceso a S3: Si sus consultas de Athena acceden a datos almacenados en buckets de Amazon S3, puede habilitar el Registro de Acceso del Servidor S3 para rastrear solicitudes de la API de S3.
  • Explorador de Costos: AWS Cost Explorer le permite visualizar y analizar su uso y gastos en AWS, incluidos los costos asociados con las consultas de Athena.

Mejoramiento de la Seguridad de Athena con DataSunrise

DataSunrise lleva la seguridad de Athena al siguiente nivel con su conjunto de herramientas de seguridad diseñadas específicamente para Amazon Athena. Así es como DataSunrise fortalece la seguridad de Athena:

  • Monitoreo en Tiempo Real: Monitoriza continuamente la actividad de la base de datos, detectando y alertando sobre eventos sospechosos.
  • Firewall de Base de Datos: Protege contra inyecciones SQL e intentos de acceso no autorizados, bloqueando consultas maliciosas al instante.
  • Descubrimiento de Datos Sensibles: Identifica y enmascara datos sensibles para cumplir con los estándares regulatorios.
  • Autenticación de Dos Factores: Agrega una capa adicional de seguridad para el acceso a la base de datos.
  • Enmascaramiento: Oscurece datos específicos. Para habilitar cualquiera de los tipos de enmascaramiento, DataSunrise debe desplegarse en Modo Proxy.

Al integrar DataSunrise con Athena, las organizaciones pueden alcanzar una postura de seguridad más robusta.

Consideraciones Clave para Instancias de Bases de Datos de Athena

Al trabajar con instancias de bases de datos de Athena, es crucial tener en cuenta lo siguiente:

  • Gestión de Acceso a Consultas: Asegúrese de que solo los usuarios autorizados puedan ejecutar consultas sobre datos sensibles.
  • Gestión de Costos: Sea consciente de los costos de las consultas y optimice las consultas para prevenir gastos innecesarios.
  • Clasificación de Datos: Clasifique los datos en función de su sensibilidad y aplique los controles de seguridad apropiados.

Estas consideraciones son especialmente importantes para las instancias de Athena debido a su naturaleza sin servidor y la interacción directa con datos almacenados en S3.

Dado que el servicio de Athena difiere de las bases de datos regulares, puede haber algunas diferencias en su integración con DataSunrise. Al crear una instancia para Athena en DataSunrise, el usuario genera un nuevo par de llaves SSL para el proxy. Sin embargo, para otros tipos de bases de datos, existe una opción para ‘Sin Grupo de Llaves SSL’. En Enmascaramiento Dinámico, solo los datos enmascarados están disponibles en la Configuración de Enmascaramiento. Recuerde consultar la documentación cuando sea necesario.

Auditoría y Enmascaramiento de Consultas de Athena en DataSunrise

DataSunrise ofrece una interfaz flexible y fácil de usar para configurar auditoría y enmascaramiento funcionalidades. Las imágenes a continuación destacan el proceso de configuración de DataSunrise y los resultados de la ejecución de una solicitud SELECT *.

Consultas Auditadas por Proxy

Figura 1: Las solicitudes para una tabla en Athena son auditadas. El registro de la regla de auditoría captura varias informaciones sobre la solicitud, incluida su resultado si es necesario.

Configuraciones de Enmascaramiento para la seguridad de Athena en DataSunrise

Figura 2: Se muestran las configuraciones de enmascaramiento para el servicio de Athena. Note la capacidad de especificar la columna para enmascarar y el método de enmascaramiento seleccionado.

En DataSunrise, ofrecemos una flexibilidad sin igual en el enmascaramiento de datos, permitiéndole ajustar sus estrategias de protección de datos según sus necesidades únicas. Ya sea aplicando técnicas simples de enmascaramiento para ocultar todos los datos con líneas vacías o preservando formatos específicos como correos electrónicos mientras se enmascaran otras columnas, nuestra plataforma le permite personalizar sus medidas de seguridad de datos con precisión y facilidad.

Resultados de Tabla Enmascarada para la Seguridad de Athena

Figura 3: La tabla completa seleccionada para enmascaramiento. Todos los datos en el resultado de la consulta se reemplazan con líneas vacías.

Resultados de Columna de Correos Enmascarados para la Seguridad de Athena

Figura 4: La columna ’email’ después del enmascaramiento. Se seleccionó el método ‘Enmascaramiento de Correos’ en la configuración de reglas de Enmascaramiento Dinámico de DataSunrise.

Explore la funcionalidad integral de DataSunrise, que se extiende más allá de las capacidades de Auditoría y Enmascaramiento, con una cobertura excepcional en varias bases de datos, incluida Athena de AWS. Contacte a nuestro equipo hoy para una demostración informativa y desbloquee todo el potencial de la seguridad de datos con DataSunrise.

Conclusión: Mejorando la Seguridad de Athena con DataSunrise

En conclusión, mientras AWS proporciona sólidas funciones de seguridad fundamentales para Athena, DataSunrise mejora la seguridad de Athena ofreciendo capas adicionales de protección. Con su monitoreo integral, capacidades de firewall y gestión de datos sensibles, DataSunrise asegura que su infraestructura corporativa en la nube se mantenga segura y en cumplimiento. Al aprovechar tanto las funciones integradas de AWS como las herramientas avanzadas de DataSunrise, las organizaciones pueden crear un entorno más confiable y seguro para sus datos en Amazon Athena.

Siguiente

Cómo proteger la base de datos MySQL de los hackers

Cómo proteger la base de datos MySQL de los hackers

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]