DataSunrise Logra el Estado de Competencia en AWS DevOps en AWS DevSecOps y Monitoreo, Registro, Rendimiento

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

  • Inicio
  • Guías
  • Cómo Integrar DataSunrise con Streams de Actividad de Base de Datos de AWS para Obtener Resultados de Auditoría para AWS Aurora PostgreSQL

Cómo Integrar DataSunrise con Streams de Actividad de Base de Datos de AWS para Obtener Resultados de Auditoría para AWS Aurora PostgreSQL

Cómo Migrar la Plantilla DataSunrise CloudFormation de Configuración de Lanzamiento (LC) a Recurso de Plantilla de Lanzamiento (LT) en el Grupo de Autoescaleo Cómo Enviar Eventos de DataSunrise a un Canal de Microsoft Teams a través de un Webhook Entrante usando Subscriptos Cómo descargar los datos de la base de datos de auditoría a AWS S3 y leerlos usando el servicio AWS Athena Cómo Convertir la Configuración de Prueba o BYOL de DataSunrise a Facturación por Hora Backend DB: PostgreSQL (RDS) o Aurora PostgreSQL Cómo Solucionar Errores de “Conexión Terminada” o “Conexión Terminada Inesperadamente” en Aplicaciones que Usan Proxies de DataSunrise Explorando el Rendimiento de DataSunrise Bajo Condiciones de Alto Tráfico Enfoque de DataSunrise para Configurar Penalizaciones por Detección de Inyección SQL Cómo Bloquear Hosts Específicos en DataSunrise para Mejorar la Seguridad de la Base de Datos Solución de Problemas de Medición y Facturación Horaria de AWS en DataSunrise en AWS Marketplace Modificación de Cloud Formation Enmascaramiento Dinámico de Datos con DataSunrise: Enmascaramiento con Scripts Lua Cómo Elegir la Base de Datos para Almacenamiento de Auditoría: Un Análisis de Rendimiento Cómo Ejecutar pgbench a través del Proxy DataSunrise en PostgreSQL 14 con Autenticación SCRAM Controlar la Visibilidad de los Nombres de las Tablas Instalar el paquete DataSunrise desde el repositorio DEB (para Debian 12/Ubuntu 22) Autenticación SSO de DataSunrise Basada en SAML (Okta) Autenticación SSO de DataSunrise Basada en OpenID (Okta) Cómo Buscar Datos Sensibles en Imágenes Alojadas en AWS S3 Cómo Desplegar DataSunrise con Plantilla de Terraform en Azure Cómo Integrar DataSunrise con SQL Server Always On Cluster Cómo Desplegar DataSunrise en Microsoft Azure Usando Azure Resource Manager Cómo Realizar el Enmascaramiento Estático de Datos de DataSunrise para MongoDB Cómo Configurar el Registro de Auditoría de DB para MS Azure MySQL Cómo Configurar el Seguimiento de Auditoría de DB para MS Azure PostgreSQL Cómo Configurar DataSunrise para Enmascarar Datos en Amazon Athena Cómo actualizar la versión del sistema operativo RHEL de los servidores DataSunrise existentes Cómo Integrar DataSunrise con Streams de Actividad de Base de Datos de AWS para Obtener Resultados de Auditoría para AWS Aurora PostgreSQL Cómo Configurar Certificados SSL para el Proxy de Base de Datos de DataSunrise Generación de Informes en DataSunrise Cómo Ocultar Esquemas a los Usuarios en Redshift Presentando una Consola Centralizada DataSunrise Totalmente Nueva Registros de Auditoría de AWS RDS PostgreSQL en DataSunrise Enmascarado de Texto No Estructurado en AWS S3 Enmascaramiento de Datos en el Lugar Cómo Auditar Acciones Administrativas en su Oracle RDS y EC2 DataSunrise Reglas Mejores Prácticas Un script Lua descubre datos sensibles en archivos JSON Cómo Comprobar si DataSunrise Recibe Tráfico Cómo Eliminar un Procedimiento o una Función de una Base de Datos Principios Básicos del Enmascaramiento Dinámico Instalar DataSunrise desde el repositorio RPM (para RHEL, CentOS 8/9) Instalar DataSunrise desde el repositorio DEB (Debian, Ubuntu) Guía de Seguridad Reglas de Seguridad Contra Inyecciones SQL Guía de Auditoría Reglas de Aprendizaje y Auditoría Prioridad de Reglas Guía de Enmascaramiento Dinámico de Datos Enmascaramiento de Datos Estático

Resumen de los métodos de auditoría de actividad de bases de datos

Hoy en día, la auditoría de bases de datos se vuelve cada vez más importante debido a numerosas leyes y regulaciones dedicadas a la protección de datos sensibles como el GDPR, KVKK, etc.

Técnicamente, existen múltiples métodos de auditoría de bases de datos, los más populares son:

  • Proxificación del tráfico de base de datos;
  • Escucha pasiva del tráfico de base de datos;
  • Lectura de registros recolectados por herramientas de auditoría nativas de la base de datos;
  • Integración con servicios de auditoría dedicados como AWS DAS.

Cada enfoque tiene sus propios pros y contras, limitaciones y oportunidades. Los usuarios de Amazon pueden considerar los dos últimos enfoques como los más adecuados para sus necesidades. Estos métodos permiten a los usuarios de AWS notificar al personal de seguridad sobre eventos específicos de la base de datos, crear informes sobre la actividad en el clúster de Aurora PG, etc.

Los streams de actividad de base de datos de AWS (DAS) proporcionan un flujo de datos de la actividad en su clúster de base de datos casi en tiempo real y le ofrecen las siguientes ventajas sobre los mecanismos nativos de registro de bases de datos (funcionalidad de registros de auditoría de base de datos de DataSunrise):

  • El proceso de configuración de DAS es mucho más simple que configurar el “trailing” regular basado en archivos de registro. Tampoco necesita espacio de almacenamiento adicional para guardar los registros;
  • Aumento de la protección contra amenazas internas: los administradores de bases de datos no tienen acceso a la recopilación, transmisión, almacenamiento y procesamiento de los streams de actividad de bases de datos;
  • DAS proporciona más flexibilidad que el “trailing” regular gracias a los modos Sincrónico y Asincrónico disponibles.

El principal inconveniente de DAS es la incompatibilidad con algunas clases de instancias RDS y versiones de Amazon Aurora.

El siguiente diagrama muestra un clúster de Aurora PG integrado con DataSunrise:

Aquí, un clúster de Aurora PG con DAS habilitado. Aurora envía datos de actividad de la base de datos a AWS Kinesis. Los streams de actividad se encriptan utilizando una clave de encriptación de AWS KMS. Kinesis, a su vez, pasa los streams de actividad de base de datos a DataSunrise, que se utiliza como herramienta de monitoreo de bases de datos. DataSunrise consume los streams y guarda los resultados de auditoría en su almacenamiento de auditoría. Luego, los eventos de la base de datos capturados se muestran en la sección de trails transaccionales de la Consola Web de DataSunrise.

Requisitos previos para el clúster de Aurora PG

Antes de configurar DAS, asegúrese de que su entorno de AWS cumpla con los requisitos detallados a continuación.

Versiones soportadas de la base de datos de Aurora PostgreSQL:

  • Todas las versiones 13
  • Todas las versiones 12
  • Versión 11.6 y versiones superiores de la 11
  • Versión 10.11 y versiones superiores de la 10

Clases de instancias AWS RDS soportadas:

  • db.r6g
  • db.r5
  • db.r4
  • db.x2g

Los streams de actividad de base de datos son soportados en todas las regiones de AWS excepto en las siguientes:

  • Región China (Beijing), cn-north-1
  • Región China (Ningxia), cn-northwest-1
  • AWS GovCloud (US-East), us-gov-east-1
  • AWS GovCloud (US-West), us-gov-west-1

Miscelánea:

  • DAS requiere el uso de AWS Key Management Service (AWS KMS). AWS KMS es necesario porque los streams de actividad siempre están encriptados
  • Los streams de actividad de base de datos requieren el uso de Amazon Kinesis

Leer más: https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/DBActivityStreams.Overview.html#DBActivityStreams.Overview.requirements.version

Creación de una clave de AWS KMS

Dado que los streams de actividad siempre están encriptados, necesita utilizar una clave de encriptación. Aurora utiliza la clave de KMS para encriptar la clave que a su vez encripta la actividad de la base de datos. Si no tiene una clave de KMS, créela.

Navegue al Key Management System (KMS) de AWS, haga clic en Crear una clave. Configure las siguientes opciones para su clave:

  • Tipo de clave: Simétrica
  • Origen del material de la clave: KMS
  • Regionalidad: Clave de una sola región
  • Política de clave: predeterminada

Leer más: https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html

Iniciando DAS para su clúster de Aurora PG

Habiendo preparado su entorno RDS Aurora PG, puede iniciar los streams de actividad de la base de datos.

Navegue al Servicio de Bases de Datos Relacionales Administradas (RDS), seleccione Bases de Datos, elija el clúster de base de datos para habilitar un stream de actividad, haga clic en Acciones -> Iniciar stream de actividad de base de datos:

Configure DAS de la siguiente manera:

  • Clave maestra: su clave de KMS
  • Modo de stream de actividad de base de datos: Asincrónico o Sincrónico. Recomendamos usar el modo Sincrónico porque favorece la precisión del stream de actividad sobre el rendimiento de la base de datos. La diferencia entre estos dos modos puede encontrarla aquí.
  • Aplicar inmediatamente: si desea aplicar los cambios de forma inmediata o programada.
  • Puede acceder al stream en la sección de Configuración de los ajustes de su clúster (Stream de actividad de base de datos -> Stream de Kinesis): Leer más: https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/DBActivityStreams.Enabling.html

Configuración de auditoría basada en DAS en DataSunrise

Habiendo iniciado DAS para su clúster de Aurora, puede proceder a configurar DataSunrise para consumir los streams de actividad de base de datos.

Para habilitar que DataSunrise trabaje con DAS, su usuario de IAM necesita acceso a algunas funciones de Kinesis, KMS y RDS. Para otorgar los permisos necesarios, navegue a Identity and Access Management (IAM) -> Usuarios, y adjunte la siguiente política a su Usuario:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
            "Kinesis:DescribeStreamSummary",
            "Kinesis:ListShards",
            "Kinesis:GetShardIterator",
            "Kinesis:GetRecords",
            "Kinesis:DescribeStreamSummary",
            "KMS:Decrypt",
            "RDS:DescribeDBClusters"],
            "Resource": ["<ARN de su stream de Kinesis>","<ARN de su clave de KMS>","<ARN de su RDS DB>"]
        }
    ]
}

Crear una nueva Instancia de Base de Datos Aurora PG o usar una existente. Abra la Consola Web de DataSunrise y navegue a Configuración -> Bases de Datos.

  • Proporcione los detalles de conexión para su base de datos Aurora PG. Especifique el punto final de su clúster de Aurora PG en el campo Host;
  • En la sección Modo de Captura de la página de la Instancia, seleccione Trailing de los Registros de Auditoría de la DB desde la lista desplegable Modo;
  • En la lista desplegable Tipo de Formato, seleccione Stream de actividad de base de datos;
  • Rellene todos los campos requeridos. Guarde la Instancia.

Crear una Regla de auditoría de datos para su Instancia de Aurora PG: navegue a Auditoría -> Reglas y cree una Regla

Para los resultados de auditoría, navegue a Auditoría -> Trails Transaccionales. Tenga en cuenta que los resultados pueden aparecer con un retardo de aproximadamente 5-10 minutos.

También puede ajustar la auditoría basada en DAS de DataSunrise cambiando los siguientes parámetros (Configuraciones del Sistema -> Parámetros Adicionales):

  • TrailDASIntervalTime: período de tiempo para obtener una lista de eventos (por ejemplo, los últimos 5 minutos a partir del último registro);
  • TrailDASOffsetTime: retardo de tiempo para obtener eventos (necesario para sincronización, en segundos).

Did this guide help you?

Contact Us