DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

  • Inicio
  • Guías
  • Cómo Configurar Certificados SSL para el Proxy de Base de Datos de DataSunrise

Cómo Configurar Certificados SSL para el Proxy de Base de Datos de DataSunrise

Cómo Migrar la Plantilla DataSunrise CloudFormation de Configuración de Lanzamiento (LC) a Recurso de Plantilla de Lanzamiento (LT) en el Grupo de Autoescaleo Cómo Enviar Eventos de DataSunrise a un Canal de Microsoft Teams a través de un Webhook Entrante usando Subscriptos Cómo descargar los datos de la base de datos de auditoría a AWS S3 y leerlos usando el servicio AWS Athena Cómo Convertir la Configuración de Prueba o BYOL de DataSunrise a Facturación por Hora Backend DB: PostgreSQL (RDS) o Aurora PostgreSQL Cómo Solucionar Errores de “Conexión Terminada” o “Conexión Terminada Inesperadamente” en Aplicaciones que Usan Proxies de DataSunrise Explorando el Rendimiento de DataSunrise Bajo Condiciones de Alto Tráfico Enfoque de DataSunrise para Configurar Penalizaciones por Detección de Inyección SQL Cómo Bloquear Hosts Específicos en DataSunrise para Mejorar la Seguridad de la Base de Datos Solución de Problemas de Medición y Facturación Horaria de AWS en DataSunrise en AWS Marketplace Modificación de Cloud Formation Enmascaramiento Dinámico de Datos con DataSunrise: Enmascaramiento con Scripts Lua Cómo Elegir la Base de Datos para Almacenamiento de Auditoría: Un Análisis de Rendimiento Cómo Ejecutar pgbench a través del Proxy DataSunrise en PostgreSQL 14 con Autenticación SCRAM Controlar la Visibilidad de los Nombres de las Tablas Instalar el paquete DataSunrise desde el repositorio DEB (para Debian 12/Ubuntu 22) Autenticación SSO de DataSunrise Basada en SAML (Okta) Autenticación SSO de DataSunrise Basada en OpenID (Okta) Cómo Buscar Datos Sensibles en Imágenes Alojadas en AWS S3 Cómo Desplegar DataSunrise con Plantilla de Terraform en Azure Cómo Integrar DataSunrise con SQL Server Always On Cluster Cómo Desplegar DataSunrise en Microsoft Azure Usando Azure Resource Manager Cómo Realizar el Enmascaramiento Estático de Datos de DataSunrise para MongoDB Cómo Configurar el Registro de Auditoría de DB para MS Azure MySQL Cómo Configurar el Seguimiento de Auditoría de DB para MS Azure PostgreSQL Cómo Configurar DataSunrise para Enmascarar Datos en Amazon Athena Cómo actualizar la versión del sistema operativo RHEL de los servidores DataSunrise existentes Cómo Integrar DataSunrise con Streams de Actividad de Base de Datos de AWS para Obtener Resultados de Auditoría para AWS Aurora PostgreSQL Cómo Configurar Certificados SSL para el Proxy de Base de Datos de DataSunrise Generación de Informes en DataSunrise Cómo Ocultar Esquemas a los Usuarios en Redshift Presentando una Consola Centralizada DataSunrise Totalmente Nueva Registros de Auditoría de AWS RDS PostgreSQL en DataSunrise Enmascarado de Texto No Estructurado en AWS S3 Enmascaramiento de Datos en el Lugar Cómo Auditar Acciones Administrativas en su Oracle RDS y EC2 DataSunrise Reglas Mejores Prácticas Un script Lua descubre datos sensibles en archivos JSON Cómo Comprobar si DataSunrise Recibe Tráfico Cómo Eliminar un Procedimiento o una Función de una Base de Datos Principios Básicos del Enmascaramiento Dinámico Instalar DataSunrise desde el repositorio RPM (para RHEL, CentOS 8/9) Instalar DataSunrise desde el repositorio DEB (Debian, Ubuntu) Guía de Seguridad Reglas de Seguridad Contra Inyecciones SQL Guía de Auditoría Reglas de Aprendizaje y Auditoría Prioridad de Reglas Guía de Enmascaramiento Dinámico de Datos Enmascaramiento de Datos Estático

La mayoría de las bases de datos soportan la verificación de la identidad del servidor mediante el uso de certificados. Por lo tanto, se realiza un procedimiento de verificación durante una conexión a un servidor: si el certificado recibido del servidor es auténtico, se establecerá una conexión; de lo contrario, será considerado como un ataque de intermediario. Por defecto, esta verificación del certificado del servidor puede habilitarse o deshabilitarse dependiendo del sistema de gestión de bases de datos (DBMS). Sin embargo, recomendamos habilitar la verificación de certificados para mantener su información segura.

Para una conexión directa entre una base de datos y una aplicación cliente, la verificación del certificado funciona de la siguiente manera:

cliente(CA-cert) <---> servidor(Server-cert, Server-key)
  • CA-cert – certificado raíz de la autoridad de certificación,
  • Server-key – clave privada del servidor
  • Server-cert – certificado del servidor firmado por la CA.

Veamos MySQL como ejemplo.

El cliente de MySQL tiene conocimiento del certificado CA. Hay Server-cert y Server-key en el lado del servidor. El modo SSL puede ser habilitado por el cliente. El valor por defecto de ssl_mode=prefer significa que la autenticación del certificado del servidor está deshabilitada. Además, el parámetro ssl_mode puede configurarse a:

  • Verify-CA (Quiero que mis datos estén encriptados y acepto la sobrecarga. Quiero estar seguro de que me estoy conectando a un servidor en el que confío)
  • Verify-Identity (Quiero que mis datos estén encriptados y acepto la sobrecarga. Quiero estar seguro de que me estoy conectando a un servidor en el que confío y que es el especificado)

A continuación se muestra una cadena de ejemplo utilizada para establecer una conexión directa con verificación de certificado:

$mysql --host=localhost --port=3306 --user=root --ssl-ca=ca.pem --ssl_mode=VERIFY_CA
[root@3306][(none)]>

El siguiente diagrama muestra el proceso de establecimiento de una conexión con la verificación de certificados de DataSunrise habilitada:

diagram

DataSunrise implementa la funcionalidad de encriptación de extremo a extremo en una cadena cliente-proxy-servidor.

Observe el diagrama anterior: hay dos conexiones. La primera conexión se establece entre un cliente y un proxy de DataSunrise. La configuración SSL del proxy de DataSunrise se utiliza para la conexión. Para configurarlo, necesita tener Proxy-key y Proxy-cert generados y firmados por el certificado CA. Esto le permite estar seguro de que se está conectando a un proxy de DataSunrise genuino.

La segunda conexión se establece entre un proxy de DataSunrise y un servidor de base de datos y se utiliza su propia configuración SSL. El proxy de DataSunrise funciona como una aplicación cliente aquí y también puede verificar una conexión a un servidor auténtico.

Tenga en cuenta que la autenticación de certificados es una opción adicional para la encriptación SSL, no funciona si la encriptación SSL está deshabilitada.

También es importante que el proxy de DataSunrise sea un proxy transparente y soporte el modo de encriptación que se negocie entre el cliente y el servidor de base de datos. Esto significa que es imposible encriptar solo una conexión en la cadena. El proxy de DataSunrise no puede recibir tráfico encriptado de un extremo y enviar tráfico no encriptado al otro extremo y viceversa.

A continuación se presentan los pasos que le permiten configurar una verificación de certificados SSL en DataSunrise:

Primera conexión

1. Navegue a ConfiguraciónGrupos de Claves SSL y haga clic en Agregar Grupo

Agregar Grupo

2. Ingrese su Proxy-cert y Proxy-key en los campos correspondientes. Para esto, debe elegir el tipo de Proxy.

Tipo de Proxy

3. Navegue a Configuración → Bases de Datos. Abra la página de su instancia de base de datos y haga clic en el icono del “lápiz” para editar la configuración del proxy.

Bases de Datos

4. Seleccione su Grupo de Claves SSL en la lista desplegable Claves de Proxy y guarde la configuración.

Claves de Proxy

Segunda conexión

1. Navegue a Configuración → Grupo de Claves SSL y haga clic en Agregar Grupo. Seleccione el tipo Interfaz e ingrese su CA-cert en el campo CA.

Grupo de Claves SSL

2. Navegue a Configuración → Bases de Datos, seleccione su Instancia y haga clic en el icono del “lápiz” para editar la configuración de la interfaz

Instancia

3. Debe especificar el grupo creado en el primer paso, seleccionar el modo de verificación de certificados y guardar la configuración.

verificación de certificado
  • No verificar – no se realizará la verificación del certificado,
  • Verificar solo CA – se verificará el certificado CA del servidor,
  • Verificar CA e Identidad – se verificará el certificado CA del servidor y el nombre de host del servidor en el certificado.

Después de completar los pasos anteriores, la conexión a un proxy desencadena la verificación de certificado para los dos servidores y elimina la posibilidad de ataques MITM.

$mysql --host=localhost --port=3307 --user=root --ssl-ca=CA_Proxy.crt --ssl_mode=VERIFY_IDENTITY
[root@3307][(none)]>

Did this guide help you?

Contact Us