DataSunrise Logra el Estado de Competencia en AWS DevOps en AWS DevSecOps y Monitoreo, Registro, Rendimiento

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

  • Inicio
  • Guías
  • Configurar Certificados SSL para el Proxy de Base de Datos DataSunrise

Configurar Certificados SSL para el Proxy de Base de Datos DataSunrise

Cómo Migrar la Plantilla de CloudFormation de DataSunrise de Launch Configuration (LC) a Launch Template (LT) en un grupo de Auto Scaling Cómo Enviar Eventos de DataSunrise a un Canal de Microsoft Teams vía Webhook Entrante utilizando Suscriptores Cómo Descargar los Datos de la Base de Datos de Auditoría a AWS S3 y Leerlos Usando el Servicio AWS Athena Convertir Configuración de Prueba o BYOL de DataSunrise a Facturación por Hora PostgreSQL (RDS) vs Aurora PostgreSQL Cómo Solucionar Errores de “La Conexión Fue Terminada” o “La Conexión Se Terminó Inesperadamente” en Aplicaciones Que Usan Proxies DataSunrise Rendimiento de DataSunrise Bajo Condiciones de Alto Tráfico Enfoque de DataSunrise para Configurar Penalidades por Detección de Inyección SQL Cómo Bloquear Hosts Específicos en DataSunrise para una Seguridad Mejorada de la Base de Datos Solución de Problemas de Medición y Facturación por Hora en AWS en DataSunrise en AWS Marketplace Cómo Realizar la Modificación de la Formación en la Nube Enmascaramiento Dinámico de Datos con DataSunrise: Enmascaramiento con Scripts Lua Cómo Elegir la Base de Datos para Almacenamiento de Auditoría: Un Análisis de Rendimiento Cómo Ejecutar pgbench a través del Proxy DataSunrise en PostgreSQL 14 con Autenticación SCRAM Cómo Controlar la Visibilidad de los Nombres de las Tablas Instalar el paquete DataSunrise desde el repositorio DEB (para Debian 12/Ubuntu 22) Configuración de la Autenticación SSO de DataSunrise Basada en SAML (Okta) Configuración de Autenticación SSO de DataSunrise Basada en OpenID (Okta) Guía integral sobre cómo buscar datos sensibles en imágenes alojadas en AWS S3 Cómo Desplegar DataSunrise con Plantilla de Terraform en Azure Integra DataSunrise con SQL Server Always On Cluster Cómo Desplegar DataSunrise en Microsoft Azure Usando Azure Resource Manager Cómo Realizar el Enmascaramiento de Datos Estáticos con DataSunrise para MongoDB Cómo Configurar Rastros de Auditoría en BD para MS Azure MySQL Configure el Seguimiento de Auditoría en la Base de Datos para MS Azure PostgreSQL Cómo Configurar DataSunrise para Enmascarar Datos para Amazon Athena Cómo Actualizar la Versión del SO RHEL de Servidores Existentes con DataSunrise Cómo Integrar DataSunrise con Streams de Actividad de Base de Datos de AWS para Obtener Resultados de Auditoría para AWS Aurora PostgreSQL Configurar Certificados SSL para el Proxy de Base de Datos DataSunrise Informes en DataSunrise: Sistema Crucial para una Mayor Seguridad en la Base de Datos Cómo Ocultar Esquemas a los Usuarios en Redshift Resumen de la Consola Centralizada de DataSunrise Registros de Auditoría de AWS RDS PostgreSQL en DataSunrise Enmascarando Texto No Estructurado en AWS S3 Enmascaramiento en su lugar Auditar Acciones Administrativas en Tu Oracle RDS y EC2 Mejores Prácticas de las Reglas de DataSunrise El script de Lua descubre datos sensibles en archivos JSON Cómo Verificar si DataSunrise Recibe Tráfico Eliminar un Procedimiento o una Función de una Base de Datos Principios Básicos del Enmascaramiento Dinámico Instalar DataSunrise desde el repositorio RPM (para RHEL, CentOS 8/9) Instalar DataSunrise desde el repositorio DEB (Debian, Ubuntu) Guía de Seguridad Reglas de Seguridad Contra Inyecciones SQL Guía de Auditoría Reglas de Aprendizaje y Auditoría Prioridad de Reglas Guía de Enmascaramiento Dinámico de Datos Guía de Enmascaramiento de Datos Estáticos

La mayoría de las bases de datos soportan la verificación de la identidad del servidor mediante el uso de certificados. Así, se realiza un procedimiento de verificación durante una conexión a un servidor: si el certificado recibido del servidor es auténtico, se establecerá una conexión; de lo contrario, se considerará como un ataque de intermediario (man-in-the-middle). Por defecto, esta verificación del certificado del servidor se puede habilitar/deshabilitar dependiendo del DBMS. Sin embargo, recomendamos habilitar la verificación del certificado para mantener sus datos seguros.

Para una conexión directa entre una base de datos y una aplicación cliente, una verificación de certificados funciona de la siguiente manera:

cliente(CA-cert) <---> servidor(Server-cert, Server-key)
  • CA-cert – certificado raíz de la autoridad de certificación,
  • Server-key – clave privada del servidor
  • Server-cert – certificado del servidor firmado por la CA.

Veamos un ejemplo con MySQL.

El cliente MySQL está al tanto del certificado CA. Hay Server-cert y Server-key del lado del servidor. El modo SSL puede ser habilitado por el cliente. El valor por defecto de ssl_mode=prefer significa que la autenticación del certificado del servidor está deshabilitada. Además, el parámetro ssl_mode puede configurarse en:

  • Verify-CA (Quiero mis datos encriptados y acepto la sobrecarga. Quiero estar seguro de que me estoy conectando a un servidor en el que confío)
  • Verify-Identity (Quiero mis datos encriptados y acepto la sobrecarga. Quiero estar seguro de que me estoy conectando a un servidor en el que confío y que es el especificado)

A continuación se muestra un ejemplo de cadena utilizada para establecer una conexión directa con verificación de certificado:

$mysql --host=localhost --port=3306 --user=root --ssl-ca=ca.pem --ssl_mode=VERIFY_CA
[root@3306][(none)]>

El siguiente diagrama muestra el proceso de establecimiento de conexión con la verificación de certificados habilitada en DataSunrise:

diagram

Datasunrise implementa la funcionalidad de encriptación de extremo a extremo en una cadena cliente-proxy-servidor.

Observe el diagrama anterior: hay dos conexiones. La primera conexión se establece entre un cliente y un proxy DataSunrise. La configuración SSL del proxy DataSunrise se utiliza para la conexión. Para configurarlo, necesita tener Proxy-key y Proxy-cert generados y firmados por el certificado CA. Esto le permite estar seguro de que se está conectando a un proxy DataSunrise genuino.

La segunda conexión se establece entre un proxy DataSunrise y un servidor de base de datos y se utiliza su propia configuración SSL. El proxy DataSunrise funciona aquí como una aplicación cliente y también puede verificar una conexión a un servidor auténtico.

Tenga en cuenta que la autenticación de certificados es una opción adicional para la encriptación SSL, no funciona si la encriptación SSL está deshabilitada.

También es importante que el proxy DataSunrise sea un proxy transparente y soporte el modo de encriptación que es negociado por el cliente y el servidor de base de datos. Esto significa que es imposible encriptar solo una conexión en la cadena. El proxy DataSunrise no puede recibir tráfico encriptado de un extremo y enviar tráfico no encriptado al otro extremo y viceversa.

A continuación se describen los pasos que le permiten configurar la verificación de certificados SSL en DataSunrise:

Primera conexión

1. Navegue a ConfiguraciónGrupos de Claves SSL y haga clic en Agregar Grupo

Agregar Grupo

2. Ingrese su Proxy-cert y Proxy-key en los campos correspondientes. Para esto, debe elegir el tipo de Proxy.

Tipo de Proxy

3. Navegue a Configuración → Bases de datos. Abra la página de su instancia de base de datos y haga clic en el ícono del “lápiz” para editar la configuración del proxy.

Bases de datos

4. Seleccione su Grupo de Claves SSL en la lista desplegable Proxy Keys y guarde la configuración.

Claves del Proxy

Segunda conexión

1. Navegue a Configuración → Grupo de Claves SSL y haga clic en Agregar Grupo. Seleccione el tipo Interfaz e ingrese su CA-cert en el campo CA.

Grupo de Claves SSL

2. Navegue a Configuración → Bases de datos, seleccione su instancia y haga clic en el ícono del “lápiz” para editar la configuración de la interfaz.

Instancia

3. Necesita especificar el grupo creado en el primer paso, seleccionar el modo de verificación de certificados y guardar la configuración.

verificación de certificados
  • No verificar – no se realizará la verificación del certificado,
  • Verificar solo CA – se verificará el certificado CA del servidor,
  • Verificar CA e Identidad – se verificará el certificado CA del servidor y el nombre de host del servidor en el certificado.

Habiendo completado los pasos anteriores, conectarse a un proxy activa la verificación de certificados para los dos servidores y elimina la posibilidad de ataques MITM.

$mysql --host=localhost --port=3307 --user=root --ssl-ca=CA_Proxy.crt --ssl_mode=VERIFY_IDENTITY
[root@3307][(none)]>

Did this guide help you?

Contact Us