DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

  • Inicio
  • Guías
  • Cómo Configurar DataSunrise para Enmascarar Datos en Amazon Athena

Cómo Configurar DataSunrise para Enmascarar Datos en Amazon Athena

Cómo Migrar la Plantilla DataSunrise CloudFormation de Configuración de Lanzamiento (LC) a Recurso de Plantilla de Lanzamiento (LT) en el Grupo de Autoescaleo Cómo Enviar Eventos de DataSunrise a un Canal de Microsoft Teams a través de un Webhook Entrante usando Subscriptos Cómo descargar los datos de la base de datos de auditoría a AWS S3 y leerlos usando el servicio AWS Athena Cómo Convertir la Configuración de Prueba o BYOL de DataSunrise a Facturación por Hora Backend DB: PostgreSQL (RDS) o Aurora PostgreSQL Explorando el Rendimiento de DataSunrise Bajo Condiciones de Alto Tráfico Enfoque de DataSunrise para Configurar Penalizaciones por Detección de Inyección SQL Solución de Problemas de Medición y Facturación Horaria de AWS en DataSunrise en AWS Marketplace Modificación de Cloud Formation Enmascaramiento Dinámico de Datos con DataSunrise: Enmascaramiento con Scripts Lua Controlar la Visibilidad de los Nombres de las Tablas Instalar el paquete DataSunrise desde el repositorio DEB (para Debian 12/Ubuntu 22) Autenticación SSO de DataSunrise Basada en SAML (Okta) Autenticación SSO de DataSunrise Basada en OpenID (Okta) Cómo Buscar Datos Sensibles en Imágenes Alojadas en AWS S3 Cómo Desplegar DataSunrise con Plantilla de Terraform en Azure Cómo Integrar DataSunrise con SQL Server Always On Cluster Cómo Realizar el Enmascaramiento Estático de Datos de DataSunrise para MongoDB Cómo Configurar el Registro de Auditoría de DB para MS Azure MySQL Cómo Configurar el Seguimiento de Auditoría de DB para MS Azure PostgreSQL Cómo Configurar DataSunrise para Enmascarar Datos en Amazon Athena Cómo actualizar la versión del sistema operativo RHEL de los servidores DataSunrise existentes Cómo Integrar DataSunrise con Streams de Actividad de Base de Datos de AWS para Obtener Resultados de Auditoría para AWS Aurora PostgreSQL Generación de Informes en DataSunrise Presentando una Consola Centralizada DataSunrise Totalmente Nueva Registros de Auditoría de AWS RDS PostgreSQL en DataSunrise Enmascarado de Texto No Estructurado en AWS S3 Enmascaramiento de Datos en el Lugar Cómo Auditar Acciones Administrativas en su Oracle RDS y EC2 Un script Lua descubre datos sensibles en archivos JSON Cómo Comprobar si DataSunrise Recibe Tráfico Principios Básicos del Enmascaramiento Dinámico Instalar DataSunrise desde el repositorio RPM (para RHEL, CentOS 8/9) Guía de Seguridad Reglas de Seguridad Contra Inyecciones SQL Reglas de Aprendizaje y Auditoría Prioridad de Reglas Guía de Enmascaramiento Dinámico de Datos

Ampliamos nuestras oportunidades al introducir el Enmascaramiento Dinámico para Amazon Athena. Ahora puedes ofuscar datos sensibles de Athena sobre la marcha para protegerlos de personas no autorizadas.

Las aplicaciones cliente usan una conexión encriptada para conectarse a Athena. DataSunrise puede enmascarar datos en Athena solo en el modo Proxy. Una conexión segura se divide en dos: de una aplicación cliente a DataSunrise y de DataSunrise a Athena. Al mismo tiempo, verifica el certificado del servidor. Si este certificado está autofirmado, algunas aplicaciones pueden considerar la conexión insegura y rechazarla.

DataSunrise tiene por defecto un certificado SSL autofirmado utilizado para establecer una conexión encriptada entre una aplicación cliente y un proxy de DataSunrise.

Hay dos opciones para una conexión a Athena a través de un proxy de DataSunrise:

  • Usar el certificado autofirmado de DataSunrise;
  • Usar un certificado SSL adecuadamente firmado por una Autoridad de Certificación específica.

Si un certificado es auténtico, se establecerá una conexión. De lo contrario, será considerado por una aplicación cliente como un ataque de intermediario y la conexión no se establecerá a menos que la aplicación cliente esté debidamente configurada. En este artículo, revisaremos este proceso utilizando DBeaver como ejemplo.

Crear una Instancia para Amazon Athena

Primero, necesitas crear una Instancia para Athena en DataSunrise. Esto es necesario para crear un perfil de base de datos. El comienzo es el mismo para cada base de datos: simplemente ingresa los detalles de conexión para tu Athena. Ten en cuenta que los resultados de las consultas se almacenan en buckets de S3, por lo que debes especificar un bucket de S3 en el campo de Ubicación del Resultado de la Consulta.

A continuación, en la sección de Modo de Captura, necesitas seleccionar Proxy. En el campo de Llaves de Proxy selecciona Crear Nuevo para generar un nuevo Grupo de Llaves SSL y adjuntarlo a tu proxy.

Después de eso, haz clic en Guardar.

Importar el Certificado en el Almacén de Llaves

Haz lo siguiente:

  • Después de adjuntar un nuevo Grupo de Llaves SSL a tu proxy en DataSunrise, navega a Configuración → Grupos de Llaves SSL. Ubica tu Grupo de Llaves SSL en la lista y ábrelo, copia el Certificado del campo correspondiente en un archivo de texto. Por ejemplo, crea un archivo con el nombre dsca.crt y pega el certificado allí. Coloca el archivo en la carpeta C:\athena.
  • Ejecuta la línea de comando como administrador y navega a tu carpeta de instalación de DBeaver. Por ejemplo C:\Program Files\DBeaver\jre\bin\.
  • Agrega tu certificado de Athena a cacerts, que se encuentra en C:\Program Files\DBeaver\jre\lib\security. Por ejemplo:
    keytool.exe -importcert -trustcacerts -alias dsca -v -keystore "C:/Program Files/DBeaver/jre/lib/security/cacerts" -file "C:/athena/dsca.crt" -storepass changeit

Configurar y Ejecutar DBeaver

Dado que usamos DBeaver para poder enviar consultas a Athena a través del proxy de DataSunrise, necesitas ubicar el archivo dbeaver.ini en tu carpeta de instalación de DBeaver y abrirlo con un editor de texto. Agrega las siguientes líneas al final del archivo:

-Djavax.net.ssl.trustStore=<ruta_del_archivo_jks>
-Djavax.net.ssl.trustStorePassword=<contraseña_del_archivo_jks>

Por ejemplo:

-Djavax.net.ssl.trustStore=C:/Program Files/Java/jdk-11.0.1/lib/security/cacerts
-Djavax.net.ssl.trustStorePassword=changeit

Ejecuta DBeaver con los siguientes parámetros (ejemplo):

dbeaver.exe -vm "C:\Program Files\DBeaver\jre\bin" -vmargs -Djavax.net.ssl.trustStore="C:\Program Files\DBeaver\jre\lib\security\cacerts" -Djavax.net.ssl.trustStorePassword=changeit

Conectarse a través del Proxy con DBeaver

Configura una conexión a tu Athena a través del proxy de DataSunrise. En la pestaña Propiedades del Controlador, establece ProxyHost y ProxyPort de acuerdo con la configuración de tu proxy de Athena.

Luego, prueba la conexión. Ahora deberías poder conectarte a tu Athena a través del proxy de DataSunrise.



Configurar Enmascaramiento Dinámico

Habiendo configurado un proxy, puedes crear una Regla de Enmascaramiento Dinámico para Athena. Este proceso es fácil y aplicable a cualquier base de datos.

A continuación hay un ejemplo de una tabla con datos reales y direcciones de correo electrónico enmascaradas respectivamente:



Además, DataSunrise soporta el enmascaramiento de datos no estructurados para Athena gracias a NLP (Procesamiento de Lenguaje Natural). El enmascaramiento de datos no estructurados te permite enmascarar datos sensibles en cualquier forma y formato. Por ejemplo, puede ser un documento de Word o un archivo PDF. Los datos sensibles serán enmascarados con asteriscos (*).

El Enmascaramiento Dinámico para Athena se basa en la modificación de los conjuntos de resultados de las consultas. Esto significa que una base de datos recibe una consulta original y devuelve datos originales también. El enmascaramiento se realiza cuando los datos pasan a través de un proxy de DataSunrise, y el cliente obtendrá datos sensibles ofuscados después de eso.

Did this guide help you?

Contact Us