DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Modos de Implementación de DataSunrise: Características y Consideraciones Clave

Modos de Implementación de DataSunrise: Características y Consideraciones Clave

DataSunrise es una plataforma de seguridad de datos líder plataforma conocida por sus robustas capacidades de protección y opciones de implementación flexibles. DataSunrise es una plataforma de seguridad de datos versátil que puede implementarse en varias configuraciones para adaptarse a las diferentes necesidades de las organizaciones. Comprender las ventajas y desventajas de cada modo de implementación es crucial para tomar una decisión informada que se alinee con sus requisitos de seguridad e infraestructura. Aquí tiene un análisis profesional de los cuatro modos de implementación que ofrece DataSunrise: Modo Proxy, Modo Sniffer, Modo Agente y Registros de Auditoría de BD Trailing.

Modo Proxy

Imagen 1. Implementación en Modo Proxy

Características:

  • Funcionalidad Completa: El modo proxy permite el conjunto completo de características de DataSunrise, incluyendo monitoreo de actividad de base de datos, firewall de base de datos y enmascaramiento de datos dinámico y estático enmascaramiento de datos.
  • Manejo de Tráfico Encriptado: Este modo soporta el procesamiento de tráfico encriptado, asegurando la transmisión segura de datos.
  • Rendimiento: No hay un impacto directo en el rendimiento del servidor de base de datos ya que el proxy opera en un host separado. Esto es particularmente beneficioso para las bases de datos licenciadas por el número de núcleos de CPU en el servidor de base de datos, ya que no incurre en costos adicionales de licenciamiento.
  • Latencia: El proxy ligero tiene un impacto mínimo en la latencia, típicamente alrededor del 5-10% para consultas en rápido crecimiento.
  • Monitoreo Independiente: Las características de monitoreo y seguridad en el modo proxy operan independientemente de la funcionalidad nativa del proveedor de la base de datos y de los administradores de bases de datos (DBAs) que gestionan el sistema. Esta independencia asegura una clara división de responsabilidades y mejora la seguridad al reducir la dependencia de configuraciones y controles externos. Proporciona una capa adicional de protección, asegurando que las medidas de seguridad sean robustas, consistentes y no estén sujetas a alteraciones internas o supervisión.

Consideraciones Clave:

  • Capa Adicional en la Red: Introducir una capa adicional en la infraestructura de red puede suponer un riesgo para la disponibilidad de la base de datos. Este riesgo puede mitigarse al desplegar DataSunrise en modo de Alta Disponibilidad (HA).
  • Control de Acceso a la Red: Es esencial asegurar que el acceso a la red de la base de datos esté restringido para evitar el acceso directo que eluda el proxy. El modo proxy no puede manejar conexiones locales.

Modo Sniffer

Imagen 2. Implementación en Modo Sniffer

Características:

  • Monitoreo Pasivo: El modo sniffer permite que DataSunrise actúe como un analizador de tráfico, capturando el tráfico de la base de datos desde un puerto espejo sin afectar el rendimiento de la base de datos.
  • Impacto Nulo en el Tráfico de la Base de Datos: Este modo no afecta el tráfico ni el rendimiento de la base de datos.
  • Monitoreo Independiente: Similar al modo proxy, el modo sniffer opera independientemente de las funcionalidades nativas de la base de datos y más allá del alcance de los administradores de bases de datos (DBAs). Esta autonomía permite un monitoreo imparcial del tráfico de la base de datos, asegurando que los DBAs no puedan interferir o influir en el proceso de vigilancia. Esto reduce significativamente el riesgo de manipulación de acceso, reforzando la seguridad global del sistema de base de datos.

Consideraciones Clave:

  • Funcionalidad Limitada: El modo sniffer no soporta características de seguridad activas como el firewall de base de datos o el enmascaramiento. No puede modificar el tráfico de la base de datos.
  • Limitación de Encriptación SSL: El tráfico encriptado con SSL no puede ser analizado en este modo, lo cual es una desventaja significativa dado el uso generalizado de la encriptación SSL hoy en día. Para utilizar el modo sniffer, la encriptación debe ser deshabilitada o configurada para usar algoritmos más débiles (solo compatible con MS SQL Server).
  • Conexiones Locales: El modo sniffer no puede manejar conexiones locales.
  • Limitación de Entornos Virtuales: Las capacidades de espejado de puertos varían en diferentes entornos virtuales y en la nube. Los entornos virtuales y en la nube pueden tener limitaciones para el espejado de puertos que dependen del proveedor.
  • Complejidad de la Configuración de la Red: Configurar el espejado de tráfico a menudo requiere una buena comprensión de cómo fluye el tráfico dentro de la infraestructura de red. Solo con una estrategia bien pensada para trabajar con el tráfico de red, se puede configurar correctamente el espejado de tráfico para procesar el 100% de todas las conexiones. También debe tenerse en cuenta que las direcciones de red de las bases de datos pueden cambiar, lo que también debe ser monitoreado claramente.

Registros de Auditoría de BD Trailing

Imagen 3. Implementación en Modo Trailing DB

Características:

  • Auditoría Nativa: Este modo aprovecha las herramientas de auditoría nativas de varias bases de datos, incluyendo Oracle, Snowflake, Neo4J, PostgreSQL-like, AWS S3, MS SQL Server, GCloud BigQuery, MongoDB y bases de datos tipo MySQL.
  • Sin Cambios en la Arquitectura de Red: No hay necesidad de alterar la arquitectura de red existente ni añadir una capa adicional como un proxy.
  • Auditoría Integral: Dado que la base de datos genera registros de auditoría nativos, se incluyen tanto las conexiones remotas como locales.

Consideraciones Clave:

  • Impacto en el Rendimiento: El rendimiento de la base de datos puede verse afectado ya que es responsable de generar los registros. En entornos activos, la degradación del rendimiento puede alcanzar un 15-30%.
  • Gestión de Registros de Auditoría: Los registros de auditoría nativos requieren configuración por parte del DBA, lo que puede difuminar las líneas de responsabilidad entre la seguridad y la administración de la base de datos. También existe el riesgo de que los registros de auditoría sean deshabilitados accidentalmente o intencionalmente por el DBA.

Modo Agente

Imagen 4. Implementación en Modo Agente

Características:

  • Cambios Mínimos en la Red: El modo agente no requiere añadir una capa adicional en la red, y el procesamiento del tráfico en un host separado puede minimizar el impacto en el rendimiento de la base de datos.
  • Manejo de Conexiones Locales: Este modo es capaz de manejar conexiones locales.

Consideraciones Clave:

  • Soporte Limitado: No todas las bases de datos están incluidas en nuestra lista actual de bases de datos compatibles. Para obtener la lista más actualizada de bases de datos compatibles o para consultar nuestras últimas guías, contacte a nuestro equipo de soporte en [email protected].
  • Compatibilidad de Agentes: Los clientes deben verificar la compatibilidad con otros agentes que puedan estar instalados en el mismo entorno.

Modo de Aplicación Web

Esquema del Modo de Aplicación Web de DataSunrise

En este modo, se despliegan algunos módulos – squid-proxy y backend-proxy. El módulo Ecap (squid-proxy) captura el tráfico entre el cliente y la aplicación web y lo envía a DataSunrise para su análisis.

Consideraciones Clave:

Solo “seguridad pasiva” está disponible para el modo de Aplicación Web

En conclusión, cada modo de implementación de DataSunrise ofrece beneficios únicos y cuenta con su propio conjunto de consideraciones. Al elegir el modo adecuado, es esencial sopesar los pros y los contras en el contexto de sus necesidades específicas de seguridad, infraestructura y requisitos de rendimiento. De esta manera, puede asegurarse de que sus datos permanezcan seguros mientras mantiene un rendimiento óptimo de la base de datos

Siguiente

Soporte de DataSunrise para Babelfish

Soporte de DataSunrise para Babelfish

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]