DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

  • Accueil
  • Guides
  • Configurer des certificats SSL pour le proxy de base de données DataSunrise

Configurer des certificats SSL pour le proxy de base de données DataSunrise

Installer le Package DataSunrise depuis le Répertoire DEB pour Ubuntu 24 Comment migrer le modèle CloudFormation DataSunrise de la configuration de lancement (LC) à la ressource de modèle de lancement (LT) dans le groupe Auto Scaling Comment Envoyer des Événements DataSunrise à un Canal Microsoft Teams via Webhook Entrant en Utilisant des Abonnés Comment délester les données de la base de données d’audit vers AWS S3 et les lire en utilisant le service AWS Athena Convertir la configuration d’essai ou BYOL de DataSunrise en facturation horaire PostgreSQL (RDS) vs Aurora PostgreSQL Comment dépanner les erreurs « La connexion a été interrompue » ou « La connexion a été interrompue de manière inattendue » dans les applications utilisant les proxys DataSunrise Les Performances de DataSunrise sous une Forte Charge de Trafic L’Approche de DataSunrise pour configurer les pénalités de détection d’injection SQL Comment bloquer des hôtes spécifiques dans DataSunrise pour améliorer la sécurité de la base de données Dépannage des problèmes de mesure et de facturation horaire AWS dans DataSunrise sur AWS Marketplace Comment effectuer la modification de la Formation Cloud Masquage Dynamique des Données avec DataSunrise : Masquage avec des scripts Lua Comment Choisir la Base de Données pour le Stockage d’Audit : Une Analyse de Performance Comment exécuter pgbench via le proxy DataSunrise sur PostgreSQL 14 avec l’authentification SCRAM Comment Contrôler la Visibilité des Noms de Tables Installer le package DataSunrise depuis le dépôt DEB (pour Debian 12/Ubuntu 22) Configuration de l’authentification SSO DataSunrise basée sur SAML (Okta) Configuration de l’authentification SSO DataSunrise basée sur OpenID (Okta) Guide complet sur la recherche de données sensibles dans les images hébergées sur AWS S3 Comment déployer DataSunrise avec un Template Terraform sur Azure Comment intégrer DataSunrise avec un cluster SQL Server Always On Comment déployer DataSunrise dans Microsoft Azure en utilisant Azure Resource Manager Comment effectuer le masquage statique des données pour MongoDB avec DataSunrise Comment Configurer le Suivi d’Audit des Bases de Données pour MS Azure MySQL Configurer le suivi d’audit de la base de données pour MS Azure PostgreSQL Comment Configurer DataSunrise pour Masquer les Données pour Amazon Athena Comment mettre à jour la version RHEL des serveurs DataSunrise existants Comment intégrer DataSunrise avec AWS Database Activity Streams pour obtenir des résultats d’audit pour AWS Aurora PostgreSQL Configurer des certificats SSL pour le proxy de base de données DataSunrise Rapports dans DataSunrise : Système Crucial pour une Sécurité Renforcée des Bases de Données Comment cacher les schémas des utilisateurs dans Redshift Présentation de la Console Centralisée DataSunrise Journaux d’audit AWS RDS PostgreSQL dans DataSunrise Masquage de Texte Non Structuré sur AWS S3 Masquage des Données sur Place Comment Auditer les Actions Administratives dans votre Oracle RDS et EC2 Meilleures pratiques des règles de DataSunrise Le script Lua découvre des données sensibles dans les fichiers JSON Comment vérifier si DataSunrise reçoit du trafic Supprimer une Procédure ou une Fonction d’une Base de Données Principes de Base du Masquage Dynamique Installer DataSunrise à partir du dépôt RPM (pour RHEL, CentOS 8/9) Installer DataSunrise depuis le dépôt DEB (Debian, Ubuntu) Guide de sécurité Règles de Sécurité Contre les Injections SQL Guide d’Audit Apprentissage des Règles et Audit Priorité des Règles Guide de Masquage Dynamique des Données Guide du Masquage Statique des Données

La majorité des bases de données prennent en charge la vérification de l’identité du serveur en utilisant des certificats. Ainsi, une procédure de vérification est effectuée lors de la connexion à un serveur : si le certificat reçu du serveur est authentique, une connexion sera établie ; sinon, il sera considéré comme une attaque de type homme du milieu. Par défaut, cette vérification du certificat serveur peut être activée/désactivée en fonction du SGBD. Cependant, nous recommandons d’activer la vérification des certificats pour sécuriser vos données.

Pour une connexion directe entre une base de données et une application cliente, une vérification des certificats fonctionne comme suit :

client(CA-cert) <---> serveur(Server-cert, Server-key)
  • CA-cert – certificat racine de l’autorité de certification,
  • Server-key – clé privée du serveur
  • Server-cert – certificat serveur signé par le CA.

Voyons l’exemple de MySQL.

Le client MySQL est conscient du certificat CA. Il y a Server-cert et Server-key côté serveur. Le mode SSL peut être activé par le client. La valeur par défaut de ssl_mode=prefer signifie que l’authentification du certificat serveur est désactivée. Le paramètre ssl_mode peut également être défini sur :

  • Verify-CA (Je veux que mes données soient chiffrées et j’accepte le surcoût. Je veux être sûr de me connecter à un serveur de confiance)
  • Verify-Identity (Je veux que mes données soient chiffrées et j’accepte le surcoût. Je veux être sûr de me connecter à un serveur de confiance et que c’est le bon)

Voici une chaîne d’exemple utilisée pour établir une connexion directe avec vérification de certificat :

$mysql --host=localhost --port=3306 --user=root --ssl-ca=ca.pem --ssl_mode=VERIFY_CA
[root@3306][(none)]>

Le diagramme suivant montre le processus d’établissement d’une connexion avec la vérification des certificats DataSunrise activée :

diagram

Datasunrise implémente la fonctionnalité de cryptage de bout en bout dans une chaîne client-proxy-serveur.

Regardez le diagramme ci-dessus : il y a deux connexions. La première connexion est établie entre un client et un proxy DataSunrise. La configuration SSL du proxy DataSunrise est utilisée pour cette connexion. Pour le configurer, vous devez avoir Proxy-key et Proxy-cert générés et signés par le certificat CA. Cela vous permet d’être sûr que vous vous connectez à un proxy DataSunrise authentique.

La deuxième connexion est établie entre un proxy DataSunrise et un serveur de base de données avec sa propre configuration SSL. Le proxy DataSunrise fonctionne ici comme une application cliente et peut également vérifier une connexion à un serveur authentique.

Veuillez noter que l’authentification par certificat est une option supplémentaire pour le cryptage SSL, elle ne fonctionne pas si le cryptage SSL est désactivé.

Il est également important que le proxy DataSunrise soit un proxy transparent et prenne en charge le mode de cryptage négocié par le client et le serveur de base de données. Cela signifie qu’il est impossible de chiffrer uniquement une connexion dans la chaîne. Le proxy DataSunrise ne peut pas recevoir du trafic chiffré d’une extrémité et envoyer du trafic non chiffré à l’autre extrémité et vice versa.

Voici les étapes qui vous permettent de configurer une vérification de certificat SSL dans DataSunrise :

Première connexion

1. Allez dans ConfigurationSSL Key Groups et cliquez sur Add Group

Add Group

2. Saisissez votre Proxy-cert et Proxy-key dans les champs correspondants. Pour cela, vous devez choisir le type de Proxy.

Proxy type

3. Allez dans Configuration → Databases. Ouvrez la page de votre instance de base de données et cliquez sur l’icône “crayon” pour modifier les paramètres du proxy.

Databases

4. Sélectionnez votre SSL Key Group dans la liste déroulante Proxy Keys et enregistrez les paramètres.

Proxy Keys

Deuxième connexion

1. Allez dans Configuration → SSL Key Group et cliquez sur Add Group. Sélectionnez le type Interface et saisissez votre CA-cert dans le champ CA.

SSL Key Group

2. Allez dans Configuration → Databases, sélectionnez votre instance et cliquez sur l’icône “crayon” pour modifier les paramètres de l’interface

Instance

3. Vous devez spécifier le groupe créé à la première étape, sélectionner le mode de vérification des certificats et enregistrer les paramètres.

certificate verification
  • Ne pas vérifier – la vérification des certificats ne sera pas effectuée,
  • Vérifier uniquement CA – le certificat CA du serveur sera vérifié,
  • Vérifier CA et identité – le certificat CA du serveur et le nom d’hôte du serveur dans le certificat seront vérifiés.

Après avoir terminé les étapes ci-dessus, la connexion à un proxy déclenche la vérification des certificats pour les deux serveurs, éliminant ainsi la possibilité d’attaques MITM.

$mysql --host=localhost --port=3307 --user=root --ssl-ca=CA_Proxy.crt --ssl_mode=VERIFY_IDENTITY
[root@3307][(none)]>

Did this guide help you?

Contact Us