DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

  • Homepage
  • Guide
  • Configurare i Certificati SSL per il Proxy di Database DataSunrise

Configurare i Certificati SSL per il Proxy di Database DataSunrise

Come Migrare il Modello DataSunrise CloudFormation da Launch Configuration (LC) a Risorsa Launch Template (LT) nel Gruppo Auto Scaling Come Inviare Eventi di DataSunrise a un Canale di Microsoft Teams tramite Webhook in Entrata utilizzando gli Abbonati Come Spostare i Dati del Database di Audit su AWS S3 e Leggerli Utilizzando il Servizio AWS Athena Convertire la Configurazione di DataSunrise da Prova o BYOL a Fatturazione Oraria PostgreSQL (RDS) vs Aurora PostgreSQL Come Risolvere gli Errori di “Connessione è stata Terminata” o “Connessione Terminata Inaspettatamente” nelle Applicazioni che Usano i Proxy di DataSunrise Le Prestazioni di DataSunrise Sotto Condizioni di Alto Traffico L’Approccio di DataSunrise alla Configurazione delle Penalità per la Rilevazione di SQL Injection Come Bloccare Host Specifici in DataSunrise per una Sicurezza del Database Migliorata Risoluzione dei Problemi di Misurazione e Fatturazione Oraria AWS in DataSunrise su AWS Marketplace Come Eseguire una Modifica a Cloud Formation Mascheramento Dinamico dei Dati con DataSunrise: Mascheramento con script Lua Come Scegliere il Database per la Memorizzazione Audit: Un’Analisi delle Prestazioni Come Eseguire pgbench tramite il Proxy DataSunrise su PostgreSQL 14 con Autenticazione SCRAM Come Controllare la Visibilità dei Nomi delle Tabelle Installare il pacchetto DataSunrise dal Repository DEB (per Debian 12/Ubuntu 22) DataSunrise SSO Autenticazione Basata su SAML (Okta) Autenticazione SSO di DataSunrise Basata su OpenID (Okta) Guida Completa su Come Cercare Dati Sensibili nelle Immagini Ospitate su AWS S3 Come Distribuire DataSunrise con il Modello Terraform su Azure Integrare DataSunrise con SQL Server Always On Cluster Come Distribuire DataSunrise in Microsoft Azure Utilizzando Azure Resource Manager Come Eseguire il Mascheramento Statico dei Dati di DataSunrise per MongoDB Come Configurare la Traccia di Audit del DB per MS Azure MySQL Configura la Traccia di Audit di Database per MS Azure PostgreSQL Come Configurare DataSunrise per Mascherare i Dati di Amazon Athena Come Aggiornare la Versione del Sistema Operativo RHEL sui Server Esistenti con DataSunrise Come Integrare DataSunrise con AWS Database Activity Streams per Ottenere i Risultati degli Audit per AWS Aurora PostgreSQL Configurare i Certificati SSL per il Proxy di Database DataSunrise Report in DataSunrise: Sistema Cruciale per Migliorare la Sicurezza del Database Come Nascondere Schemi agli Utenti in Redshift Panoramica della Console Centralizzata DataSunrise Audit Log di AWS RDS PostgreSQL in DataSunrise Mascheramento di Testi Non Strutturati su AWS S3 Mascheramento dei Dati in Situ Audit delle Azioni Amministrative nel Tuo Oracle RDS e EC2 Best Practices Regole DataSunrise Lo script Lua scopre dati sensibili nei file JSON Come Verificare se DataSunrise Riceve il Traffico Rimuovere una Procedura o una Funzione da un Database Principi di Base del Mascheramento Dinamico Installare DataSunrise dal Repository RPM (per RHEL, CentOS 8/9) Installare DataSunrise dal Repository DEB (Debian, Ubuntu) Guida alla Sicurezza Regole di Sicurezza Contro le Iniezioni SQL Guida all’Audit Imparare le Regole e Audit Priorità delle Regole Guida al Mascheramento Dinamico dei Dati Guida al Mascheramento Statico dei Dati

La maggior parte dei database supporta la verifica dell’identità del server tramite certificati. Pertanto, una procedura di verifica viene eseguita durante una connessione a un server: se il certificato ricevuto dal server è autentico, si stabilirà una connessione; altrimenti sarà considerato un attacco man-in-the-middle. Per impostazione predefinita, questo controllo del certificato server può essere abilitato/disabilitato a seconda del DBMS. Tuttavia, consigliamo di abilitare il controllo del certificato per mantenere sicuri i tuoi dati.

Per una connessione diretta tra un database e un’applicazione cliente, il controllo del certificato funziona come segue:

client(CA-cert) <---> server(Server-cert, Server-key)
  • CA-cert – certificato root della certification authority,
  • Server-key – chiave privata del server
  • Server-cert – certificato del server firmato dal CA.

Prendiamo come esempio MySQL.

Il client MySQL è a conoscenza del certificato CA. Sul lato server ci sono certificati come Server-cert e Server-key. Il client può abilitare la modalità SSL. Il valore predefinito di ssl_mode=prefer significa che l’autenticazione del certificato del server è disabilitata. Inoltre, il parametro ssl_mode può essere impostato su:

  • Verify-CA (Voglio che i miei dati siano crittografati e accetto l’overhead. Voglio essere sicuro di connettermi a un server di cui mi fido)
  • Verify-Identity (Voglio che i miei dati siano crittografati e accetto l’overhead. Voglio essere sicuro di connettermi a un server di cui mi fido e che sia quello specificato)

Di seguito è riportata una stringa di esempio utilizzata per stabilire una connessione diretta con controllo del certificato:

$mysql --host=localhost --port=3306 --user=root --ssl-ca=ca.pem --ssl_mode=VERIFY_CA
[root@3306][(none)]>

Il seguente diagramma mostra il processo di stabilire una connessione con il controllo del certificato abilitato di DataSunrise:

diagramma

DataSunrise implementa la funzionalità di crittografia end-to-end in una catena client-proxy-server.

Guarda il diagramma sopra: ci sono due connessioni. La prima connessione viene stabilita tra un client e un proxy DataSunrise. La configurazione SSL del proxy DataSunrise viene utilizzata per la connessione. Per configurarlo, devi avere il Proxy-key e il Proxy-cert generati e firmati dal certificato CA. Ciò ti permette di essere sicuro di connetterti a un proxy DataSunrise autentico.

La seconda connessione viene stabilita tra un proxy DataSunrise e un server di database e utilizza la propria configurazione SSL. Il proxy DataSunrise funziona qui come un’app cliente e può anche verificare una connessione a un server autentico.

Si prega di notare che l’autenticazione del certificato è un’opzione aggiuntiva per la crittografia SSL, non funziona se la crittografia SSL è disabilitata.

È anche importante che il proxy DataSunrise sia un proxy trasparente e supporti la modalità di crittografia negoziata dal client e dal server di database. Ciò significa che è impossibile crittografare solo una connessione nella catena. Il proxy DataSunrise non può ricevere il traffico crittografato da un’estremità e inviare traffico non crittografato all’altra estremità e viceversa.

Ecco i passaggi che consentono di configurare il controllo del certificato SSL in DataSunrise:

Prima connessione

1. Vai su ConfigurazioneGruppi Chiave SSL e clicca Aggiungi Gruppo

Aggiungi Gruppo

2. Inserisci il tuo Proxy-cert e Proxy-key nei campi corrispondenti. Per questo, devi scegliere il tipo di Proxy.

Tipo di Proxy

3. Vai su Configurazione → Database. Apri la tua pagina di istanza del database e clicca sull’icona della “matita” per modificare le impostazioni del proxy.

Database

4. Seleziona il tuo Gruppo Chiave SSL nell’elenco a discesa Chiavi Proxy e salva le impostazioni.

Chiavi Proxy

Seconda connessione

1. Vai su Configurazione → Gruppo Chiave SSL e clicca Aggiungi Gruppo. Seleziona il tipo Interfaccia e inserisci il tuo CA-cert nel campo CA.

Gruppo Chiave SSL

2. Vai su Configurazione → Database, seleziona la tua istanza e clicca sull’icona “matita” per modificare le impostazioni dell’interfaccia

Istanza

3. Devi specificare il gruppo creato nel primo passaggio, selezionare la modalità di verifica del certificato e salvare le impostazioni.

verifica del certificato
  • Non verificare – il controllo del certificato non verrà effettuato,
  • Verifica solo CA – verrà verificato il certificato CA del server,
  • Verifica CA e Identità – verranno verificati il certificato CA del server e il nome host del server nel certificato.

Dopo aver completato i passaggi sopra, la connessione a un proxy attiva il controllo del certificato per i due server ed elimina la possibilità di attacchi MITM.

$mysql --host=localhost --port=3307 --user=root --ssl-ca=CA_Proxy.crt --ssl_mode=VERIFY_IDENTITY
[root@3307][(none)]>

Did this guide help you?

Contact Us