DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

  • Homepage
  • Guide
  • Come Configurare i Certificati SSL per il Proxy di Database di DataSunrise

Come Configurare i Certificati SSL per il Proxy di Database di DataSunrise

Come Migrare il Template CloudFormation di DataSunrise da Launch Configuration (LC) a Launch Template (LT) nella Risorsa del Gruppo di Auto Scaling Come Inviare Eventi DataSunrise a un Canale Microsoft Teams tramite Webhook in Entrata utilizzando i Subscribers Come Delegare I Dati Dell’Audit Del Database In AWS S3 E Leggerli Usando Il Servizio AWS Athena Come Convertire la Configurazione di Prova o BYOL di DataSunrise alla Fatturazione Oraria Backend DB: PostgreSQL (RDS) o Aurora PostgreSQL Come Risolvere gli Errori “La Connessione è Stata Terminata” o “Connessione Terminata Inaspettatamente” nelle Applicazioni che Usano i Proxy di DataSunrise Esplorare le Prestazioni di DataSunrise in Condizioni di Alto Traffico L’Approccio di DataSunrise alla Configurazione delle Sanzioni per il Rilevamento di SQL Injection Come Bloccare Host Specifici in DataSunrise per Migliorare la Sicurezza del Database Risoluzione dei Problemi di Misurazione e Fatturazione Oraria AWS in DataSunrise su AWS Marketplace Modifica della Formazione del Cloud Mascheramento Dinamico dei Dati con DataSunrise: Mascheramento con Script Lua Come Scegliere il Database per la Memorizzazione Audit: Un’Analisi delle Prestazioni Come Eseguire pgbench tramite il Proxy DataSunrise su PostgreSQL 14 con Autenticazione SCRAM Controlla la Visibilità dei Nomi delle Tabelle Installare il pacchetto DataSunrise dal Repository DEB (per Debian 12/Ubuntu 22) Autenticazione SSO di DataSunrise Basata su SAML (Okta) Autenticazione SSO di DataSunrise Basata su OpenID (Okta) Come Cercare Dati Sensibili in Immagini Ospitate su AWS S3 Come Implementare DataSunrise con Modello Terraform su Azure Come Integrare DataSunrise con SQL Server Always On Cluster Come Distribuire DataSunrise in Microsoft Azure Utilizzando Azure Resource Manager Come Eseguire il Mascheramento Statico dei Dati DataSunrise per MongoDB Come Configurare la Traccia di Audit del Database per MySQL su MS Azure Come Configurare la Traccia di Audit di Database per MS Azure PostgreSQL Come Configurare DataSunrise per Mascherare i Dati per Amazon Athena Come Aggiornare La Versione OS di RHEL sui Server Esistenti di DataSunrise Come Integrare DataSunrise con AWS Database Activity Streams per Ottenere i Risultati degli Audit per AWS Aurora PostgreSQL Come Configurare i Certificati SSL per il Proxy di Database di DataSunrise Generazione di Report in DataSunrise Come Nascondere gli Schemi dagli Utenti in Redshift Introduzione alla Nuova Console Centralizzata di DataSunrise Audit Log di AWS RDS PostgreSQL in DataSunrise Mascheramento del Testo Non Strutturato su AWS S3 Mascheramento Dinamico dei Dati Come Audire le Azioni Amministrative nel Tuo Oracle RDS e EC2 DataSunrise Regole Migliori Pratiche Il Lua script scopre i dati sensibili nei file JSON Come Verificare se DataSunrise Riceve Traffico Come Rimuovere una Procedura o una Funzione da un Database Principi Base del Mascheramento Dinamico Installare DataSunrise dal Repository RPM (per RHEL, CentOS 8/9) Installa DataSunrise dal repository DEB (Debian, Ubuntu) Guida alla Sicurezza Regole di Sicurezza contro le Iniezioni SQL Guida all’Audit Regole di Apprendimento e Audit Priorità delle Regole Guida al Mascheramento Dinamico dei Dati Guida al Mascheramento Statico dei Dati

La maggior parte dei database supporta la verifica dell’identità del server utilizzando i certificati. Pertanto, viene eseguita una procedura di verifica durante una connessione a un server: se il certificato ricevuto dal server è autentico, verrà stabilita una connessione; altrimenti, sarà considerato un attacco man-in-the-middle. Per impostazione predefinita, questo controllo del certificato del server può essere abilitato/disabilitato a seconda del DBMS. Tuttavia, consigliamo di abilitare il controllo del certificato per mantenere i tuoi dati al sicuro.

Per una connessione diretta tra un database e un’applicazione client, il controllo del certificato funziona come segue:

client(CA-cert) <---> server(Server-cert, Server-key)
  • CA-cert – certificato radice dell’autorità di certificazione,
  • Server-key – chiave privata del server
  • Server-cert – certificato del server firmato dalla CA.

Prendiamo come esempio MySQL.

Il client MySQL è a conoscenza del certificato CA. Sul lato server ci sono Server-cert e Server-key. La modalità SSL può essere abilitata dal client. Il valore predefinito di ssl_mode=prefer significa che l’autenticazione del certificato del server è disabilitata. Inoltre, il parametro ssl_mode può essere impostato su:

  • Verify-CA (Voglio che i miei dati siano crittografati e accetto il sovraccarico. Voglio essere sicuro di connettermi a un server di cui mi fido)
  • Verify-Identity (Voglio che i miei dati siano crittografati e accetto il sovraccarico. Voglio essere sicuro di connettermi a un server di cui mi fido e che sia quello specificato)

Di seguito è riportata una stringa di esempio utilizzata per stabilire una connessione diretta con controllo del certificato:

$mysql --host=localhost --port=3306 --user=root --ssl-ca=ca.pem --ssl_mode=VERIFY_CA
[root@3306][(none)]>

Il seguente diagramma mostra il processo di stabilimento di una connessione con il controllo del certificato DataSunrise abilitato:

diagram

DataSunrise implementa la funzionalità di crittografia end-to-end in una catena client-proxy-server.

Guarda il diagramma sopra: ci sono due connessioni. La prima connessione viene stabilita tra un client e un proxy DataSunrise. Per questa connessione viene utilizzata la configurazione SSL del proxy DataSunrise. Per configurarla, è necessario avere Proxy-key e Proxy-cert generati e firmati dal certificato CA. Questo ti permette di essere sicuro di connetterti a un autentico proxy DataSunrise.

La seconda connessione viene stabilita tra un proxy DataSunrise e un server di database e utilizza la propria configurazione SSL. Il proxy DataSunrise funziona qui come un’applicazione client e può anche verificare una connessione a un server autentico.

Si prega di notare che l’autenticazione del certificato è un’opzione aggiuntiva per la crittografia SSL, non funziona se la crittografia SSL è disabilitata.

È anche importante che il proxy DataSunrise sia un proxy trasparente e supporti la modalità di crittografia negoziata dal client e dal server di database. Questo significa che è impossibile crittografare solo una connessione nella catena. Il proxy DataSunrise non può ricevere traffico crittografato da un’estremità e inviare traffico non crittografato all’altra estremità e viceversa.

Ecco i passaggi che ti permettono di configurare il controllo del certificato SSL in DataSunrise:

Prima connessione

1. Vai a ConfigurationSSL Key Groups e clicca Add Group

Add Group

2. Inserisci il tuo Proxy-cert e Proxy-key nei campi corrispondenti. Per questo, devi scegliere il tipo di Proxy.

Proxy type

3. Vai a Configuration → Databases. Apri la pagina della tua istanza di database e clicca sull’icona “matita” per modificare le impostazioni del proxy.

Databases

4. Seleziona il tuo SSL Key Group nell’elenco a discesa Proxy Keys e salva le impostazioni.

Proxy Keys

Seconda connessione

1. Vai a Configuration → SSL Key Group e clicca Add Group. Seleziona il tipo Interface e inserisci il tuo CA-cert nel campo CA.

SSL Key Group

2. Vai a Configuration → Databases, seleziona la tua istanza e clicca sull’icona “matita” per modificare le impostazioni dell’interfaccia.

Instance

3. Devi specificare il gruppo creato nel primo passaggio, selezionare la modalità di verifica del certificato e salvare le impostazioni.

certificate verification
  • Don’t verify – il controllo del certificato non verrà eseguito,
  • Verify CA only – verrà verificato il certificato CA del server,
  • Verify CA and Identity – verranno verificati il certificato CA del server e il nome host del server nel certificato.

Avendo completato i passaggi sopra, la connessione a un proxy avvierà il controllo del certificato per i due server ed eliminerà la possibilità di attacchi MITM.

$mysql --host=localhost --port=3307 --user=root --ssl-ca=CA_Proxy.crt --ssl_mode=VERIFY_IDENTITY
[root@3307][(none)]>

Did this guide help you?

Contact Us