DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

  • Homepage
  • Guide
  • Come Integrare DataSunrise con AWS Database Activity Streams per Ottenere i Risultati degli Audit per AWS Aurora PostgreSQL

Come Integrare DataSunrise con AWS Database Activity Streams per Ottenere i Risultati degli Audit per AWS Aurora PostgreSQL

Come Migrare il Template CloudFormation di DataSunrise da Launch Configuration (LC) a Launch Template (LT) nella Risorsa del Gruppo di Auto Scaling Come Inviare Eventi DataSunrise a un Canale Microsoft Teams tramite Webhook in Entrata utilizzando i Subscribers Come Delegare I Dati Dell’Audit Del Database In AWS S3 E Leggerli Usando Il Servizio AWS Athena Come Convertire la Configurazione di Prova o BYOL di DataSunrise alla Fatturazione Oraria Backend DB: PostgreSQL (RDS) o Aurora PostgreSQL Come Risolvere gli Errori “La Connessione è Stata Terminata” o “Connessione Terminata Inaspettatamente” nelle Applicazioni che Usano i Proxy di DataSunrise Esplorare le Prestazioni di DataSunrise in Condizioni di Alto Traffico L’Approccio di DataSunrise alla Configurazione delle Sanzioni per il Rilevamento di SQL Injection Come Bloccare Host Specifici in DataSunrise per Migliorare la Sicurezza del Database Risoluzione dei Problemi di Misurazione e Fatturazione Oraria AWS in DataSunrise su AWS Marketplace Modifica della Formazione del Cloud Mascheramento Dinamico dei Dati con DataSunrise: Mascheramento con Script Lua Come Scegliere il Database per la Memorizzazione Audit: Un’Analisi delle Prestazioni Come Eseguire pgbench tramite il Proxy DataSunrise su PostgreSQL 14 con Autenticazione SCRAM Controlla la Visibilità dei Nomi delle Tabelle Installare il pacchetto DataSunrise dal Repository DEB (per Debian 12/Ubuntu 22) Autenticazione SSO di DataSunrise Basata su SAML (Okta) Autenticazione SSO di DataSunrise Basata su OpenID (Okta) Come Cercare Dati Sensibili in Immagini Ospitate su AWS S3 Come Implementare DataSunrise con Modello Terraform su Azure Come Integrare DataSunrise con SQL Server Always On Cluster Come Distribuire DataSunrise in Microsoft Azure Utilizzando Azure Resource Manager Come Eseguire il Mascheramento Statico dei Dati DataSunrise per MongoDB Come Configurare la Traccia di Audit del Database per MySQL su MS Azure Come Configurare la Traccia di Audit di Database per MS Azure PostgreSQL Come Configurare DataSunrise per Mascherare i Dati per Amazon Athena Come Aggiornare La Versione OS di RHEL sui Server Esistenti di DataSunrise Come Integrare DataSunrise con AWS Database Activity Streams per Ottenere i Risultati degli Audit per AWS Aurora PostgreSQL Come Configurare i Certificati SSL per il Proxy di Database di DataSunrise Generazione di Report in DataSunrise Come Nascondere gli Schemi dagli Utenti in Redshift Introduzione alla Nuova Console Centralizzata di DataSunrise Audit Log di AWS RDS PostgreSQL in DataSunrise Mascheramento del Testo Non Strutturato su AWS S3 Mascheramento Dinamico dei Dati Come Audire le Azioni Amministrative nel Tuo Oracle RDS e EC2 DataSunrise Regole Migliori Pratiche Il Lua script scopre i dati sensibili nei file JSON Come Verificare se DataSunrise Riceve Traffico Come Rimuovere una Procedura o una Funzione da un Database Principi Base del Mascheramento Dinamico Installare DataSunrise dal Repository RPM (per RHEL, CentOS 8/9) Installa DataSunrise dal repository DEB (Debian, Ubuntu) Guida alla Sicurezza Regole di Sicurezza contro le Iniezioni SQL Guida all’Audit Regole di Apprendimento e Audit Priorità delle Regole Guida al Mascheramento Dinamico dei Dati Guida al Mascheramento Statico dei Dati

Panoramica dei Metodi di Audit delle Attività del Database

Oggi, l’audit del database diventa sempre più importante a causa di numerose leggi e regolamenti dedicati alla protezione dei dati sensibili come GDPR, KVKK, ecc.

Tecnicamente, esistono molti metodi di audit del database, i più popolari sono:

  • Proxy del traffico del database;
  • Ascolto passivo del traffico del database;
  • Lettura dei log raccolti dagli strumenti di audit nativi del database;
  • Integrazione con servizi di audit dedicati come AWS DAS.

Ogni approccio ha i propri pro e contro, limitazioni e opportunità. Gli utenti di Amazon potrebbero trovare gli ultimi due approcci più adatti alle loro esigenze. Questi metodi consentono agli utenti di AWS di notificare il personale di sicurezza su eventi specifici del database, creare rapporti sull’attività nel cluster Aurora PG, ecc.

AWS Database Activity Streams (DAS) forniscono uno stream quasi in tempo reale dell’attività nel tuo cluster DB e ti offrono i seguenti vantaggi rispetto ai meccanismi di log nativi del database (funzionalità di DataSunrise per trails DB di audit log):

  • Il processo di configurazione di DAS è molto più semplice rispetto alla configurazione dei “trails” regolari basati su file di log. Inoltre, non hai bisogno di spazio extra per l’archiviazione dei log;
  • Aumentata protezione contro le minacce interne: gli amministratori del database non hanno accesso alla raccolta, trasmissione, archiviazione e elaborazione dei flussi di attività del database;
  • DAS offre maggiore flessibilità rispetto ai “trails” regolari grazie alle modalità Sincrona e Asincrona disponibili.

Il maggior svantaggio di DAS è la sua incompatibilità con alcune classi di istanze RDS e versioni di Amazon Aurora.

Il seguente diagramma mostra un cluster Aurora PG integrato con DataSunrise:

Qui, un cluster Aurora PG con DAS abilitato. Aurora invia dati sull’attività del database a AWS Kinesis. I flussi di attività sono crittografati utilizzando una chiave di crittografia AWS KMS. Kinesis a sua volta trasmette i flussi di attività del database a DataSunrise utilizzato come strumento di monitoraggio del database. DataSunrise consuma i flussi e salva i risultati dell’audit nel proprio storage di Audit. Gli eventi del database catturati sono quindi visualizzati nella sezione Trails Transazionali della Web Console di DataSunrise.

Prerequisiti per il Cluster Aurora PG

Prima di configurare DAS, assicurati che il tuo ambiente AWS rispetti i seguenti requisiti.

Versioni del database Aurora PostgreSQL supportate:

  • Tutte le versioni 13
  • Tutte le versioni 12
  • Versione 11.6 e versioni superiori 11
  • Versione 10.11 e versioni superiori 10

Classi di Istanza AWS RDS supportate:

  • db.r6g
  • db.r5
  • db.r4
  • db.x2g

I flussi di attività del database sono supportati in tutte le Regioni AWS eccetto le seguenti:

  • Regione Cina (Pechino), cn-north-1
  • Regione Cina (Ningxia), cn-northwest-1
  • AWS GovCloud (US-East), us-gov-east-1
  • AWS GovCloud (US-West), us-gov-west-1

Varie:

  • DAS richiede l’uso di AWS Key Management Service (AWS KMS). AWS KMS è necessario perché i flussi di attività sono sempre crittografati
  • I flussi di attività del database richiedono l’uso di Amazon Kinesis

Leggi di più: https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/DBActivityStreams.Overview.html#DBActivityStreams.Overview.requirements.version

Creazione di una Chiave AWS KMS

Poiché i flussi di attività sono sempre crittografati, è necessario usare una chiave di crittografia. Aurora usa la chiave KMS per crittografare la chiave che a sua volta crittografa l’attività del database. Se non hai una chiave KMS, creala.

Accedi a Key Management System (KMS) di AWS, clicca su Create a Key. Imposta le seguenti opzioni per la tua chiave:

  • Key Type: Symmetric
  • Key Material Origin: KMS
  • Regionality: Single-region key
  • Key Policy: predefinita

Leggi di più: https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html

Avvio di DAS per il tuo Cluster Aurora PG

Dopo aver preparato l’ambiente RDS Aurora PG, puoi avviare i flussi di attività del database.

Accedi a RDS Managed Relational Database Service (RDS), seleziona Databases, scegli il cluster DB per il quale abilitare un flusso di attività, clicca su Actions -> Start Database Activity Stream:

Configura DAS nel seguente modo:

  • Master Key: la tua chiave KMS
  • Database Activity Stream Mode: Asynchronous o Synchronous. Raccomandiamo di usare la modalità Synchronous perché privilegia l’accuratezza del flusso di attività rispetto alle prestazioni del database. La differenza tra queste due modalità puoi trovarla qui.
  • Apply Immediately: se applicare le modifiche immediatamente o su pianificazione.
  • Puoi accedere al flusso nella sezione Configurazione delle impostazioni del tuo cluster (Database Activity Stream -> Kinesis Stream): Leggi di più: https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/DBActivityStreams.Enabling.html

Configurazione dell’Audit Basato su DAS in DataSunrise

Dopo aver avviato DAS per il tuo cluster Aurora, puoi procedere alla configurazione di DataSunrise per consumare i flussi di attività del database.

Per abilitare DataSunrise a lavorare con DAS, il tuo utente IAM ha bisogno di accesso ad alcune funzionalità di Kinesis, KMS e RDS. Per concedere i permessi necessari, accedi a Identity and Access Management (IAM) -> Users, e allega la seguente policy al tuo Utente:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
            "Kinesis:DescribeStreamSummary",
            "Kinesis:ListShards",
            "Kinesis:GetShardIterator",
            "Kinesis:GetRecords",
            "Kinesis:DescribeStreamSummary",
            "KMS:Decrypt",
            "RDS:DescribeDBClusters"],
            "Resource": ["","",""]
        }
    ]
}

Crea una nuova Istanza del Database Aurora PG o usa una esistente. Apri la Web Console di DataSunrise e accedi a Configuration -> Databases.

  • Fornisci i dettagli di connessione per il tuo database Aurora PG. Specifica l’endpoint del tuo cluster Aurora PG nel campo Host;
  • Nella sezione Capture Mode della pagina dell’istanza, seleziona Trailing the DB Audit Logs dal menu a discesa Mode;
  • Nel menu a discesa Format Type, seleziona Database Activity Stream;
  • Compila tutti i campi richiesti. Salva l’istanza.

Crea una regola di audit per la tua istanza Aurora PG: accedi a Audit -> Rules e crea una Regola

Per i risultati dell’audit, accedi a Audit -> Transactional Trails. Nota che i risultati potrebbero apparire con un ritardo di circa 5-10 minuti.

Puoi anche regolare l’audit basato su DAS di DataSunrise cambiando i seguenti parametri (System Settings -> Additional Parameters):

  • TrailDASIntervalTime: periodo di tempo per ottenere un elenco di eventi (es. per gli ultimi 5 minuti a partire dall’ultimo record);
  • TrailDASOffsetTime: ritardo per ottenere gli eventi (necessario per la sincronizzazione, secondi).

Did this guide help you?

Contact Us