Startseite
Leitfäden
So konfigurieren Sie DataSunrise zur Maskierung von Daten für Amazon Athena

So konfigurieren Sie DataSunrise zur Maskierung von Daten für Amazon Athena

Wie man die DataSunrise CloudFormation-Vorlage von Launch Configuration (LC) zur Launch Template (LT) Ressource in der Auto Scaling Gruppe migriert Wie man DataSunrise-Ereignisse über einen eingehenden Webhook an einen Microsoft Teams-Kanal sendet, indem man Abonnenten nutzt Wie man die Audit-Datenbankdaten zu AWS S3 auslagert und mit dem AWS Athena-Dienst liest Konvertieren Sie die Test- oder BYOL-Konfiguration von DataSunrise zu stundenweiser Abrechnung PostgreSQL (RDS) vs Aurora PostgreSQL So beheben Sie Fehler wie „Verbindung wurde beendet“ oder „Verbindung wurde unerwartet beendet“ in Anwendungen, die DataSunrise-Proxys verwenden DataSunrise’s Leistung unter hohen Verkehrsbedingungen DataSunrise’s Ansatz zur Konfiguration von Strafen für die Erkennung von SQL-Injection Wie man spezifische Hosts in DataSunrise für erhöhten Datenbank-Schutz blockiert Fehlerbehebung bei AWS Metering und stundenbasierten Abrechnungsproblemen in DataSunrise auf dem AWS Marketplace Wie man Änderungen an Cloud Formation durchführt Dynamische Datenmaskierung mit DataSunrise: Maskierung mit Lua-Skripten Wie wählt man die richtige Datenbank für Audit-Speicher: Eine Leistungsanalyse Wie man pgbench durch den DataSunrise-Proxy auf PostgreSQL 14 mit SCRAM-Authentifizierung ausführt DataSunrise SSO-Authentifizierung basierend auf SAML (Okta) DataSunrise SSO-Authentifizierung basierend auf OpenID (Okta) Umfassender Leitfaden, wie man nach sensiblen Daten in Bildern sucht, die auf AWS S3 gehostet werden Wie man DataSunrise mit Terraform-Template auf Azure bereitstellt DataSunrise mit SQL Server Always On Cluster integrieren Wie man DataSunrise in Microsoft Azure mithilfe des Azure Resource Manager bereitstellt Wie man DataSunrise Statische Datenmaskierung für MongoDB durchführt Wie man DB-Audit-Trails für MS Azure MySQL konfiguriert Konfigurieren von DB-Audit-Trailing für MS Azure PostgreSQL So konfigurieren Sie DataSunrise zur Maskierung von Daten für Amazon Athena Wie man die RHEL-OS-Version bestehender DataSunrise-Server aktualisiert Wie man DataSunrise mit AWS Database Activity Streams integriert, um Auditergebnisse für AWS Aurora PostgreSQL zu erhalten SSL-Zertifikate für den DataSunrise-Datenbank-Proxy einrichten Berichte in DataSunrise: Wichtige Systeme zur Verbesserung der Datenbanksicherheit Wie man Schemas für Benutzer in Redshift versteckt AWS RDS PostgreSQL Audit Protokolle in DataSunrise Auditierung administrativer Aktionen in Ihrem Oracle RDS und EC2 Wie man überprüft, ob DataSunrise Traffic empfängt Entfernen einer Prozedur oder Funktion aus einer Datenbank

Wir erweitern unsere Möglichkeiten durch die Einführung von Dynamic Masking für Amazon Athena. Jetzt können Sie sensible Daten von Athena in Echtzeit verschleiern, um sie vor unbefugten Personen zu schützen.

Client-Anwendungen verwenden eine verschlüsselte Verbindung, um eine Verbindung zu Athena herzustellen. DataSunrise kann Daten in Athena nur im Proxy-Modus maskieren. Eine sichere Verbindung wird dabei in zwei aufgeteilt: von einer Client-Anwendung zu DataSunrise und von DataSunrise zu Athena. Gleichzeitig wird das Server-Zertifikat überprüft. Wenn dieses Zertifikat selbstsigniert ist, können einige Anwendungen eine Verbindung als unsicher betrachten und ablehnen.

DataSunrise verfügt standardmäßig über ein selbstsigniertes SSL-Zertifikat, das zur Herstellung einer verschlüsselten Verbindung zwischen einer Client-Anwendung und einem DataSunrise-Proxy verwendet wird.

Es gibt zwei Möglichkeiten für eine Verbindung zu Athena über einen DataSunrise-Proxy:

Verwenden Sie das selbstsignierte Zertifikat von DataSunrise;
Verwenden Sie ein ordnungsgemäß signiertes SSL-Zertifikat von einer bestimmten Zertifizierungsstelle.

Wenn ein Zertifikat authentisch ist, wird eine Verbindung hergestellt. Andernfalls wird es von einer Client-Anwendung als Man-in-the-Middle-Angriff betrachtet, und die Verbindung wird nicht hergestellt, es sei denn, die Client-Anwendung ist ordnungsgemäß konfiguriert. In diesem Artikel überprüfen wir diesen Prozess am Beispiel von DBeaver.

Instance für Amazon Athena erstellen

Zuerst müssen Sie eine Instanz für Athena in DataSunrise erstellen. Dies ist notwendig, um ein Datenbankprofil zu erstellen. Der Anfang ist für jede Datenbank gleich: Geben Sie einfach die Verbindungsdetails für Ihr Athena ein. Beachten Sie, dass Abfrageergebnisse in S3-Buckets gespeichert werden, sodass Sie einen S3-Bucket im Feld “Abfrageergebnis-Speicherort” angeben müssen.

Unten im Abschnitt “Aufnahmemodus” müssen Sie Proxy auswählen. Im Feld “Proxy-Schlüssel” wählen Sie “Neu erstellen”, um eine neue SSL-Schlüsselgruppe zu generieren und an Ihren Proxy anzuhängen.

Anschließend klicken Sie auf Speichern.

Zertifikat in den Keystore importieren

Gehen Sie wie folgt vor:

Nachdem Sie eine neue SSL-Schlüsselgruppe an Ihren Proxy in DataSunrise angehängt haben, navigieren Sie zu Configuration → SSL Key Groups. Suchen Sie Ihre SSL-Schlüsselgruppe in der Liste und öffnen Sie sie, kopieren Sie das Zertifikat aus dem entsprechenden Feld in eine Textdatei. Erstellen Sie zum Beispiel eine Datei mit dem Namen dsca.crt und fügen Sie das Zertifikat dort ein. Legen Sie die Datei im Ordner C:\athena ab.
Führen Sie die Eingabeaufforderung als Administrator aus und navigieren Sie zu Ihrem DBeaver-Installationsordner. Zum Beispiel C:\Program Files\DBeaver\jre\bin\.

Fügen Sie Ihr Athena-Zertifikat zu cacerts hinzu, das sich in C:\Program Files\DBeaver\jre\lib\security befindet. Zum Beispiel:

keytool.exe -importcert -trustcacerts -alias dsca -v -keystore "C:/Program Files/DBeaver/jre/lib/security/cacerts" -file "C:/athena/dsca.crt" -storepass changeit

Einrichten und Ausführen von DBeaver

Da wir DBeaver verwenden, um Abfragen über den DataSunrise-Proxy an Athena zu senden, müssen Sie die dbeaver.ini-Datei in Ihrem DBeaver-Installationsordner suchen und mit einem Texteditor öffnen. Fügen Sie am Ende der Datei folgende Zeilen hinzu:

-Djavax.net.ssl.trustStore=<jks_file_path>
-Djavax.net.ssl.trustStorePassword=<jks_file_password>

Zum Beispiel:

-Djavax.net.ssl.trustStore=C:/Program Files/Java/jdk-11.0.1/lib/security/cacerts
-Djavax.net.ssl.trustStorePassword=changeit

Führen Sie DBeaver mit den folgenden Parametern aus (Beispiel):

dbeaver.exe -vm "C:\Program Files\DBeaver\jre\bin" -vmargs -Djavax.net.ssl.trustStore="C:\Program Files\DBeaver\jre\lib\security\cacerts" -Djavax.net.ssl.trustStorePassword=changeit

Verbindung über den Proxy mit DBeaver herstellen

Konfigurieren Sie eine Verbindung zu Ihrem Athena über den DataSunrise-Proxy. Auf der Registerkarte Treiber-Eigenschaften setzen Sie ProxyHost und ProxyPort entsprechend den Einstellungen Ihres Athena-Proxys.

Testen Sie dann die Verbindung. Jetzt sollten Sie in der Lage sein, eine Verbindung zu Ihrem Athena über den DataSunrise-Proxy herzustellen.

Dynamic Masking konfigurieren

Nachdem Sie einen Proxy konfiguriert haben, können Sie eine Dynamic Masking Rule für Athena erstellen. Dieser Prozess ist einfach und für jede Datenbank anwendbar.

Unten finden Sie ein Beispiel für eine Tabelle mit echten Daten und den entsprechend maskierten E-Mail-Adressen:

Darüber hinaus unterstützt DataSunrise die unstrukturierte Datenmaskierung für Athena dank NLP (Natural Language Processing). Unstrukturierte Maskierung ermöglicht es Ihnen, sensible Daten in jeder Form und jedem Format zu maskieren. Zum Beispiel kann es sich um ein Word-Dokument oder eine PDF-Datei handeln. Sensible Daten werden mit Sternchen (*) maskiert.

Dynamic Masking für Athena basiert auf der Änderung der Abfrage-Ergebnismengen. Das bedeutet, dass eine Datenbank eine ursprüngliche Abfrage erhält und auch ursprüngliche Daten zurückgibt. Die Maskierung erfolgt, wenn die Daten über einen DataSunrise-Proxy fließen, und der Client erhält danach die verschleierten sensiblen Daten.