DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

DataSunrise Bereitstellungsmodi

DataSunrise Bereitstellungsmodi

DataSunrise ist eine führende Datensicherheitsplattform, bekannt für ihre robusten Schutzfunktionen und flexiblen Bereitstellungsoptionen. DataSunrise ist eine vielseitige Datensicherheitsplattform, die in verschiedenen Konfigurationen bereitgestellt werden kann, um unterschiedlichen organisatorischen Bedürfnissen gerecht zu werden. Das Verständnis der Vor- und Nachteile jedes Bereitstellungsmodus ist entscheidend, um eine fundierte Entscheidung zu treffen, die mit Ihren Sicherheitsanforderungen und Ihrer Infrastruktur übereinstimmt. Hier ist eine professionelle Analyse der vier von DataSunrise angebotenen Bereitstellungsmodi: Proxy-Modus, Sniffer-Modus, Agent-Modus und Trailing DB Audit Logs.

Proxy-Modus

Bild 1. Proxy-Modus Bereitstellung

Funktionen:

  • Volle Funktionalität: Der Proxy-Modus ermöglicht die vollständige Suite von DataSunrise-Funktionen, einschließlich Überwachung der Datenbankaktivität, Datenbank-Firewall sowie dynamisches und statisches Datenmaskierung.
  • Verschlüsselter Datenverkehr: Dieser Modus unterstützt die Verarbeitung von verschlüsseltem Datenverkehr und gewährleistet eine sichere Datenübertragung.
  • Leistung: Es gibt keine direkte Auswirkung auf die Leistung des Datenbankservers, da der Proxy auf einem separaten Host betrieben wird. Dies ist besonders vorteilhaft für Datenbanken, die nach der Anzahl der CPU-Kerne auf dem Datenbankserver lizenziert werden, da keine zusätzlichen Lizenzkosten anfallen.
  • Verzögerung: Der leichtgewichtige Proxy hat nur minimale Auswirkungen auf die Latenz, typischerweise um 5-10% für schnell wachsende Abfragen.
  • Unabhängige Überwachung: Die Überwachungs- und Sicherheitsfunktionen im Proxy-Modus arbeiten unabhängig von der nativen Funktionalität des Datenbankanbieters und den Datenbankadministratoren (DBAs), die das System verwalten. Diese Unabhängigkeit stellt eine klare Aufgabenteilung sicher und erhöht die Sicherheit, indem die Abhängigkeit von externen Konfigurationen und Kontrollen verringert wird. Es bietet eine zusätzliche Schutzschicht, die sicherstellt, dass Sicherheitsmaßnahmen robust, konsistent und nicht internen Änderungen oder Überwachungen unterworfen sind.

Wesentliche Überlegungen:

  • Zusätzliche Netzwerkschicht: Die Einführung einer zusätzlichen Schicht in der Netzwerkinfrastruktur kann ein Risiko für die Verfügbarkeit der Datenbank darstellen. Dieses Risiko kann durch den Einsatz von DataSunrise im Hochverfügbarkeitsmodus (HA) gemindert werden.
  • Netzwerkzugriffskontrolle: Es ist wichtig sicherzustellen, dass der Netzwerkzugriff auf die Datenbank eingeschränkt ist, um direkten Zugriff zu verhindern, der den Proxy umgeht. Der Proxy-Modus kann lokale Verbindungen nicht bearbeiten.

Sniffer-Modus

Bild 2. Sniffer-Modus Bereitstellung

Funktionen:

  • Passive Überwachung: Im Sniffer-Modus kann DataSunrise als Verkehrsanalysegerät fungieren, das den Datenbankverkehr von einem gespiegelten Port ohne Einfluss auf die Datenbankleistung erfasst.
  • Null Auswirkung auf den Datenverkehr: Dieser Modus beeinflusst den Datenbankverkehr oder die Leistung nicht.
  • Unabhängige Überwachung: Ähnlich wie im Proxy-Modus arbeitet der Sniffer-Modus unabhängig von den nativen Funktionen der Datenbank und ist über die Reichweite der Datenbankadministratoren (DBAs) hinaus. Diese Autonomie ermöglicht eine unvoreingenommene Überwachung des Datenverkehrs der Datenbank und stellt sicher, dass DBAs nicht in den Überwachungsprozess eingreifen oder ihn beeinflussen können. Dies verringert erheblich das Risiko von Zugriffsmanipulationen und stärkt die gesamte Sicherheit des Datenbanksystems.

Wesentliche Überlegungen:

  • Begrenzte Funktionalität: Der Sniffer-Modus unterstützt keine aktiven Sicherheitsfunktionen wie die Datenbank-Firewall oder Maskierung. Er kann den Datenverkehr der Datenbank nicht verändern.
  • SSL-Verschlüsselungslimit: SSL-verschlüsselter Verkehr kann in diesem Modus nicht analysiert werden, was angesichts der weit verbreiteten Verwendung von SSL-Verschlüsselung heute ein erheblicher Nachteil ist. Um den Sniffer-Modus nutzen zu können, muss die Verschlüsselung deaktiviert oder auf die Verwendung schwächerer Algorithmen konfiguriert werden (nur unterstützt für MS SQL Server).
  • Lokale Verbindungen: Der Sniffer-Modus kann lokale Verbindungen nicht bearbeiten.
  • Einschränkungen in virtuellen Umgebungen: Port-Spiegelungsfunktionen variieren in verschiedenen virtuellen und Cloud-Umgebungen. Virtuelle und Cloud-Umgebungen können Einschränkungen für Port-Spiegelung haben, die vom Anbieter abhängen.
  • Komplexität der Netzwerkkonfiguration: Das Einrichten der Verkehrs-Spiegelung erfordert oft ein gutes Verständnis dafür, wie der Datenverkehr innerhalb der Netzwerkinfrastruktur fließt. Nur mit einer durchdachten Strategie für die Arbeit mit Netzwerkverkehr kann die Verkehrs-Spiegelung richtig konfiguriert werden, um 100% aller Verbindungen zu verarbeiten. Es ist auch zu beachten, dass sich Netzwerkadressen von Datenbanken ändern können, was ebenfalls klar überwacht werden muss.

Trailing DB Audit Logs

Bild 3. Trailing DB Modus Bereitstellung

Funktionen:

  • Natives Auditing: Dieser Modus nutzt die nativen Auditing-Tools verschiedener Datenbanken, einschließlich Oracle, Snowflake, Neo4J, PostgreSQL-ähnliche, AWS S3, MS SQL Server, GCloud BigQuery, MongoDB und MySQL-ähnliche Datenbanken.
  • Keine Änderungen der Netzwerkinfrastruktur: Es ist nicht erforderlich, die bestehende Netzwerkinfrastruktur zu ändern oder eine zusätzliche Schicht wie einen Proxy hinzuzufügen.
  • Umfassende Überwachung: Da die Datenbank native Audit-Protokolle erstellt, sind sowohl entfernte als auch lokale Verbindungen einbezogen.

Wesentliche Überlegungen:

  • Leistungseinbußen: Die Leistung der Datenbank kann beeinträchtigt sein, da sie für die Erstellung der Protokolle verantwortlich ist. In aktiven Umgebungen kann die Leistungsbeeinträchtigung 15-30% erreichen.
  • Verwaltung der Audit-Protokolle: Native Audit-Protokolle erfordern die Konfiguration durch den DBA, was die Verantwortungslinien zwischen Sicherheit und Datenbankverwaltung verschwimmen lassen kann. Es besteht auch das Risiko, dass Audit-Protokolle versehentlich oder absichtlich vom DBA deaktiviert werden.

Agent-Modus

Bild 4. Agent-Modus Bereitstellung

Funktionen:

  • Minimale Netzwerkänderungen: Der Agent-Modus erfordert keine Hinzufügung einer zusätzlichen Netzwerkschicht, und die Verkehrsverarbeitung auf einem separaten Host kann die Auswirkungen auf die Datenbankleistung minimieren.
  • Handhabung lokaler Verbindungen: Dieser Modus kann lokale Verbindungen verarbeiten.

Wesentliche Überlegungen:

  • Begrenzte Unterstützung: Nicht alle Datenbanken sind in unserer aktuellen Liste der unterstützten Datenbanken enthalten. Um die aktuellste Liste der unterstützten Datenbanken zu erhalten oder unsere neuesten Anleitungen zu konsultieren, kontaktieren Sie bitte unser Support-Team unter [email protected].
  • Kompatibilität der Agenten: Kunden sollten die Kompatibilität mit anderen Agenten überprüfen, die in derselben Umgebung installiert werden können.

Webanwendungsmodus

DataSunrise Webanwendungsmodus - Schema

In diesem Modus werden einige Module bereitgestellt – squid-proxy und backend-proxy. Das Ecap-Modul (squid-proxy) erfasst den Datenverkehr zwischen dem Client und der Webanwendung und sendet ihn zur Analyse an DataSunrise.

Wesentliche Überlegungen:

Nur “passive Sicherheit” ist für den Webanwendungsmodus verfügbar

Abschließend bietet jeder DataSunrise-Bereitstellungsmodus einzigartige Vorteile und bringt eine Reihe von Überlegungen mit sich. Bei der Auswahl des geeigneten Modus ist es wichtig, die Vor- und Nachteile im Kontext Ihrer spezifischen Sicherheitsanforderungen, Infrastruktur und Leistungsanforderungen abzuwägen. So können Sie sicherstellen, dass Ihre Daten sicher bleiben und gleichzeitig die optimale Datenbankleistung erhalten bleibt.

Nächste

DataSunrise Unterstützung für Babelfish

DataSunrise Unterstützung für Babelfish

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Vertrieb:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]