Vollständiger ClickHouse-Schutz
ClickHouse ist zur Grundlage für Echtzeitanalysen in Organisationen geworden, die enorme Datenmengen verarbeiten. Die spaltenorientierte Architektur liefert außergewöhnliche Abfrageleistung, doch diese Geschwindigkeit bringt Sicherheitsherausforderungen mit sich, die traditionelle Datenbankschutz-Tools nur schwer bewältigen können. Mit DataSunrise 11.3 führen wir umfassende Unterstützung für ClickHouse durch native und HTTP-Protokollparser, eine auf Databricks basierende SQL-Grammatik und vollständige Durchsetzung von Sicherheitsregeln ein.
Warum ClickHouse-Sicherheit einen spezialisierten Ansatz erfordert
ClickHouse arbeitet anders als herkömmliche relationale Datenbanken. Es verwendet sowohl das native TCP-Protokoll (Port 9000) als auch die HTTP-Schnittstelle (Port 8123) für Client-Verbindungen, verarbeitet erweiterte SQL-Syntax und bewältigt analytische Workloads in Geschwindigkeiten, die herkömmliche Sicherheitsproxys überfordern können.
Standard-Datenbankfirewalls verfehlen häufig das korrekte Parsen von ClickHouse-Verkehr, was zu unvollständigen Audit-Protokollen, verpassten Richtlinienverstößen oder inakzeptabler Latenz führt. Organisationen, die ClickHouse für geschäftskritische Analysen nutzen, benötigen einen Schutz, der den Leistungsmerkmalen der Datenbank entspricht.
Native und HTTP-Protokollanalyse
DataSunrise 11.3 bietet echte Protokollebene-Sichtbarkeit für ClickHouse-Verkehr. Die Lösung analysiert beide Kommunikationsmethoden:
| Protokoll | Standardport | Beschreibung |
|---|---|---|
| Native (TCP) | 9000 | Binäres Protokoll, das vom clickhouse-client und nativen Treibern verwendet wird. Für beste Leistung empfohlen. |
| HTTP | 8123 | REST-API-Schnittstelle, genutzt von JDBC-Treibern und Webanwendungen. |
Diese doppelte Protokollabdeckung stellt sicher, dass keine Abfragen unüberwacht bleiben, egal wie Anwendungen sich mit Ihren ClickHouse-Clustern verbinden.
Unterstützung der auf Databricks basierenden SQL-Grammatik
Der SQL-Parser von DataSunrise erkennt den erweiterten SQL-Dialekt von ClickHouse nativ, einschließlich der PostgreSQL-ähnlichen Syntax mit Typumwandlungen mittels ::-Notation. Diese Parsinggenauigkeit ermöglicht:
- Klassifizierung und Kategorisierung von Abfragen
- Zugriffsverfolgung auf Objektebene (Datenbanken, Tabellen, Spalten)
- Analyse von Funktionen und Ausdrücken
- Erkennung von Unterabfragen
Ohne ordnungsgemäße Grammatikunterstützung würden Sicherheitsregeln, die auf bestimmte Tabellen oder Operationen abzielen, bei den Syntaxvariationen von ClickHouse versagen.
Unterstützte Sicherheitsfunktionen
DataSunrise 11.3 bietet umfangreiche Funktionen für ClickHouse:
- Audit – Überwachen und Protokollieren aller Datenbankabfragen und Aktivitäten
- Dynamisches Maskieren – Echtzeitmaskierung sensibler Daten in Abfrageergebnissen
- Dynamische Blockierung – Blockieren unautorisierter Abfragen basierend auf Sicherheitsregeln
- Datenentdeckung – Identifizieren und Klassifizieren sensibler Daten in Ihrer ClickHouse-Umgebung
- Sniffer-Modus – Passives Verkehrsmonitoring ohne Proxy-Einsatz
- Natives Protokoll-Tracking – Erfassen von Audit-Ereignissen aus dem nativen Logging von ClickHouse
Dynamisches Datenmaskieren
Empfindliche Daten in analytischen Datenbanken umfassen oft Millionen von Zeilen über breite Tabellen. Statisches Maskieren ist unpraktisch, wenn Datenwissenschaftler schnellen Zugriff auf produktionsgroße Datensätze benötigen.
Dynamisches Maskieren verwandelt sensible Werte in Echtzeit, während Abfrageergebnisse an Benutzer zurückgegeben werden. So konfigurieren Sie dynamisches Maskieren für ClickHouse:
- Navigieren Sie zu Maskierung → Dynamische Maskierungsregeln
- Klicken Sie auf Regel hinzufügen
- Wählen Sie die ClickHouse-Datenbank-Instanz aus
- Konfigurieren Sie Maskierungseinstellungen für bestimmte Spalten oder Datenmuster
- Klicken Sie auf Speichern
Analysten sehen maskierte Werte, während Abfragen mit voller ClickHouse-Geschwindigkeit ausgeführt werden. Die zugrundeliegenden Daten bleiben unberührt.
Durchsetzung von Sicherheitsregeln
DataSunrise setzt umfassende Sicherheitsrichtlinien in Ihrer ClickHouse-Umgebung durch. So konfigurieren Sie Sicherheitsregeln:
- Navigieren Sie zu Sicherheit → Sicherheitsregeln
- Klicken Sie auf Regel hinzufügen
- Wählen Sie die ClickHouse-Datenbank-Instanz aus
- Definieren Sie Regelbedingungen und Aktionen
- Klicken Sie auf Speichern
Regeln werden anhand von geparsten Abfrage-Metadaten bewertet, was präzise Bedingungen ermöglicht, die sich auf bestimmte Datenbanken, Tabellen, Spalten oder SQL-Operationen beziehen.
Erste Schritte
So konfigurieren Sie DataSunrise für ClickHouse:
- Gehen Sie zu Konfiguration → Datenbanken und klicken Sie auf Datenbank hinzufügen
- Wählen Sie ClickHouse aus dem Dropdown-Menü für den Datenbanktyp
- Konfigurieren Sie Verbindungsparameter einschließlich Hostname, Port und Protokoll (Native oder HTTP)
- Klicken Sie auf Verbindung testen, um die Konnektivität zu prüfen
- Konfigurieren Sie die Proxy-Einstellungen für Client-Verbindungen
- Klicken Sie auf Speichern
Verbinden Sie sich über den DataSunrise-Proxy mit clickhouse-client:
clickhouse-client --user <Benutzername> --password <Passwort> --host <datasunrise_host> --port <proxy_port>
Oder via JDBC für HTTP-Verbindungen:
jdbc:clickhouse://<datasunrise_host>:<proxy_port>/<Datenbank>
Die ClickHouse-Unterstützung ist jetzt in DataSunrise 11.3 verfügbar. Für Teams, die Hochleistungsanalysen durchführen, steht die Datenbanksicherheit auf Enterprise-Niveau einsatzbereit zur Verfügung.
Schützen Sie Ihre Daten mit DataSunrise
Sichern Sie Ihre Daten auf jeder Ebene mit DataSunrise. Erkennen Sie Bedrohungen in Echtzeit mit Activity Monitoring, Data Masking und Database Firewall. Erzwingen Sie die Einhaltung von Datenstandards, entdecken Sie sensible Daten und schützen Sie Workloads über 50+ unterstützte Cloud-, On-Premise- und KI-System-Datenquellen-Integrationen.
Beginnen Sie noch heute, Ihre kritischen Daten zu schützen
Demo anfordern Jetzt herunterladen