DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Wie man die Daten-Compliance für TiDB automatisiert

Einführung

TiDB ist eine verteilte SQL-Datenbank, die für Hybrid Transactional und Analytical Processing (HTAP) optimiert wurde und in Branchen wie SaaS, Fintech und Einzelhandel weit verbreitet ist. In diesem Leitfaden erfahren Sie, wie Sie die Daten-Compliance für TiDB automatisieren, indem Sie native Zugriffskontrollen und DataSunrise als Automatisierungsschicht verwenden – so erfüllen Sie die Anforderungen von DSGVO, HIPAA, SOX und PCI DSS.

Schritt 1: Sensible Daten entdecken

Der erste Schritt bei der Automatisierung der Compliance besteht darin, herauszufinden, wo sich sensible Daten befinden. TiDB bietet keine integrierten Erkennungsfunktionen, sodass häufig manuelle Abfragen wie die folgende verwendet werden, um Spalten mit Namen, die auf personenbezogene Daten (PII) hindeuten, zu finden. Für automatisierte Klassifizierung und Sichtbarkeit lesen Sie mehr über den Datenaktivitätsverlauf.

Codebeispiel:

SELECT table_name, column_name
FROM information_schema.columns
WHERE column_name REGEXP 'email|name|address|card|phone';
Wie man die Daten-Compliance für TiDB automatisiert - DBeaver verbunden mit TiDB, zeigt die Struktur einer Datenbanktabelle mit Spalten, die potenziell sensible Daten wie Namen und E-Mails enthalten.
DBeaver-Oberfläche, die mit TiDB verbunden ist und eine manuelle Schema-Inspektion von Feldern anzeigt, die wahrscheinlich sensible Daten wie Namen, E-Mails oder Adressen enthalten.

Obwohl dieser Ansatz funktioniert, ist er auf Namensmuster beschränkt und skaliert nicht gut bei großen oder sich ändernden Schemas. Weitere flexible Schutzmechanismen lassen sich mit kontinuierlichem Datenschutz ergänzen.

DataSunrises Discovery-Engine automatisiert diesen Prozess, indem sie die TiDB-Datenbankstruktur scannt und Metadaten sowie Beispielwerte (sofern erlaubt) analysiert. Es verwendet eine Kombination aus:

  • Musterbasierte Regeln (z. B. Regex für Sozialversicherungsnummern, E-Mails, Kartennummern)
  • Wörterbuchabgleich (z. B. für Namen, Berufsbezeichnungen, Länderliste)
  • Benutzerdefinierten Tags (z. B. für branchenspezifische Felder wie medizinische Codes oder Kontonummern)

Sobald ein Scan abgeschlossen ist,:

  • kategorisiert und kennzeichnet DataSunrise die Spalten als PII, PHI, Finanzdaten usw.
  • fasst die Ergebnisse in einem Compliance-Bericht zusammen
  • ermöglicht den Export der Ergebnisse für Dokumentations- oder Folgeanwendungen
  • leitet die identifizierten Spalten automatisch in Maskierungs- und Alarmierungsregeln ein
Wie man die Daten-Compliance für TiDB automatisiert - DataSunrise-Dashboard zeigt gescannte Objekte und identifizierte sensible Informationstypen wie Adresse, Land, Namen und US-Telefonnummer.
DataSunrise Discovery-Dashboard fasst einen TiDB-Scan zusammen – PII-Typen wie Adresse, Land, Name und Telefonnummer werden visuell in den gescannten Schemas, Tabellen und Spalten identifiziert.

Sie können Discovery-Scans so planen, dass sie regelmäßig ausgeführt werden – was sicherstellt, dass neu hinzugefügte Spalten oder Schemaänderungen kontinuierlich überprüft werden, ohne dass manueller Aufwand erforderlich ist. So wird Ihr Compliance-Prozess von einem Ad-hoc-Ansatz zu einem voll proaktiven Ansatz. Ergänzend empfehlen wir den Einsatz der Audit-Regel-Engine zur Kategorisierung und Weiterverarbeitung.

Durch den Einsatz automatisierter Scans reduzieren Sie menschliche Fehler und automatisieren die Daten-Compliance für TiDB auf skalierbare und wiederholbare Weise. Weiterführende Schutzmechanismen wie statische Maskierung oder rollenbasierte Zugriffskontrollen sorgen für zusätzliche Sicherheit.

Schritt 2: Zugriffsregeln definieren

TiDB unterstützt die Erstellung von Benutzern und die Zuweisung von Berechtigungen auf MySQL-kompatible Weise. Sie können Benutzer erstellen und Schema- oder Tabellenberechtigungen wie unten gezeigt vergeben. Alternativ können automatisierte Warnungen durch Slack-Benachrichtigungen ausgelöst werden.

Codebeispiel:

CREATE USER 'auditor'@'%' IDENTIFIED BY 'SecurePass123!';
GRANT SELECT ON customer_data.* TO 'auditor'@'%';

Um Risiken zu minimieren und die Compliance zu wahren, sollten Sie das Prinzip der minimalen Berechtigung befolgen. Benutzer sollten nur auf die Daten zugreifen können, die sie benötigen, und nicht mehr. TiDB unterstützt auch eine grundlegende Rollenvererbung, die Sie mit folgender Abfrage überprüfen können:

Codebeispiel:

SELECT * FROM mysql.role_edges;
Wie man die Daten-Compliance für TiDB automatisiert - DBeaver zeigt den Inhalt der mysql.role_edges Tabelle in TiDB, in der Rollen wie Analyst und Auditor spezifischen Benutzern zugeordnet werden.
DBeaver-Ansicht der mysql.role_edges Tabelle in TiDB, die Rollenzuweisungen wie analyst → alice und auditor → eve zeigt.

Während dies grundlegende Zugriffskontrollen ermöglicht, fehlt die Durchsetzung basierend auf Sitzungs-Kontext, Standort oder Verhalten. Genau hier bietet DataSunrise einen entscheidenden Mehrwert.

DataSunrise erzwingt Zugriffspolitiken dynamisch auf Proxy-Ebene und bietet so eine feinere Steuerung, ohne TiDB selbst modifizieren zu müssen:

  • Daten maskieren oder blockieren für Benutzer oder Rollen basierend auf dem Anmeldeursprung, der Tageszeit oder sogar dem Typ des Clients (z. B. BI-Tool vs. CLI)
  • Maskierungsregeln anwenden basierend auf Kombinationen von Benutzer, IP-Adresse, Schema oder Tabelle
  • Mandanten-Isolation erzwingen in gemeinsamen Umgebungen durch Beschränkung von schemaübergreifenden Abfragen
  • Richtlinien nutzen, um Missbrauch zu erkennen, beispielsweise wenn ein Datenanalyst versucht, ganze Benutzertabellen auszuwählen
Wie man die Daten-Compliance für TiDB automatisiert - DataSunrise-Sicherheitsregelkonfigurationsoberfläche, die einen Filter zeigt, der auf die TiDB-Root-Benutzersitzung auf localhost abzielt.
Sicherheitsregelkonfiguration in DataSunrise, die eine spezifische TiDB-Sitzung anvisiert – Filterung nach DB-Benutzer zur durchsatzbasierten Durchsetzung von Richtlinien.

Diese Zugriffskontrollen werden über eine Weboberfläche oder API konfiguriert, was es Sicherheitsteams erleichtert, Regeln zu überprüfen und zu ändern, ohne sich ausschließlich auf SQL verlassen zu müssen. Kombiniert mit Maskierung und Alarmierung bildet dies eine robuste Steuerungsebene für das Zugriffsmanagement.

Schritt 3: Audit-Logging aktivieren

Audit-Logging ist essenziell, um Benutzeraktivitäten nachzuverfolgen, unbefugten Zugriff zu erkennen und Audit-Trail-Anforderungen gemäß Vorschriften wie SOX und DSGVO zu erfüllen. Wenn Sie die Daten-Compliance für TiDB automatisieren möchten, müssen Audit-Trails nicht nur Zugriffsprotokolle, sondern auch kontextabhängige Richtlinien und Warnungen umfassen.

Wenn Sie TiDB Enterprise Edition v7.1+ verwenden, können Sie Audit-Filter und -Regeln konfigurieren, um DML- oder Verbindungsereignisse zu protokollieren:

Codebeispiel:

SET GLOBAL tidb_audit_enabled = 1;
SET GLOBAL tidb_audit_log_format = 'json';

SET @filter = '{
  "filter": [
    { "class": ["DML"], "status_code": [0] }
  ]
}';
SELECT audit_log_create_filter('dml_events', @filter);
SELECT audit_log_create_rule('dml_events', 'user@%', true);

Diese Protokolle werden lokal in JSON- oder Textdateien gespeichert und müssen manuell ausgewertet oder in externe Plattformen zur Analyse eingespeist werden. Zudem ist dieses Feature in der TiDB Community Edition nicht verfügbar.

DataSunrise bietet eine zentralisierte Audit-Logging-Engine für alle TiDB-Editionen – sowohl für Community als auch für Enterprise. Es erfasst den SQL-Datenverkehr in Echtzeit, ohne dass Änderungen an der Datenbank erforderlich sind.

Zu den Hauptfunktionen gehören:

  • Vollständige Erfassung von SQL-Abfragen, einschließlich Abfragetext, Benutzer, IP, Zeitstempel und betroffener Tabellen
  • Protokollierung von Bind-Variablen, wodurch Einblick in die tatsächlichen Werte von parametrisierten Abfragen ermöglicht wird
  • Echtzeitwarnungen bei verdächtigen Aktivitäten, ausgelöst durch anpassbare Richtlinien
  • Durchsuchbare und exportierbare Protokolle in JSON-, CSV- oder PDF-Formaten
  • Integration mit SIEM-Tools oder Compliance-Dashboards über API oder Webhook
Wie man die Daten-Compliance für TiDB automatisiert - DataSunrise-Audit-Oberfläche zeigt Transaktionsspuren für TiDB, einschließlich SQL-Abfragen, Zeitstempel, Benutzer und Anwendungsmetadaten.
Audit-Trail-Dashboard in DataSunrise, das erfasste SQL-Aktivitäten einer TiDB-Datenbank zeigt, einschließlich Inserts und Selects, die über DBeaver ausgeführt wurden, mit vollständigem Abfragekontext und Benutzerzuordnung.

Da DataSunrise auf der Proxy-Ebene arbeitet, sieht es den gesamten Abfrageverkehr einheitlich – selbst über mehrere TiDB-Cluster hinweg – was es ideal für verteilte oder hybride Umgebungen macht, die eine einheitliche Audit-Abdeckung benötigen.

Schritt 4: Datenmaskierung anwenden

Viele Datenschutzvorschriften verlangen, dass sensible Felder – wie persönliche Kennungen oder Zahlungsinformationen – beim Zugriff maskiert oder anonymisiert werden, insbesondere für Benutzer, die keinen vollen Zugriff auf die Werte benötigen. TiDB, obwohl leistungsstark in Bezug auf Abfrageperformance und Skalierbarkeit, bietet keine native Unterstützung für dynamische oder statische Datenmaskierung.

DataSunrise schließt diese Compliance-Lücke, indem es Maskierungsrichtlinien auf Proxy-Ebene anwendet. Da es zwischen Ihren Anwendungen und TiDB sitzt, kann DataSunrise die Abfrageergebnisse in Echtzeit modifizieren – ohne das Datenbankschema oder die Abfragelogik zu verändern.

Unterstützte Maskierungsoptionen umfassen:

  • Vollständige Maskierung, bei der Werte komplett ersetzt werden (z. B. mit ****)
  • Teilweise Maskierung, wie das Anzeigen nur der letzten 4 Ziffern einer Kartennummer
  • Regex-basierte Redaktion, um strukturierte Daten wie E-Mails oder Telefonnummern zu verarbeiten
  • Zufälliger oder null-Ersetzung, um sichere Test- und Analyseumgebungen zu unterstützen
  • Bedingte Maskierung, basierend auf dem Sitzungs-Kontext (Benutzer, IP, Schema, Rolle)
DataSunrise Maskierungskonfigurationsoberfläche definiert bedingte Maskierungsregeln für TiDB-Spalten basierend auf bestimmten Werten.
DataSunrise-Oberfläche konfiguriert eine dynamische Maskierungsregel für TiDB, bei der Werte in der Namensspalte, die „Lara Flowers“ entsprechen, in Echtzeit bedingt maskiert werden.

Maskierungsregeln werden über eine grafische Benutzeroberfläche definiert und treten sofort in Kraft, sodass Sie Änderungen testen und deren Auswirkungen in Echtzeit überwachen können. Dies ermöglicht es Teams, Maskierungsanforderungen aus Rahmenwerken wie DSGVO, HIPAA und PCI DSS zu erfüllen – ohne ihre TiDB-Instanz oder Client-Anwendungen ändern zu müssen.

Schritt 5: Berichte und Warnungen planen

Sobald Ihre Zugriffspolitiken und Maskierungsregeln eingerichtet sind, wird die Einhaltung der Compliance zu einer kontinuierlichen Überwachungsaufgabe. DataSunrise unterstützt Sie dabei, indem es Ihnen ermöglicht, geplante Berichte zu erstellen und Echtzeitwarnungen basierend auf Richtlinienverstößen oder verdächtigen Aktivitäten zu konfigurieren.

Mit nur wenigen Klicks können Sie:

  • tägliche oder wöchentliche Compliance-Berichte über Benutzeraktivitäten, Maskierungsabdeckungen und Audit-Trails automatisieren
  • Daten in PDF-, CSV- oder JSON-Formaten für externe Audits oder interne Überprüfungen exportieren
  • flexible Alarmregeln für sofortige Benachrichtigungen via Slack, Teams, E-Mail oder Webhook einrichten
Wie man die Daten-Compliance für TiDB automatisiert - Generierter Bericht zeigt häufige Datenbankoperationen mit Filteroptionen.
DataSunrise Reporting-Modul zeigt eine Frequenzanalyse der auf TiDB ausgeführten SQL-Operationen, um Abfragetendenzen zu überwachen und die automatisierte Daten-Compliance-Berichterstattung zu unterstützen.

Das Planen von Berichten und das Konfigurieren von Alarmregeln hilft Ihnen, die Daten-Compliance für TiDB mit minimalem manuellem Aufwand zu automatisieren.

Übersichtstabelle

AufgabeTiDB NativeDataSunrise-Vorteil
Sensible Felder entdeckenManuelles SQL✅ Automatisiert + exportierbar
Zugriffsregeln definieren✅ Basis-GRANT✅ + Maskierung nach Benutzer/IP/Kontext
Audit-Logging aktivierenNur Enterprise✅ Alle Editionen, Echtzeitwarnungen
Datenmaskierung anwenden✅ Dynamisch, nicht-invasiv
Compliance-Berichte planen✅ Mit Risikobewertungen + Filtern

Fazit: Automatisieren Sie die Daten-Compliance für TiDB End-to-End

Die Automatisierung der Compliance in TiDB beginnt mit der Erkennung und Zugriffskontrolle, endet jedoch nicht dort. Funktionen wie dynamische Maskierung, Echtzeitwarnungen und geplante Berichte sind essenziell, um moderne Datenschutzvorschriften zu erfüllen.

DataSunrise fügt diese Fähigkeiten hinzu, ohne dass Änderungen an Ihren Anwendungen oder der TiDB-Konfiguration erforderlich sind – was es zu einer leistungsstarken Automatisierungsschicht für die Compliance macht.

Schützen Sie Ihre Daten mit DataSunrise

Sichern Sie Ihre Daten auf jeder Ebene mit DataSunrise. Erkennen Sie Bedrohungen in Echtzeit mit Activity Monitoring, Data Masking und Database Firewall. Erzwingen Sie die Einhaltung von Datenstandards, entdecken Sie sensible Daten und schützen Sie Workloads über 50+ unterstützte Cloud-, On-Premise- und KI-System-Datenquellen-Integrationen.

Beginnen Sie noch heute, Ihre kritischen Daten zu schützen

Demo anfordern Jetzt herunterladen

Nächste

NLP, LLM & ML Daten-Compliance-Werkzeuge für TiDB

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Vertrieb:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]