DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Wie man Compliance für TiDB verwaltet

Wie man Compliance für TiDB verwaltet

TiDB ist eine verteilte SQL-Datenbank, die für Echtzeit-Workloads mit starker MySQL-Kompatibilität entwickelt wurde. Ihre hybride transaktionale und analytische Verarbeitung (HTAP) macht sie attraktiv für Fintech, E-Commerce und große SaaS-Umgebungen. Compliance-Anforderungen unter DSGVO, HIPAA, SOX und PCI DSS verlangen jedoch mehr als nur Skalierbarkeit – sie erfordern Sichtbarkeit, Kontrolle und Nachvollziehbarkeit.

Diese Anleitung erklärt, wie man Compliance in TiDB-Umgebungen mit nativen Funktionen verwaltet und wie DataSunrise diese Fähigkeiten mit automatisierter Richtlinienverwaltung, Echtzeitschutz und unternehmensgerechter Berichterstattung erweitert.

Warum Compliance-Management entscheidend ist

Unternehmen, die Compliance-Anforderungen nicht erfüllen, sehen sich enormen Strafen gegenüber:

  • Im August 2024 wurde Uber von der niederländischen Datenschutzbehörde mit 290 Millionen € (~324 Millionen $) bestraft, weil Fahrerinformationen illegal in die USA übertragen wurden, ohne ausreichende Schutzmaßnahmen, laut CBS News.

  • Im Dezember 2024 erhielt Meta (Facebook) eine Geldstrafe von 251 Millionen € (~263 Millionen $) von der irischen Datenschutzkommission nach einer Datenpanne, bei der etwa 29 Millionen Konten betroffen waren, berichtet The Record.

  • Dem GDPR-Bußgeldbericht 2025 von DLA Piper zufolge beliefen sich die Gesamtstrafen allein im Jahr 2024 europaweit auf 1,2 Milliarden €, mit kumulierten Strafen seit 2018 von fast 6 Milliarden €.

Diese hochkarätigen Fälle zeigen klar, dass Nicht-Compliance nicht nur theoretisch ist – sie kann Unternehmen Hunderte Millionen Euro an Strafen kosten, ganz zu schweigen von Reputationsschäden und Vertrauensverlust bei Kunden.

Native Compliance-Funktionen in TiDB

TiDB enthält mehrere Tools für Audit-Logs, Zugriffskontrolle und Wiederherstellung. Einige Funktionen sind nur in Enterprise- oder Cloud-Versionen verfügbar.

Manuelle Sensible Datenerkennung — Alle Editionen

Sie können Spalten, die wahrscheinlich sensible Daten enthalten (wie E-Mails, Telefonnummern, Sozialversicherungsnummern usw.), manuell mit einer einfachen REGEXP-Abfrage gegen die information_schema.columns-Tabelle identifizieren:

SELECT table_name, column_name
FROM information_schema.columns
WHERE table_schema = 'deine_datenbank'
  AND column_name REGEXP 'email|phone|ssn|card|name';

Dies hilft, potenzielle PII/PHI-Felder zu erkennen, die Maskierung oder strengere Zugriffskontrollen erfordern könnten.

DBeaver verbunden mit TiDB, zeigt Abfrageergebnisse für manuell entdeckte sensible Spalten in der Tabelle pii_customers, einschließlich Namen, Telefonnummern und E-Mails.
Manuelle Erkennung sensibler Daten in TiDB, visualisiert über DBeaver. Die Abfrage identifiziert PII-Felder wie first_name, email und phone1 in der Tabelle pii_customers mit einem REGEXP-Filter auf Spaltennamen.

Rollenbasierte Zugriffskontrolle — Alle Editionen

TiDB unterstützt SQL-Standardrollen zur Vereinfachung der Rechteverwaltung. So erstellen Sie eine Nur-Lese-Rolle und weisen diese einem Benutzer zu:

CREATE ROLE read_only;
GRANT SELECT ON deine_datenbank.* TO read_only;

CREATE USER 'auditor'@'%' IDENTIFIED BY 'StrongPass!';
GRANT read_only TO 'auditor'@'%';

Dieses Beispiel definiert eine wiederverwendbare read_only-Rolle, gewährt minimale Zugriffsrechte und weist diese dem Auditor-Benutzer zu – für eine strenge, rollenbasierte Rechtekontrolle in TiDB.

DBeaver verbunden mit TiDB zeigt Abfrageergebnisse der mysql.role_edges-Tabelle, die Rollen-zu-Benutzer-Beziehungen wie Analyst zu Alice und Auditor zu Eve auflistet.
Abfrage der mysql.role_edges-Tabelle in TiDB mit DBeaver zeigt vererbte Rollenzuweisungen, was hilft zu prüfen, welche Benutzer über bestimmte Rollen Zugang haben.

Audit-Protokollierung — Nur Enterprise/Cloud v7.1+

TiDB Enterprise bietet integriertes Audit-Logging zur Nachverfolgung von Benutzeraktivitäten, einschließlich fehlgeschlagener Logins, DDL-Änderungen und anderen sensiblen Vorgängen. Hier ein Beispiel zum Aktivieren des Audit-Loggings, Filtern nach fehlgeschlagenen Login-Versuchen und Aktivieren der JSON-Ausgabe mit Anonymisierung:

SET GLOBAL tidb_audit_enabled = 1;

SET @f = '{
  "filter": [
    { "class": ["CONNECT"], "status_code": [0] }
  ]
}';
SELECT audit_log_create_filter('fail_logins', @f);
SELECT audit_log_create_rule('fail_logins', 'user@%', true);

SET GLOBAL tidb_audit_log_format = 'json';
SET GLOBAL tidb_audit_log_redacted = ON;

Diese Konfiguration erfasst fehlgeschlagene Verbindungsversuche und speichert sie im JSON-Format mit geschwärzten sensiblen Werten – ideal, um Compliance-Anforderungen zu erfüllen, ohne Zugangsdaten oder PII in den Protokollen preiszugeben.

Point-in-Time-Wiederherstellung (PITR) — Community (v6.3+) und Enterprise

TiDB unterstützt eine Point-in-Time Wiederherstellung mittels Log- und Vollbackups – essenziell, um Datenverluste oder böswillige Änderungen wiederherzustellen. Im Beispiel unten wird ein Hintergrund-Log-Backup gestartet und die Datenbank auf einen spezifischen Zeitpunkt zurückgesetzt:

tiup br log start --task-name=finance --pd="${PD_IP}:2379" \
  --storage='s3://backup/finance'

tiup br restore point --pd="${PD_IP}:2379" \
  --storage='s3://backup/finance' \
  --full-backup-storage='s3://backup/full' \
  --restored-ts '2025-07-15 00:00:00+0000'

Diese Methode kombiniert kontinuierliche Log-Backups mit Vollsnapshots, um eine präzise Wiederherstellung zu jedem Zeitpunkt zu ermöglichen – unverzichtbar für Compliance, Notfallwiederherstellung und Integrität von Prüfpfaden.

Wie DataSunrise die TiDB-Compliance verbessert

DataSunrise ist eine proxybasierte Datensicherheitsplattform, die die nativen Funktionen von TiDB durch compliance-spezifische Automatisierung und Transparenz erweitert.

Während TiDB eine starke Grundlage für Protokollierung und Wiederherstellung bietet, baut DataSunrise darauf auf und ergänzt eine umfassende, proxybasierte Sicherheitsschicht. Es fügt Echtzeitschutz, Automatisierung und Sichtbarkeit über sensible Datenflüsse hinzu – ohne Änderungen an Anwendungen oder Datenbanken.

Dynamische Datenmaskierung

Unterstützt vollständige, partielle, Regex-, Null- sowie ersetzungsbasierte Maskierung, wie in der Übersicht zur dynamischen Datenmaskierung von DataSunrise beschrieben.
Maskierungsregeln können benutzer-, IP-, Schema- oder Abfragekontextabhängig durchgesetzt werden – alles ohne Änderungen an der Anwendung oder der Datenbank selbst.

DataSunrise-Oberfläche zeigt Einstellungen zur dynamischen Datenmaskierung für ausgewählte Spalten, mit Beispielen, wie Werte durch Standard-Ersatzmaskierung transformiert werden.
Konfiguration der dynamischen Datenmaskierung in der DataSunrise-Benutzeroberfläche. Spalten wie firstname, lastname und creditcard3 sind zur Maskierung ausgewählt, wobei echte Werte je nach Datentyp durch neutrale Platzhalter ersetzt werden.

Sensible Datenerkennung

Nutzt sowohl Mustererkennung als auch wörterbuchbasierte Techniken zur PII- und PHI-Erkennung.
Sensible Spalten können markiert, klassifiziert und in prüfungsfähigen Berichten exportiert werden.

DataSunrise UI zeigt entdeckte sensible Spalten in einer TiDB-Datenbank, inklusive name und created_at, mit Optionen zum Erstellen von Audit-, Sicherheits- oder Maskierungsregeln.
Visualisierung der sensiblen Datenerkennung in TiDB über die DataSunrise-Oberfläche. Identifizierte Spalten wie name und created_at sind mit Datentypen und Compliance-Standards versehen, was direkt aus der UI Regeldefinitionen für Audit, Sicherheit oder Maskierung ermöglicht.

Echtzeit-Alarme und Prüfpfade

Erfasst Abfragen mit Bind-Variablenwerten für vollen Kontext.
Unterstützt Echtzeitalarme via Slack, Microsoft Teams, Webhook und E-Mail.
Bietet einheitliche Audit-Logs und Filterung über TiDB und andere Datenquellen hinweg.

DataSunrise Oberfläche zeigt Echtzeit-Audit-Logs für TiDB, inklusive Regelname, Login-Daten, Abfragetypen und Zeitstempel.
Echtzeit-Überblick der Prüfpfade in DataSunrise für TiDB. Aufgezeichnete Abfragen enthalten kontextuelle Metadaten wie Benutzer, Anwendung, Instanz und Ausführungszeit – zur Unterstützung von Compliance-Untersuchungen und Live-Benachrichtigungen über Integrationen wie Slack oder Teams.

Compliance-Berichterstattung

Erlaubt Planung regelmäßiger Compliance-Scans und das Erstellen exportierbarer Berichte (PDF, CSV, JSON).
Berichte können nach Zeitraum, Benutzer, Rolle oder Zugriffsmustern gefiltert werden — ideal zur Erstellung von Compliance-Dokumentationen.

DataSunrise Benutzeroberfläche zeigt Einstellungen zur Compliance-Berichterstattung und Benachrichtigungen, mit Optionen zur Planung von Berichten im PDF-, CSV- oder JSON-Format.
Geplante Compliance-Berichtserstellung in DataSunrise mit konfigurierbarer Häufigkeit, Startzeit und Ausgabeformat. Benachrichtigungseinstellungen ermöglichen das Speichern und Weiterleiten von Audit-Ereignissen zur Verfolgung von Zugriffs- oder Richtlinienverletzungen.

Schritte zur Verwaltung der Compliance in TiDB

Schritt Beschreibung
1. Klassifizieren sensibler Daten Nutzen Sie SQL-Abfragen auf INFORMATION_SCHEMA oder DataSunrise zur Ermittlung von PII/PHI-Feldern.
2. Zugriffspolitiken definieren Richten Sie Benutzer, Rollen und GRANT-Anweisungen ein, um den minimalen Privileg-Zugriff durchzusetzen.
3. Protokollierung aktivieren Aktivieren Sie native Audit-Logs in der Enterprise Edition oder allgemeine/langsame Abfrageprotokolle in der Community Edition.
4. Aktivitäten überwachen Verwenden Sie das TiDB Dashboard oder DataSunrise Echtzeitwarnungen zur Verhaltensüberwachung und Anomalieerkennung.
5. Datenmaskierung anwenden Nutzen Sie DataSunrise dynamische Maskierung zum Schutz sensibler Ausgaben je nach Rolle oder Bedingung.
6. Prüfpfade generieren Konfigurieren Sie Auditfilter (TiDB) oder regelbasiertes Logging (DataSunrise) zur Aufzeichnung wichtiger Ereignisse.
7. Berichte planen Erstellen Sie periodische Audit- und Compliance-Berichte gemäß DSGVO, HIPAA, SOX oder PCI DSS.
8. Backup & Rollback vorbereiten Nutzen Sie PITR in TiDB, um Daten bei Verstößen oder Fehlern auf einen definierten Zustand zurückzusetzen.

Fazit

TiDB bietet eine robuste Grundlage für Compliance durch Zugriffskontrolle, Audit-Logs und PITR. Doch um modernen regulatorischen Anforderungen gerecht zu werden, sind dynamische Kontrollen, proaktives Monitoring und zentrale Richtlinienverwaltung erforderlich.

DataSunrise schließt diese Lücken. Es verwandelt TiDB in eine vollständig konforme Plattform – mit Unterstützung von Datenmaskierung, Entdeckung, Alarmierung und Berichten aus einer einzigen, intuitiven Oberfläche.

Schützen Sie Ihre Daten mit DataSunrise

Sichern Sie Ihre Daten auf jeder Ebene mit DataSunrise. Erkennen Sie Bedrohungen in Echtzeit mit Activity Monitoring, Data Masking und Database Firewall. Erzwingen Sie die Einhaltung von Datenstandards, entdecken Sie sensible Daten und schützen Sie Workloads über 50+ unterstützte Cloud-, On-Premise- und KI-System-Datenquellen-Integrationen.

Beginnen Sie noch heute, Ihre kritischen Daten zu schützen

Demo anfordern Jetzt herunterladen

Nächste

Was ist Azure Cosmos DB für PostgreSQL Audit Trail

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Vertrieb:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]