TiDB-Compliance-Management

Einführung

Compliance-Management bezieht sich auf den fortlaufenden Prozess, sicherzustellen, dass ein System oder eine Organisation den gesetzlichen und regulatorischen Standards entspricht – insbesondere in Bezug auf Datenschutz und Sicherheit. Bei Datenbanken bedeutet dies, Aktivitäten zu überwachen, Zugriffskontrollen durchzusetzen, sensible Informationen zu schützen und die Wiederherstellbarkeit nach Vorfällen zu gewährleisten.

TiDB ist eine Open-Source, verteilte SQL-Datenbank, die für hohe Verfügbarkeit und horizontale Skalierbarkeit ausgelegt ist. Sie unterstützt HTAP-Workloads (Hybrid Transactional and Analytical Processing) und ist kompatibel zu MySQL, was sie ideal für moderne Echtzeitanwendungen macht.

Mit zunehmendem Druck durch Vorschriften wie GDPR, HIPAA, SOX und PCI DSS müssen Organisationen nicht nur Daten schützen, sondern auch nachweisen, wie diese überwacht, zugegriffen und bei Bedarf wiederhergestellt werden.

Dieser Artikel erklärt, wie TiDB diese Compliance-Anforderungen nativ unterstützt und wie DataSunrise diese Fähigkeiten mit Automatisierung, Datenerkennung, Maskierung und Berichterstattung erweitert.

Warum Compliance-Management wichtig ist

Compliance bedeutet nicht nur, Bußgelder zu vermeiden – es geht darum, Vertrauen aufzubauen, Risiken zu minimieren und sichere Abläufe zu ermöglichen. Das Versäumnis, sensible Daten zu schützen, kann zu Reputationsschäden, rechtlichen Strafen und einem Vertrauensverlust bei den Kunden führen.

Für Engineering- und Datenteams bietet ein starkes Compliance-Management Klarheit darüber, wer auf welche Daten, wann und wie zugreifen darf. Es stellt auch sicher, dass sensible Operationen protokolliert, überwacht und im Notfall wiederhergestellt werden können – Kernprinzipien sicherer und widerstandsfähiger Datensysteme.

Nativ integrierte TiDB-Compliance-Funktionen

Die TiDB Enterprise Edition (v7.1+) führt ein natives Audit-Logging ein – ein wesentlicher Bestandteil des TiDB-Compliance-Managements. Es wird verwendet, um SQL-Ereignisse, Verbindungsversuche, Benutzeraktivitäten und mehr zu protokollieren. Diese Logs können im JSON- oder Textformat ausgegeben werden und unterstützen die Schwärzung sensibler Werte. Die Konfiguration erfolgt über SQL-Filter und Systemvariablen. Für vollständige Einrichtungsdetails siehe den TiDB Database Auditing Guide.

Das Audit-Logging kann über Systemvariablen aktiviert und via SQL konfiguriert werden:

-- Audit-Logging aktivieren
SET GLOBAL tidb_audit_enabled = 1;

-- Einen Filter für fehlgeschlagene Logins erstellen
SET @filter = '{
  "filter": [
    { "class": ["CONNECT"], "status_code": [0] }
  ]
}';
SELECT audit_log_create_filter('failed_logins', @filter);
SELECT audit_log_create_rule('failed_logins', 'user@%', true);

-- Optionale Formatierung und Schwärzung
SET GLOBAL tidb_audit_log_format = 'json';
SET GLOBAL tidb_audit_log_redacted = ON;

Diese Logs können clusterweit abgefragt werden:

SELECT * FROM INFORMATION_SCHEMA.CLUSTER_LOG
WHERE MESSAGE LIKE '%DROP%' AND TYPE='tidb';

Dies verschafft Einblick in DDL-Aktivitäten, fehlgeschlagene Operationen und verdächtige Zugriffsmuster.

Point-in-Time Recovery (PITR)

Mit Point-in-Time Recovery (PITR) können Sie die Datenbank mittels einer Kombination aus Voll-Backups und Log-Backups auf einen bestimmten Zustand zurücksetzen. Dies ist entscheidend bei versehentlichen Löschungen, Datenkorruption oder böswilligen Manipulationen. TiDB ermöglicht dies über das br (Backup & Restore) Tool. Für detaillierte Schritte lesen Sie bitte den TiDB PITR Guide.

# Hintergrund-Log-Backup starten
tiup br log start --task-name=pitr --pd="${PD_IP}:2379" \
  --storage='s3://backup/logs'

# Wiederherstellung zu einem bestimmten Zeitpunkt
tiup br restore point \
  --pd="${PD_IP}:2379" \
  --storage='s3://backup/logs' \
  --full-backup-storage='s3://backup/full' \
  --restored-ts '2025-07-09 12:00:00+0000'

PITR ist sowohl in der Community Edition (v6.3+) als auch in den Enterprise Editionen verfügbar.

Datenbanknutzer und ihre Berechtigungen anzeigen

TiDB speichert Informationen zum Benutzerzugriff in der Systemtabelle mysql.user. Diese können Sie zur Prüfung der Zugriffsrechte verwenden.

-- Alle Datenbanknutzer und ihre Login-Hosts auflisten
SELECT user, host FROM mysql.user;

-- Berechtigungsvergabe für einen bestimmten Nutzer anzeigen
SHOW GRANTS FOR 'auditor'@'%';

Dies kann helfen, überprivilegierte Konten oder veraltete Benutzerdefinitionen zu identifizieren, die überprüft werden sollten.

Slow Query Logging aktivieren

Langsame Abfragen können auf Performanceengpässe oder ineffiziente Zugriffsmuster hinweisen, die die Nachvollziehbarkeit beeinträchtigen könnten.

-- Slow Query Logging aktivieren
SET GLOBAL slow_query_log = 'ON';
SET GLOBAL long_query_time = 1;  -- Abfragen protokollieren, die länger als 1 Sekunde dauern

Anschließend können Sie die Logs direkt analysieren oder sie über das TiDB Dashboard anzeigen (verfügbar auch in der Community Edition).

Was ist DataSunrise?

DataSunrise ist eine Sicherheits- und Compliance-Plattform, die als Proxy oder Sniffer zwischen Anwendungen und Datenbanken arbeitet. Sie ermöglicht es Organisationen, Datenschutzrichtlinien über mehrere Systeme hinweg durchzusetzen – auch für TiDB – ohne die Anwendungslogik oder das Datenbankschema zu ändern.

DataSunrise wurde speziell dafür entwickelt, Bereiche abzudecken, in denen native Tools nicht ausreichen: Echtzeit-Maskierung, automatische Datenklassifizierung, zentralisiertes Audit-Management und Compliance-Berichterstattung.

Wie DataSunrise das TiDB-Compliance-Management verbessert

1. Dynamische Maskierung

DataSunrise maskiert sensible Felder (z. B. Namen, Telefonnummern, Kartendaten) basierend auf der Rolle des Benutzers, der IP-Adresse oder dem Abfragekontext. Die echten Daten verbleiben unverändert in TiDB, werden jedoch in den Abfrageergebnissen für unautorisierte Sitzungen ersetzt.

• Unterstützt vollständige, partielle, regex- oder zufällige Ersetzungen
• Echtzeit-Anwendung über den Proxy
• Über die Weboberfläche konfigurierbar (kein SQL erforderlich)

2. Erkennung sensibler Daten

Zu wissen, wo sich sensible Daten befinden, ist eine Voraussetzung für deren Sicherung. DataSunrise scannt Ihre TiDB-Datenbank automatisch nach PII- oder PHI-Feldern mithilfe von Mustererkennung und Wörterbüchern.

3. Verwaltung der Audit-Trail

DataSunrise verstärkt das TiDB-Compliance-Management, indem es das native Audit-Logging um detaillierte Audit-Trails erweitert:

• Erfassung von Bind-Variablen (z. B. id = 42 anstelle von ?)
• Fein granulare Filterung nach Benutzer, Tabelle oder IP-Adresse
• Slack-, Teams- und Webhook-Benachrichtigungen bei Auffälligkeiten
• Exportierbare Logs (PDF, CSV, JSON)

4. Compliance-Berichterstattung

Erstellen Sie geplante Berichte für die Compliance-Anforderungen von GDPR, HIPAA, PCI DSS oder SOX. Diese Berichte beinhalten Ereignisverläufe, Richtlinienabdeckungen und Risikozusammenfassungen.

Compliance-Vergleichstabelle

Die folgende Tabelle fasst zusammen, welche Compliance-Funktionen in TiDB nativ verfügbar sind und welche eine externe Plattform wie DataSunrise erfordern.

Dieser Vergleich nebeneinander verdeutlicht, welche Funktionen in Ihrer TiDB-Bereitstellung bereits abgedeckt sein könnten und welche von einer Integration mit DataSunrise profitieren würden.

Fazit

TiDB bietet einen soliden Ausgangspunkt für Compliance – mit integriertem strukturiertem Logging und Wiederherstellungsfunktionen in der Enterprise Edition. Fortgeschrittene Anforderungen wie Maskierung, Datenklassifizierung, Echtzeit-Benachrichtigungen und zentralisiertes Audit-Management werden jedoch am besten durch eine Plattform wie DataSunrise umgesetzt.

Wenn Ihre Organisation Rahmenwerke wie GDPR, HIPAA, SOX oder PCI DSS erfüllen muss, kann DataSunrise dabei helfen, TiDB zu einer voll compliant und audit-bereiten Umgebung zu machen.