TiDB Compliance-Management

Einleitung

Compliance-Management bezeichnet den kontinuierlichen Prozess, sicherzustellen, dass ein System oder eine Organisation mit rechtlichen und regulatorischen Standards übereinstimmt – besonders im Bereich Datenschutz und Sicherheit. Für Datenbanken bedeutet dies, Aktivitäten zu überwachen, Zugriffskontrollen durchzusetzen, sensible Informationen zu schützen und die Wiederherstellbarkeit nach Vorfällen zu gewährleisten.

TiDB ist eine Open-Source, verteilte SQL-Datenbank, die für hohe Verfügbarkeit und horizontale Skalierbarkeit ausgelegt ist. Sie unterstützt Hybrid Transactional and Analytical Processing (HTAP)-Workloads und ist MySQL-kompatibel, was sie besonders gut für moderne Echtzeitanwendungen geeignet macht.

Mit zunehmendem Druck durch Vorschriften wie DSGVO (GDPR), HIPAA, SOX und PCI DSS müssen Organisationen nicht nur Daten schützen, sondern auch nachweisen, wie diese überwacht, zugänglich gemacht und bei Bedarf wiederhergestellt werden.

Dieser Artikel erläutert, wie TiDB diese Compliance-Anforderungen nativ unterstützt und wie DataSunrise diese Funktionen durch Automatisierung, Datenerkennung, Maskierung und Berichterstattung erweitert.

Warum Compliance-Management wichtig ist

Compliance bedeutet nicht nur, Bußgelder zu vermeiden – es geht darum, Vertrauen aufzubauen, Risiken zu minimieren und sichere Abläufe zu ermöglichen. Der Schutz sensibler Daten verhindert Reputationsschäden, rechtliche Strafen und den Vertrauensverlust von Kunden.

Für Engineering- und Daten-Teams schafft umfassendes Compliance-Management Transparenz darüber, wer welche Daten wann und wie abrufen kann. Es stellt außerdem sicher, dass sensible Vorgänge protokolliert, überwacht und wiederherstellbar sind – Grundprinzipien sicherer und widerstandsfähiger Datensysteme.

Native TiDB Compliance-Funktionen

TiDB Enterprise Edition (v7.1+) bietet natives Audit-Logging – ein wesentlicher Bestandteil des TiDB Compliance-Managements. Damit werden SQL-Ereignisse, Verbindungsversuche, Benutzeraktivitäten und mehr verfolgt. Diese Logs können im JSON- oder Textformat ausgegeben werden und unterstützen das Schwärzen sensibler Werte. Die Konfiguration erfolgt über SQL-Filter und Systemvariablen. Für vollständige Einrichtungsdetails siehe den TiDB Database Auditing Guide.

Audit-Logging kann mittels Systemvariablen aktiviert und per SQL konfiguriert werden:

-- Audit-Logging aktivieren
SET GLOBAL tidb_audit_enabled = 1;

-- Filter für fehlgeschlagene Anmeldungen erstellen
SET @filter = '{
  "filter": [
    { "class": ["CONNECT"], "status_code": [0] }
  ]
}';
SELECT audit_log_create_filter('failed_logins', @filter);
SELECT audit_log_create_rule('failed_logins', 'user@%', true);

-- Optional: Format und Schwärzung einstellen
SET GLOBAL tidb_audit_log_format = 'json';
SET GLOBAL tidb_audit_log_redacted = ON;

Diese Logs können clusterweit abgefragt werden:

SELECT * FROM INFORMATION_SCHEMA.CLUSTER_LOG
WHERE MESSAGE LIKE '%DROP%' AND TYPE='tidb';

Dies ermöglicht Einblicke in DDL-Aktivitäten, fehlgeschlagene Operationen oder verdächtige Zugriffsmuster.

Point-in-Time Recovery (PITR)

Point-in-Time Recovery erlaubt es, die Datenbank mithilfe von Voll- und Log-Backups auf einen bestimmten Zustand zurückzusetzen. Dies ist essenziell bei versehentlichem Löschen, Datenkorruption oder böswilliger Manipulation. TiDB stellt diese Funktion über das Tool br (Backup & Restore) bereit. Für detaillierte Schritte siehe den TiDB PITR-Leitfaden.

# Hintergrund-Log-Backup starten
tiup br log start --task-name=pitr --pd="${PD_IP}:2379" \
  --storage='s3://backup/logs'

# Wiederherstellung zu einem bestimmten Zeitpunkt
tiup br restore point \
  --pd="${PD_IP}:2379" \
  --storage='s3://backup/logs' \
  --full-backup-storage='s3://backup/full' \
  --restored-ts '2025-07-09 12:00:00+0000'

PITR ist sowohl in der Community-Edition (v6.3+) als auch in der Enterprise-Edition verfügbar.

Datenbankbenutzer und deren Berechtigungen anzeigen

TiDB speichert Benutzerzugriffsinfos in der Systemtabelle mysql.user. Diese kann für Zugriffsüberprüfungen genutzt werden.

-- Alle Datenbankbenutzer und deren Login-Hosts anzeigen
SELECT user, host FROM mysql.user;

-- Berechtigungen eines bestimmten Benutzers anzeigen
SHOW GRANTS FOR 'auditor'@'%';

Dies hilft, überprivilegierte Konten oder veraltete Benutzerdefinitionen zu identifizieren, die überprüft werden sollten.

Langsame Abfragen protokollieren (Slow Query Logging) aktivieren

Langsame Abfragen können auf Leistungsengpässe oder ineffiziente Zugriffsmuster hinweisen, was die Auditierbarkeit beeinträchtigen könnte.

-- Langsame Abfrageprotokollierung aktivieren
SET GLOBAL slow_query_log = 'ON';
SET GLOBAL long_query_time = 1;  -- Protokolliere Abfragen, die länger als 1 Sekunde dauern

Die Logs können direkt analysiert oder über das TiDB Dashboard betrachtet werden (verfügbar auch in der Community Edition).

Was ist DataSunrise?

DataSunrise ist eine Sicherheits- und Compliance-Plattform, die als Proxy oder Sniffer zwischen Anwendungen und Datenbanken agiert. Sie ermöglicht es Organisationen, Datenschutzrichtlinien systemübergreifend – einschließlich TiDB – durchzusetzen, ohne Anwendungslogik oder Datenbankschema zu verändern.

DataSunrise wurde speziell entwickelt, um Bereiche abzudecken, in denen native Tools einschränken: Echtzeit-Maskierung, automatische Datenklassifizierung, zentralisiertes Audit-Policy-Management und Compliance-Berichterstattung.

Wie DataSunrise das TiDB Compliance-Management verbessert

1. Dynamische Maskierung

DataSunrise maskiert sensible Felder (z. B. Namen, Telefonnummern, Kartendaten) abhängig von der Rolle des Benutzers, dessen IP-Adresse oder Kontext der Abfrage. Die echten Daten bleiben unverändert in TiDB, werden aber für unautorisierte Sitzungen im Abfrageergebnis ersetzt.

• Unterstützt vollständige, partielle, regex-basierte oder zufällige Ersetzungen
• Wird in Echtzeit über den Proxy angewendet
• Konfigurierbar über Webinterface (ohne SQL)

2. Erkennung sensibler Daten

Zu wissen, wo sensible Daten gespeichert sind, ist Voraussetzung für deren Schutz. DataSunrise scannt Ihre TiDB-Datenbank automatisch nach personenbezogenen Daten (PII) oder geschützten Gesundheitsinformationen (PHI) mittels Mustererkennung und Wörterbüchern.

3. Audit-Trail-Management

DataSunrise stärkt das TiDB Compliance-Management, indem es natives Audit-Logging mit granularen Audit-Trails erweitert:

• Erfassung von Bind-Variablen (z. B. sehen Sie id = 42 statt ?)
• Fein abgestimmte Filter nach Benutzer, Tabelle oder IP
• Benachrichtigungen via Slack, Teams und Webhook bei Anomalien
• Exportierbare Protokolle (PDF, CSV, JSON)

4. Compliance-Berichterstattung

Erstellen Sie geplante Berichte zur Einhaltung von DSGVO, HIPAA, PCI DSS oder SOX. Diese Berichte beinhalten Ereignishistorien, Richtlinienabdeckung und Risikozusammenfassungen.

Compliance-Vergleichstabelle

Die folgende Tabelle fasst zusammen, welche Compliance-Funktionen nativ in TiDB verfügbar sind und welche eine externe Plattform wie DataSunrise erfordern.

Diese Gegenüberstellung erleichtert die Einschätzung, welche Funktionen in Ihrer TiDB-Umgebung bereits abgedeckt sind und welche durch eine Integration von DataSunrise ergänzt werden können.

Fazit

TiDB bietet eine solide Grundlage für Compliance mit strukturiertem Logging und Wiederherstellungsfunktionen, die in der Enterprise Edition integriert sind. Komplexe Anforderungen wie Maskierung, Datenklassifizierung, Echtzeit-Benachrichtigungen und zentralisiertes Audit-Management werden jedoch am besten durch eine Plattform wie DataSunrise erfüllt.

Wenn Ihre Organisation Frameworks wie DSGVO, HIPAA, SOX oder PCI DSS einhalten muss, kann DataSunrise helfen, TiDB zu einer vollständig konformen, revisionsbereiten Umgebung zu machen.