Startseite
Wissenszentrum
Wie man die Einhaltung von Vorschriften für Amazon RDS gewährleistet

Wie man die Einhaltung von Vorschriften für Amazon RDS gewährleistet

Die Gewährleistung der Einhaltung von Vorschriften in Amazon RDS-Umgebungen ist entscheidend, um sensible Informationen zu schützen und strenge regulatorische Anforderungen zu erfüllen. Amazon RDS, das Datenbanken wie PostgreSQL, MySQL, SQL Server und andere unterstützt, bietet native Funktionen für Echtzeit-Auditierung, dynamische Datenmaskierung, Datenentdeckung und Sicherheit. Die Erweiterung dieser Funktionen mit Lösungen wie DataSunrise optimiert zusätzlich die Compliance, Effizienz und das Risikomanagement.

Erkunden Sie Daten-Compliance und regulatorische Compliance, um mehr über robuste Rahmenwerke zu erfahren.

Native Compliance-Funktionen in Amazon RDS

Einrichtung der Echtzeit-Auditierung

Für Amazon RDS für PostgreSQL nutzt die Auditierung die Erweiterung pgaudit, die eine umfassende Nachverfolgung von Aktivitäten ermöglicht.

Aktivieren Sie pgaudit, indem Sie die DB-Parametergruppe ändern:

pgaudit.log = 'all'
pgaudit.role = 'rds_pgaudit'
log_statement = 'none'
log_connections = 1
log_disconnections = 1

Erstellen Sie anschließend eine Audit-Rolle und weisen Sie diese den erforderlichen Benutzern zu:

CREATE ROLE rds_pgaudit;
GRANT rds_pgaudit TO myuser;

Nachdem Sie die Audit-Rolle eingerichtet haben, konfigurieren Sie Ihre RDS-Instanz so, dass diese Parameter durch Zuordnen der geänderten Parametergruppe angewendet werden.

Um die Audit-Protokolle zu überprüfen, fragen Sie die in Amazon CloudWatch gespeicherten PostgreSQL-Protokolle ab:

SELECT * FROM pg_catalog.pg_log WHERE log_time > now() - interval '1 day';

Diese Konfiguration bietet detaillierte Protokollierung für DML, DDL und Rollenänderungen und ermöglicht die Einhaltung von GDPR, HIPAA und PCI DSS.

Für tiefere Einblicke in den Aufbau zentralisierter Audit-Sammlungen bietet AWS Anleitungen zum Aufbau einer zentralen Audit-Datensammlung für Amazon RDS für PostgreSQL mithilfe von Amazon S3 und Amazon Athena.

Wie man die Einhaltung von Vorschriften für Amazon RDS gewährleistet - CloudWatch-Dashboard, das Leistungsmetriken der Datenbank zur Überwachung der RDS-Compliance anzeigt — CloudWatch-Dashboard, das Leistungsmetriken der Datenbank zur Überwachung der RDS-Compliance anzeigt

Dynamische Datenmaskierung

Die dynamische Maskierung verbirgt sensible Daten dynamisch, ohne den zugrunde liegenden Speicher zu verändern. Für PostgreSQL auf RDS wird die dynamische Maskierung mithilfe von Views implementiert:

CREATE VIEW masked_users AS
SELECT id,
       username,
       CONCAT('***', RIGHT(email, 4)) AS masked_email,
       CASE 
           WHEN LENGTH(phone) > 4 THEN CONCAT('****', RIGHT(phone, 4))
           ELSE '****'
       END AS masked_phone
FROM users;

Sie können den Zugriff auf die Originaltabelle kontrollieren, indem Sie ausschließlich auf die maskierte Ansicht SELECT-Berechtigungen vergeben.

Dies schützt personenbezogene Daten, während die Funktionalität der Anwendung erhalten bleibt, wie im Leitfaden zur dynamischen Datenmaskierung für Amazon RDS PostgreSQL und Aurora beschrieben.

Datenentdeckung und Klassifizierung

Die Entdeckung sensibler Daten in RDS-Instanzen kann durch die Integration mit Amazon Macie erreicht werden. Macie identifiziert und klassifiziert automatisch sensible Datentypen wie PII und PHI, wie im Leitfaden zur Aktivierung der Datenklassifizierung für Amazon RDS mit Macie dargestellt.

Darüber hinaus ist eine umfassendere Datenentdeckung in Ihrem RDS-Ökosystem mit AWS DataZone möglich.

Beispielabfrage zur manuellen Überprüfung gängiger Muster sensibler Daten:

SELECT table_schema, table_name, column_name
FROM information_schema.columns
WHERE column_name ILIKE '%ssn%' OR column_name ILIKE '%credit%';

Dieser Ansatz ermöglicht die Priorisierung von Tabellen für eine weitere Überprüfung und Klassifizierung.

Sicherheitsbest Practices

Amazon RDS empfiehlt Verschlüsselung, Zugangskontrolle und Aktivitätsüberwachung. Best Practices für die Sicherung von RDS-Datenbanken werden in den AWS-Verschlüsselungsbest-Practices für RDS und im Leitfaden zu Sicherheitsbest Practices für Amazon RDS MySQL- und MariaDB-Instanzen detailliert beschrieben.

Beispielsweise aktivieren Sie die Verschlüsselung im Ruhezustand, indem Sie eine verschlüsselte RDS-Instanz erstellen:

aws rds create-db-instance \
    --db-instance-identifier mydb \
    --allocated-storage 20 \
    --db-instance-class db.t3.micro \
    --engine postgres \
    --master-username admin \
    --master-user-password secret99 \
    --storage-encrypted

Erzwingen Sie stets SSL/TLS-Verbindungen, indem Sie in Ihrer Parametergruppe den Parameter rds.force_ssl=1 setzen.

Optimierung der Compliance mit DataSunrise

Während die nativen Funktionen von AWS leistungsstark sind, bietet die Erweiterung der Compliance-Automatisierung mit DataSunrise Data Audit und dem DataSunrise Compliance Manager eine unternehmensgerechte Kontrolle.

Verbesserung der Echtzeit-Auditierung

DataSunrise unterstützt die Echtzeitüberwachung für Amazon RDS PostgreSQL und andere Engines und bietet:

Kontinuierliche Audit-Protokolle
Anpassbare Audit-Spuren
Intelligente, lernfähige Audit-Regeln zur Anpassung an Verhaltensmuster

Dieser Ansatz ermöglicht die sofortige Erkennung von Anomalien und minimiert das Risikopotenzial.

Präzision der dynamischen Maskierung

Die dynamische Datenmaskierung in DataSunrise verwendet “Surgical Precision Masking”-Techniken, wie im Leitfaden zur dynamischen Datenmaskierung ausführlich beschrieben. Maskierungsrichtlinien passen sich automatisch an:

Rollen
Abfragekontexte
Spezifische Datenbankspalten

Diese flexible Konfiguration verbessert den Schutz vor Insider-Bedrohungen, während die Benutzererfahrung erhalten bleibt.

Erweiterte Datenentdeckung

DataSunrise entdeckt automatisch sensible Daten mithilfe von NLP- und OCR-Funktionen, wie im Artikel zur Datenentdeckung beschrieben. Dies geht über einfaches Tagging hinaus, indem verborgene, sensible Felder in strukturierten und unstrukturierten Daten identifiziert werden.

Wie man die Einhaltung von Vorschriften für Amazon RDS gewährleistet - DataSunrise Periodische Datenentdeckungs-Konfiguration basierend auf regulatorischen Standards wie HIPAA, GDPR, SOX — DataSunrise Periodische Datenentdeckungs-Konfiguration basierend auf regulatorischen Standards wie HIPAA, GDPR, SOX

Verstärkte Sicherheitskontrollen

Der Einsatz von DataSunrise Security Rules gewährleistet einen fortschrittlichen Schutz vor SQL-Injektionen, verdächtigen Verhaltensweisen und unautorisierten Zugriffsversuchen. Das rollenbasierte Zugriffskontrollsystem stellt sicher, dass Zugriffsrechte streng mit den Aufgaben der Benutzer übereinstimmen.

Erfahren Sie mehr über Data-Inspired Security, um zu verstehen, wie die Erkennung von Bedrohungen die Compliance verbessert.

Compliance-Automatisierung

Der Compliance-Autopilot von DataSunrise kalibriert kontinuierlich Regeln in Übereinstimmung mit Rahmenwerken wie GDPR, HIPAA und PCI DSS und eliminiert manuelle Abweichungen.

Er generiert automatisch prüfungsbereite Berichte, um die Zusammenstellung von Nachweisen für behördliche Prüfungen zu optimieren.

Wie man die Einhaltung von Vorschriften für Amazon RDS gewährleistet - DataSunrise-Daten-Compliance-Suchparameter für die datenbankweite Entdeckung sensibler Daten — DataSunrise-Daten-Compliance-Suchparameter für die datenbankweite Entdeckung sensibler Daten

Fazit

Die Anwendung von Echtzeit-Auditierung, dynamischer Maskierung und umfassender Datenentdeckung nativ in Amazon RDS bietet eine solide Grundlage für die Einhaltung von Vorschriften. Die Kombination dieser nativen Funktionen mit der autonomen Compliance-Orchestrierung von DataSunrise erhöht jedoch die Sicherheit, reduziert Compliance-Lücken und verbessert die betriebliche Effizienz.

Stellen Sie sicher, dass Ihre Reise zur Einhaltung von Vorschriften für Amazon RDS mühelos und prüfungsbereit ist. Erfahren Sie mehr und vereinbaren Sie noch heute eine Demo mit DataSunrise.