Startseite
Wissenszentrum
Wie Sie die Compliance für Amazon RDS gewährleisten

Wie Sie die Compliance für Amazon RDS gewährleisten

Die Gewährleistung der Compliance in Amazon RDS-Umgebungen ist essenziell, um sensible Informationen zu schützen und strenge regulatorische Anforderungen zu erfüllen. Amazon RDS, das Datenbanken wie PostgreSQL, MySQL, SQL Server und weitere unterstützt, bietet native Funktionen für Echtzeit-Auditing, dynamische Datenmaskierung, Datenerkennung und Sicherheit. Die Erweiterung dieser Funktionen mit Lösungen wie DataSunrise optimiert zusätzlich die Compliance, Effizienz und das Risikomanagement.

Erkunden Sie Daten-Compliance und regulatorische Compliance, um mehr über robuste Frameworks zu erfahren.

Native Compliance-Fähigkeiten in Amazon RDS

Echtzeit-Audit Einrichtung

Für Amazon RDS for PostgreSQL nutzt das Auditing die pgaudit-Erweiterung, die eine umfassende Aktivitätsverfolgung ermöglicht.

Aktivieren Sie pgaudit, indem Sie die DB-Parametergruppe modifizieren:

pgaudit.log = 'all'
pgaudit.role = 'rds_pgaudit'
log_statement = 'none'
log_connections = 1
log_disconnections = 1

Erstellen Sie anschließend eine Audit-Rolle und gewähren Sie diese den erforderlichen Benutzern:

CREATE ROLE rds_pgaudit;
GRANT rds_pgaudit TO myuser;

Nach dem Einrichten der Audit-Rolle konfigurieren Sie Ihre RDS-Instanz so, dass diese Parameter angewendet werden, indem Sie die modifizierte Parametergruppe zuordnen.

Um Audit-Logs zu überprüfen, fragen Sie die in Amazon CloudWatch gespeicherten PostgreSQL-Logs ab:

SELECT * FROM pg_catalog.pg_log WHERE log_time > now() - interval '1 day';

Diese Einrichtung bietet detailliertes Logging für DML, DDL und Rolländerungen, was die Einhaltung von DSGVO, HIPAA und PCI DSS ermöglicht.

Für tiefere Einblicke in den Aufbau zentralisierter Audit-Sammlungen stellt AWS eine Anleitung zum Aufbau einer zentralen Audit-Datensammlung für Amazon RDS for PostgreSQL unter Verwendung von Amazon S3 und Amazon Athena bereit.

Wie Sie die Compliance für Amazon RDS gewährleisten - CloudWatch-Dashboard, das Leistungskennzahlen der Datenbank zur Überwachung der RDS-Compliance anzeigt — CloudWatch-Dashboard, das Leistungskennzahlen der Datenbank zur Überwachung der RDS-Compliance anzeigt

Dynamische Datenmaskierung

Die dynamische Maskierung verbirgt sensible Daten dynamisch, ohne den zugrunde liegenden Speicher zu verändern. Für PostgreSQL auf RDS wird die dynamische Maskierung durch die Verwendung von Views implementiert:

CREATE VIEW masked_users AS
SELECT id,
       username,
       CONCAT('***', RIGHT(email, 4)) AS masked_email,
       CASE 
           WHEN LENGTH(phone) > 4 THEN CONCAT('****', RIGHT(phone, 4))
           ELSE '****'
       END AS masked_phone
FROM users;

Sie können den Zugriff auf die Originaltabelle steuern, indem Sie nur SELECT-Berechtigungen für die maskierte View gewähren.

Dies schützt personenbezogene Daten, während die Funktionalität der Anwendung erhalten bleibt, wie im Leitfaden zur dynamischen Datenmaskierung für Amazon RDS PostgreSQL und Aurora beschrieben.

Datenerkennung und -klassifizierung

Die Entdeckung sensibler Daten in RDS-Instanzen kann durch die Integration mit Amazon Macie erreicht werden. Macie identifiziert und klassifiziert automatisch sensible Datentypen wie PII und PHI, wie im Leitfaden zur Aktivierung der Datenklassifizierung für Amazon RDS mit Macie gezeigt.

Zudem ist eine umfassendere Datenerkennung in Ihrem gesamten RDS-Ökosystem mit AWS DataZone möglich.

Beispielabfrage zur manuellen Überprüfung gängiger Muster sensibler Daten:

SELECT table_schema, table_name, column_name
FROM information_schema.columns
WHERE column_name ILIKE '%ssn%' OR column_name ILIKE '%credit%';

Dieser Ansatz ermöglicht eine Priorisierung von Tabellen für weitere Überprüfungen und Klassifizierungen.

Sicherheits-Best-Practices

Amazon RDS empfiehlt Verschlüsselung, Zugangskontrolle und Aktivitätsüberwachung. Best Practices zur Sicherung von RDS-Datenbanken sind in den AWS-Verschlüsselungs-Best-Practices für RDS sowie im Leitfaden zu Sicherheits-Best-Practices für Amazon RDS MySQL- und MariaDB-Instanzen ausführlich beschrieben.

Zum Beispiel aktivieren Sie die Verschlüsselung ruhender Daten, indem Sie eine verschlüsselte RDS-Instanz erstellen:

aws rds create-db-instance \
    --db-instance-identifier mydb \
    --allocated-storage 20 \
    --db-instance-class db.t3.micro \
    --engine postgres \
    --master-username admin \
    --master-user-password secret99 \
    --storage-encrypted

Erzwingen Sie stets SSL/TLS-Verbindungen, indem Sie den Parameter rds.force_ssl=1 in Ihrer Parametergruppe setzen.

Optimierung der Compliance mit DataSunrise

Obwohl AWS-native Funktionen leistungsstark sind, bietet die Erweiterung der Compliance-Automatisierung mit DataSunrise Data Audit und DataSunrise Compliance Manager eine unternehmensgerechte Kontrolle.

Verbesserung des Echtzeit-Audits

DataSunrise unterstützt die Echtzeitüberwachung über Amazon RDS PostgreSQL und andere Engines hinweg und bietet:

Kontinuierliche Audit-Logs
Anpassbare Audit Trails
Intelligente Lern-Auditregeln zur Anpassung an Verhaltensmuster

Dieser Ansatz ermöglicht eine sofortige Anomalieerkennung und minimiert das Risiko.

Präzision der dynamischen Maskierung

Die dynamische Datenmaskierung in DataSunrise wendet „Surgical Precision Masking“-Techniken an, wie im Leitfaden zur dynamischen Datenmaskierung beschrieben. Maskierungsrichtlinien passen sich automatisch an:

Rollen
Abfragekontexte
Spezifische Datenbankspalten

Diese flexible Einrichtung verbessert den Schutz vor Insider-Bedrohungen, während die Benutzererfahrung erhalten bleibt.

Erweiterte Datenerkennung

DataSunrise entdeckt automatisch sensible Daten mithilfe von NLP- und OCR-Funktionen, wie im Artikel zur Datenerkennung beschrieben. Dies geht über die grundlegende Verschlagwortung hinaus und identifiziert verborgene sensible Felder in strukturierten sowie unstrukturierten Daten.

Wie Sie die Compliance für Amazon RDS gewährleisten - DataSunrise-periodische Datenerkennungskonfiguration basierend auf regulatorischen Standards wie HIPAA, GDPR, SOX — DataSunrise-periodische Datenerkennungskonfiguration basierend auf regulatorischen Standards wie HIPAA, GDPR, SOX

Verstärkte Sicherheitskontrollen

Durch den Einsatz von DataSunrise Sicherheitsregeln wird ein fortschrittlicher Schutz vor SQL-Injections, verdächtigen Verhaltensweisen und unautorisierten Zugriffsversuchen gewährleistet. Das rollenbasierte Zugriffskontroll-Framework stellt sicher, dass Zugriffsberechtigungen strikt den Benutzeraufgaben zugeordnet werden.

Erkunden Sie mehr über Data-Inspired Security, um zu verstehen, wie die Bedrohungserkennung die Compliance verbessert.

Compliance-Automatisierung

DataSunrises Compliance Autopilot kalibriert Regeln kontinuierlich anhand von Frameworks wie GDPR, HIPAA und PCI DSS, wodurch manuelle Abweichungen vermieden werden.

Er erstellt automatisch auditbereite Berichte, um die Vorbereitung von Nachweisen für regulatorische Audits zu optimieren.

Wie Sie die Compliance für Amazon RDS gewährleisten - DataSunrise Data Compliance-Suchparameter zur suchweiten Erkennung sensibler Daten in der Datenbank — DataSunrise Data Compliance-Suchparameter zur suchweiten Erkennung sensibler Daten in der Datenbank

Fazit

Die Anwendung von Echtzeit-Auditing, dynamischer Maskierung und umfassender Datenerkennung in Amazon RDS bietet eine solide Basis für die Compliance. Die Kombination dieser nativen Funktionen mit DataSunrises autonomer Compliance-Orchestrierung erhöht jedoch die Sicherheit, reduziert Compliance-Lücken und verbessert die operative Effizienz.

Stellen Sie sicher, dass Ihre Amazon RDS Compliance-Reise mühelos und auditbereit ist. Erfahren Sie mehr und vereinbaren Sie noch heute eine Demo mit DataSunrise.