Wie man die Datengovernance für TiDB sicherstellt

TiDB ist eine verteilte SQL-Datenbank, die für hybride transaktionale und analytische Verarbeitung (HTAP) entwickelt wurde. Sie ist schnell, horizontal skalierbar und MySQL-kompatibel – aber wenn es um unternehmensgerechte Datengovernance geht, benötigt sie eine Verstärkung.

Datengovernance bezieht sich auf den Rahmen von Richtlinien, Kontrollen und Technologien, die sicherstellen, dass Daten während ihres gesamten Lebenszyklus sicher, genau, zugänglich und regelkonform sind. Dies umfasst die Verwaltung des Benutzerzugriffs, die Nachverfolgung von Änderungen, den Schutz sensibler Informationen und die Erfüllung regulatorischer Anforderungen wie DSGVO, HIPAA und SOX.

Dieser Leitfaden zeigt, wie Governance in TiDB mit den nativen Tools angewendet werden kann und wie die Lücken mit DataSunrise, einer umfassenden Compliance- und Datenbanksicherheitsplattform, geschlossen werden können.

Warum TiDB Governance benötigt

Egal, ob Sie Kundenaufzeichnungen, Finanztransaktionen oder Gesundheitsdaten speichern – Governance stellt sicher, dass Ihre Datenbank die Anforderungen erfüllt bezüglich:

• Zugriffskontrolle
• Nachvollziehbarkeit
• Schutz sensibler Daten
• Regulatorischer Compliance

TiDB bietet grundlegende Kontrollen – allerdings sind diese oft begrenzt, manuell oder gar nicht vorhanden. Beginnen wir mit den eingebauten Funktionen.

Nativen TiDB-Governance-Tools

Rollenbasierte Zugriffskontrolle

TiDB beinhaltet ein Rollenkonzept, das mit der MySQL-Syntax kompatibel ist. Sie können Rollen erstellen und Zugriffsrechte delegieren, wie folgt:

CREATE ROLE 'compliance_auditor';
GRANT SELECT ON hr_data.* TO 'compliance_auditor';
GRANT 'compliance_auditor' TO 'alice'@'%';

Weitere Informationen finden Sie in der offiziellen Dokumentation zu Rollen und Berechtigungen.

Audit-Protokollierung (Enterprise & Dedicated Cloud)

Verfügbar in TiDB v7.1+ Enterprise und Dedicated Cloud Editionen. Sie können filtern, was protokolliert wird, SQL-Anweisungen anonymisieren und Regeln Benutzern zuweisen:

SET GLOBAL tidb_audit_enabled = 1;

CALL audit_log_create_filter('login_attempts', '{
  "filter": [
    { "class": ["CONNECT"], "status_code": [0] },
    { "class": ["QUERY_DDL"] }
  ]
}');

CALL audit_log_create_rule('login_attempts', 'admin@%', true);

SET GLOBAL tidb_audit_log_redacted = ON;

Die vollständigen Konfigurationsanweisungen finden Sie im TiDB Audit Logging Guide (PDF).

Clusterweite Protokollsuche

Durchsuchen Sie Audit-Protokolle über TiDB-, TiKV- und PD-Knoten hinweg:

SELECT * FROM information_schema.cluster_log
WHERE message LIKE '%ddl%'
  AND time > NOW() - INTERVAL 30 MINUTE;

Felddefinitionen und Anwendungsbeispiele werden in der CLUSTER_LOG Dokumentation erläutert.

Point-in-Time Recovery (PITR)

TiDBs BR-Tool unterstützt PITR aus Protokoll-Backups:

tiup br log start --task-name=pitr \
  --pd="${PD_IP}:2379" \
  --storage 's3://mybucket/logs'

tiup br restore point \
  --restored-ts '2025-07-10 12:00:00' \
  --pd="${PD_IP}:2379" \
  --storage 's3://mybucket/logs'

Weitere Informationen finden Sie in der TiDB PITR Dokumentation.

Manuelle Datenerkennung (Regex-Abfragen)

SELECT table_name, column_name
FROM information_schema.columns
WHERE column_name REGEXP 'email|name|card|phone';

Nützlich, aber begrenzt – es gibt keine integrierte Klassifizierung, Tagging oder Zuordnung zu Compliance-Standards.

Wo native Funktionen nicht ausreichen

Funktion	Community	Enterprise/Dedicated Cloud	Anmerkungen
RBAC	✅	✅	Grundlegende SQL-Berechtigungen
Strukturierte Audit-Protokolle	❌	✅ (v7.1+)	JSON-Filter, keine GUI
Redacte Protokollierung	❌	✅	Manuelles Umschalten
Dynamische Maskierung	❌	❌	Nicht unterstützt
Datenerkennung	Manuell	Manuell	Nur Regex, kein Tagging oder Dashboards
Echtzeitwarnungen	❌	❌	Externe Tools erforderlich
Compliance-Berichte	❌	❌	Nativ nicht verfügbar

Erweiterung der Governance mit DataSunrise

DataSunrise ist eine Datenbanksicherheitsplattform, die sich nahtlos in TiDB integriert. Sie agiert als Proxy- oder Sniffer-Schicht, die den Datenverkehr überwacht und in Echtzeit Compliance-Regeln anwendet – ohne dass Änderungen an Ihrer Datenbank oder Anwendungslogik erforderlich sind.

Sie bietet Funktionen zur Datenerkennung, Maskierung, Protokollierung und Alarmierung, die die von den nativen Tools hinterlassenen Compliance-Lücken schließen.

Erkennung sensibler Daten

Im Gegensatz zu regex-basierten Methoden verfügt DataSunrise über eine integrierte Engine zur Klassifizierung von Spalten anhand von Inhalt und Kontext. Das Erkennungsmodul erkennt automatisch PII, PHI und Finanzdaten mittels vorkonfigurierter Muster, die an wichtige Regulierungen angepasst sind.

Sie erhalten schemaweite Dashboards, die sensible Daten in Ihrer TiDB-Umgebung hervorheben.

Dynamische Datenmaskierung

DataSunrise ermöglicht eine spaltenbasierte Maskierung, die sich danach richtet, wer die Datenbank abfragt, was abgerufen wird und wie. Mit Maskierungsregeln können Sie definieren:

• Vollständige oder teilweise Maskierung
• Hashing, Nullsetzung oder Regex-Ersetzung
• Regeln basierend auf Benutzer, IP oder Schema-Kontext

All dies geschieht, bevor die Abfrage TiDB erreicht.

Echtzeitwarnungen und Überwachung

Konfigurieren Sie Warnmeldungen für sensible Ereignisse wie:

• Fehlgeschlagene Anmeldungen
• DDL-Änderungen
• Große Abfragevolumina

Sie können über Benachrichtigungsregeln mit Slack, Microsoft Teams, E-Mail oder Ihrem SIEM integrieren.

Compliance-Berichterstattung

DataSunrise macht Audit-Ergebnisse durch exportierbare PDF- und CSV-Berichte nachvollziehbar, die Folgendes abdecken:

• Zugriffsprotokolle
• Nutzung von Maskierungsregeln
• Klassifizierungszusammenfassungen

Diese Berichte entsprechen den Erwartungen der Regulierungsbehörden für DSGVO-, HIPAA- und SOX-Audits.

Visuelles Regelmanagement

Teams können Governance-Richtlinien über eine intuitive Benutzeroberfläche definieren und verwalten, Regeln erstellen und zuweisen – ganz ohne Code. Dies erleichtert die Skalierung von Governance-Maßnahmen über Teams und Datenbanken hinweg.

Architektur: Governance mit DataSunrise und TiDB

Um die Richtliniendurchsetzung zu implementieren, ohne Ihre Anwendungslogik zu ändern oder TiDB-Innereien zu modifizieren, agiert DataSunrise als transparenter Proxy. Es fängt SQL-Abfragen ab, wendet Maskierungs-, Protokollierungs- oder Alarmierungsregeln an und leitet diese wie gewohnt an TiDB weiter.

Das folgende Diagramm veranschaulicht, wie DataSunrise in das TiDB-Bereitstellungsmodell integriert ist:

Checkliste für Governance-Aufgaben

Um diese Maßnahmen Schritt für Schritt umzusetzen, hier eine kurze Übersicht der wesentlichen Governance-Aufgaben und der jeweils am besten geeigneten Tools.

Aufgabe	Tool	Beschreibung
Rollen & Zugriff definieren	TiDB	Verwenden Sie CREATE ROLE, GRANT
Audit-Filter einrichten	TiDB Enterprise	JSON-basiert, gefiltert nach Ereignisklasse
PITR aktivieren	TiDB BR	Protokollbasierte Wiederherstellung zu einem genauen Zeitstempel
Sensible Daten entdecken	DataSunrise	Automatischer Scan und Klassifizierung von Spalten
Daten dynamisch maskieren	DataSunrise	Basierend auf Benutzer, IP, Schema oder Rolle
Echtzeitwarnungen senden	DataSunrise	Slack, Teams, E-Mail, SIEM
Audit-Berichte erstellen	DataSunrise	Compliance-Daten im CSV- oder PDF-Format exportieren

Fazit

TiDB bietet solide grundlegende Tools für Zugriffskontrolle und Backups, doch seine Governance-Funktionen reichen nicht aus, um den Anforderungen moderner Compliance gerecht zu werden.

DataSunrise schließt diese Lücke mit dynamischer Durchsetzung, automatischer Klassifizierung, Echtzeitalarmierung und richtlinienbasierter Transparenz – und das alles, ohne dass Änderungen an Ihren Anwendungen oder der Datenbankstruktur erforderlich sind.

Für Teams, die eine vollumfängliche Lebenszyklus-Governance in TiDB umsetzen möchten, ist dies der praktische und effiziente Weg nach vorn.