DataSunrise Logra el Estado de Competencia en AWS DevOps en AWS DevSecOps y Monitoreo, Registro, Rendimiento

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

  • Inicio
  • Guías | DataSunrise
  • Cómo integrar DataSunrise con AWS Database Activity Streams para obtener resultados de auditoría para AWS Aurora PostgreSQL

Cómo integrar DataSunrise con AWS Database Activity Streams para obtener resultados de auditoría para AWS Aurora PostgreSQL

Instalar el paquete DataSunrise desde el repositorio DEB para Ubuntu 24 Cómo Migrar la Plantilla de CloudFormation de DataSunrise de Launch Configuration (LC) a Launch Template (LT) en un grupo de Auto Scaling Cómo Enviar Eventos de DataSunrise a un Canal de Microsoft Teams vía Webhook Entrante utilizando Suscriptores Cómo Descargar los Datos de la Base de Datos de Auditoría a AWS S3 y Leerlos Usando el Servicio AWS Athena Convertir configuración de Prueba o BYOL de DataSunrise a Facturación por Hora PostgreSQL (RDS) vs Aurora PostgreSQL Cómo Solucionar Errores de “La Conexión Fue Terminada” o “La Conexión Se Terminó Inesperadamente” en Aplicaciones Que Usan Proxies DataSunrise Rendimiento de DataSunrise Bajo Condiciones de Alto Tráfico Enfoque de DataSunrise para Configurar Penalidades por Detección de Inyección SQL Cómo Bloquear Hosts Específicos en DataSunrise para una Seguridad Mejorada de la Base de Datos Solución de Problemas de Medición y Facturación por Hora en AWS en DataSunrise en AWS Marketplace Cómo Realizar la Modificación de Cloud Formation Enmascaramiento Dinámico de Datos con DataSunrise: Enmascaramiento con Scripts Lua Cómo Elegir la Base de Datos para Almacenamiento de Auditoría: Un Análisis de Rendimiento Cómo Ejecutar pgbench a través del Proxy DataSunrise en PostgreSQL 14 con Autenticación SCRAM Cómo Controlar la Visibilidad de los Nombres de las Tablas Instalar el paquete DataSunrise desde el repositorio DEB (para Debian 12/Ubuntu 22) Configuración de la Autenticación SSO de DataSunrise Basada en SAML (Okta) Autenticación SSO de DataSunrise basada en OpenID (Okta) Guía integral sobre cómo buscar datos sensibles en imágenes alojadas en AWS S3 Cómo Desplegar DataSunrise con Plantilla de Terraform en Azure Integra DataSunrise con SQL Server Always On Cluster Cómo Desplegar DataSunrise en Microsoft Azure Usando Azure Resource Manager Cómo Realizar el Enmascaramiento de Datos Estáticos de DataSunrise para MongoDB Cómo Configurar el Rastreo de Auditoría para MS Azure MySQL Configurar el Seguimiento de Auditoría de DB para MS Azure PostgreSQL Cómo configurar DataSunrise para enmascarar datos para Amazon Athena Cómo actualizar la versión del sistema operativo RHEL de los servidores existentes de DataSunrise Cómo integrar DataSunrise con AWS Database Activity Streams para obtener resultados de auditoría para AWS Aurora PostgreSQL Configurar Certificados SSL para el Proxy de Base de Datos DataSunrise Informes en DataSunrise: Sistema Crucial para una Mayor Seguridad en la Base de Datos Cómo Ocultar Esquemas a los Usuarios en Redshift Descripción General de la Consola Centralizada DataSunrise Registros de Auditoría de AWS RDS PostgreSQL en DataSunrise Enmascarando Texto No Estructurado en AWS S3 Enmascaramiento en su lugar Auditar acciones administrativas en su Oracle RDS y EC2 Mejores Prácticas de las Reglas de DataSunrise El script de Lua descubre datos sensibles en archivos JSON Cómo verificar si DataSunrise recibe tráfico Eliminar un procedimiento o una función de una base de datos Principios Básicos del Enmascaramiento Dinámico Instalar DataSunrise desde el repositorio RPM (para RHEL, CentOS 8/9) Instalar DataSunrise desde el repositorio DEB (Debian, Ubuntu) Guía de Seguridad Reglas de Seguridad Contra Inyecciones SQL Guía de Auditoría Reglas de Aprendizaje y Auditoría Prioridad de Reglas Guía de Enmascaramiento Dinámico de Datos Guía de Enmascaramiento de Datos Estáticos

Descripción general de los métodos de auditoría de actividad de la base de datos

Hoy en día, la auditoría de bases de datos se vuelve cada vez más importante debido a numerosos actos legales y regulaciones dedicadas a la protección de datos sensibles como el GDPR, KVKK, etc.

Técnicamente, existen múltiples métodos de auditoría de bases de datos; los más populares son:

  • Proxying del tráfico de la base de datos proxy;
  • Escucha pasiva del tráfico de la base de datos;
  • Lectura de los registros recolectados por las herramientas nativas de auditoría de la base de datos;
  • Integración con servicios de auditoría dedicados como AWS DAS.

Cada enfoque tiene sus propias ventajas y desventajas, limitaciones y oportunidades. Los usuarios de Amazon, a su vez, pueden encontrar que los dos últimos enfoques son los más adecuados para sus necesidades. Estos métodos permiten a los usuarios de AWS notificar al personal de seguridad sobre eventos específicos de la base de datos, crear informes sobre la actividad en el clúster de Aurora PG, etc.

AWS Database Activity Streams (DAS) proporcionan un flujo casi en tiempo real de la actividad en tu clúster de base de datos y te ofrecen las siguientes ventajas sobre los mecanismos de registro nativo de la base de datos (la funcionalidad de trailing de los registros de auditoría de DB de DataSunrise):

  • El proceso de configuración de DAS es mucho más simple que configurar el trailing “regular” basado en archivos de registro. Tampoco necesitas espacio de almacenamiento adicional para guardar los registros;
  • Aumento de la protección contra amenazas internas: los administradores de bases de datos no tienen acceso a la recolección, transmisión, almacenamiento y procesamiento de los flujos de actividad de la base de datos;
  • DAS proporciona mayor flexibilidad que el trailing “regular” debido a los modos Síncrono y Asíncrono disponibles.

La principal desventaja de DAS es la incompatibilidad con algunas clases de instancias RDS y versiones de Amazon Aurora.

El siguiente diagrama muestra un clúster Aurora PG integrado con DataSunrise:

Aquí, un clúster Aurora PG con DAS habilitado. Aurora envía datos sobre la actividad de la base de datos a AWS Kinesis. Los flujos de actividad están cifrados utilizando una clave de cifrado de AWS KMS. Kinesis, a su vez, transmite los flujos de actividad de la base de datos a DataSunrise, que se utiliza como herramienta de monitoreo de la base de datos. DataSunrise consume los flujos y guarda los resultados de la auditoría en su almacenamiento de Auditoría. Luego, los eventos capturados de la base de datos se muestran en la sección de Trails Transaccionales de la Consola Web de DataSunrise.

Requisitos previos para el clúster Aurora PG

Antes de configurar DAS, asegúrate de que tu entorno AWS cumpla con los siguientes requisitos.

Versiones de bases de datos Aurora PostgreSQL soportadas:

  • Todas las versiones 13
  • Todas las versiones 12
  • Versiones 11.6 y superiores de la serie 11
  • Versiones 10.11 y superiores de la serie 10

Clases de instancias AWS RDS soportadas:

  • db.r6g
  • db.r5
  • db.r4
  • db.x2g

Los flujos de actividad de la base de datos son compatibles en todas las regiones de AWS, excepto en las siguientes:

  • Región China (Beijing), cn-north-1
  • Región China (Ningxia), cn-northwest-1
  • AWS GovCloud (US-East), us-gov-east-1
  • AWS GovCloud (US-West), us-gov-west-1

Miscelánea:

  • DAS requiere el uso de AWS Key Management Service (AWS KMS). AWS KMS es necesario porque los flujos de actividad siempre están cifrados
  • Los flujos de actividad de la base de datos requieren el uso de Amazon Kinesis

Leer más: AWS Aurora DB Activity Streams – Requisitos de Versión

Creación de una clave AWS KMS

Dado que los flujos de actividad siempre están cifrados, necesitas usar una clave de cifrado. Aurora utiliza la clave KMS para cifrar la clave que, a su vez, cifra la actividad de la base de datos. Si no tienes una clave KMS, créala.

Navega al Sistema de Administración de Claves (KMS) de AWS, haz clic en Crear una clave. Configura las siguientes opciones para tu clave:

  • Tipo de clave: Simétrica
  • Origen del material de la clave: KMS
  • Regionalidad: Clave de una sola región
  • Política de clave: predeterminada

Leer más: AWS KMS – Creación de claves

Iniciar DAS para tu clúster Aurora PG

Una vez preparado tu entorno RDS Aurora PG, puedes iniciar los flujos de actividad de la base de datos.

Navega al Servicio de Base de Datos Relacional Administrado (RDS), selecciona Bases de datos, elige el clúster DB para el que deseas habilitar un flujo de actividad, y haz clic en Acciones -> Iniciar flujo de actividad de la base de datos:

Configura DAS de la siguiente manera:

  • Clave maestra: tu clave KMS
  • Modo del flujo de actividad de la base de datos: ya sea Asíncrono o Síncrono. Recomendamos utilizar el modo Síncrono porque favorece la precisión del flujo de actividad sobre el rendimiento de la base de datos. La diferencia entre estos dos modos puedes encontrarla aquí.
  • Aplicar inmediatamente: especifica si deseas aplicar los cambios de inmediato o según un horario.
  • Puedes acceder al flujo en la sección de Configuración de los ajustes de tu clúster (Flujo de actividad de la base de datos -> Flujo de Kinesis): Leer más: AWS Aurora DB Activity Streams – Habilitación

Configuración de la auditoría basada en DAS en DataSunrise

Una vez iniciado DAS para tu clúster Aurora, puedes proceder a configurar DataSunrise para consumir los flujos de actividad de la base de datos.

Para permitir que DataSunrise funcione con DAS, tu usuario IAM necesita acceso a algunas funciones de Kinesis, KMS y RDS. Para otorgar los permisos requeridos, navega a Identity and Access Management (IAM) -> Usuarios y adjunta la siguiente política a tu usuario:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "Kinesis:DescribeStreamSummary",
                "Kinesis:ListShards",
                "Kinesis:GetShardIterator",
                "Kinesis:GetRecords",
                "Kinesis:DescribeStreamSummary",
                "KMS:Decrypt",
                "RDS:DescribeDBClusters"
            ],
            "Resource": ["<ARN de tu flujo de Kinesis>", "<ARN de tu clave KMS>", "<ARN de tu RDS DB>"]
        }
    ]
}

Crea una nueva instancia de base de datos Aurora PG o utiliza una existente. Abre la Consola Web de DataSunrise y navega a Configuración -> Bases de datos.

  • Proporciona los detalles de conexión para tu base de datos Aurora PG. Especifica el endpoint de tu clúster Aurora PG en el campo Host;
  • En la sección Modo de Captura de la página de la instancia, selecciona Trailing the DB Audit Logs desde la lista desplegable de Modo;
  • En la lista desplegable de Tipo de Formato, selecciona Flujo de actividad de la base de datos;
  • Completa todos los campos requeridos. Guarda la instancia.

Crea una Regla de auditoría de datos para tu instancia Aurora PG: navega a Auditoría -> Reglas y crea una regla

Para los resultados de auditoría, navega a Auditoría -> Trails Transaccionales. Ten en cuenta que los resultados podrían aparecer con un retraso de aproximadamente 5-10 minutos.

También puedes ajustar la auditoría basada en DAS de DataSunrise cambiando los siguientes parámetros (Ajustes del Sistema -> Parámetros Adicionales):

  • TrailDASIntervalTime: período de tiempo para obtener una lista de eventos (por ejemplo, los últimos 5 minutos a partir del último registro);
  • TrailDASOffsetTime: retraso en segundos para obtener eventos (requerido para la sincronización).

Did this guide help you?

Contact Us