Comment automatiser la conformité des données pour TiDB

Introduction

TiDB est une base de données SQL distribuée optimisée pour le traitement transactionnel et analytique hybride (HTAP), largement utilisée dans des secteurs tels que le SaaS, la fintech et le commerce de détail. Dans ce guide, vous apprendrez comment automatiser la conformité des données pour TiDB en utilisant des contrôles d’accès natifs et DataSunrise comme couche d’automatisation — vous aidant à répondre aux exigences du RGPD, de la HIPAA, de la SOX et du PCI DSS.

Étape 1 : Découvrir les données sensibles

La première étape pour automatiser la conformité consiste à identifier où résident les données sensibles. TiDB ne propose pas de fonctionnalités de découverte intégrées, c’est pourquoi des requêtes manuelles comme celle ci-dessous sont souvent utilisées pour trouver des colonnes dont le nom suggère des informations personnellement identifiables (PII) :

Exemple de code :

SELECT table_name, column_name
FROM information_schema.columns
WHERE column_name REGEXP 'email|name|address|card|phone';

Bien que cette approche soit fonctionnelle, elle se limite aux motifs de nommage et ne s’adapte pas bien aux schémas volumineux ou évolutifs.

Le moteur de découverte de DataSunrise automatise ce processus en scannant la structure de la base de données TiDB et en analysant les métadonnées et les valeurs d’exemple (lorsque cela est autorisé). Il utilise une combinaison de :

• Règles basées sur des motifs (par ex., regex pour les numéros de sécurité sociale, les e-mails, les numéros de carte)
• Correspondance par dictionnaire (par ex., pour les noms, les intitulés de poste, les listes de pays)
• Balises personnalisées (par ex., pour des champs spécifiques à l’industrie tels que les codes médicaux ou les numéros de compte)

Une fois le scan terminé, DataSunrise :

• Classifie et étiquette les colonnes en tant que données sensibles (PII), informations de santé protégées (PHI), données financières, etc.
• Résume les résultats dans un rapport de conformité
• Permet d’exporter les résultats pour la documentation ou une utilisation ultérieure
• Intègre automatiquement les colonnes identifiées dans les règles de masquage et d’alerte

Vous pouvez planifier des scans de découverte pour qu’ils s’exécutent régulièrement, garantissant que les colonnes nouvellement ajoutées ou les modifications du schéma soient évaluées en continu sans effort manuel. Cela permet de transformer votre processus de conformité d’une approche ad hoc à une approche entièrement proactive.

En utilisant des scans automatisés, vous réduisez les erreurs humaines et automatisez la conformité des données pour TiDB de manière évolutive et répétable.

Étape 2 : Définir les règles d’accès

TiDB prend en charge la création d’utilisateurs et l’attribution de privilèges d’une manière compatible avec MySQL. Vous pouvez créer des utilisateurs et attribuer des autorisations au niveau du schéma ou de la table comme illustré ci-dessous.

Exemple de code :

CREATE USER 'auditor'@'%' IDENTIFIED BY 'SecurePass123!';
GRANT SELECT ON customer_data.* TO 'auditor'@'%';

Pour réduire les risques et maintenir la conformité, suivez le principe du moindre privilège. Les utilisateurs ne devraient avoir accès qu’aux données dont ils ont besoin et rien de plus. TiDB prend également en charge l’héritage de rôles de base, que vous pouvez vérifier en utilisant :

Exemple de code :

SELECT * FROM mysql.role_edges;

Bien que cela permette un contrôle d’accès fondamental, il ne prend pas en compte l’application basée sur le contexte de la session, la localisation ou le comportement. C’est là que DataSunrise apporte une valeur cruciale.

DataSunrise applique dynamiquement des politiques d’accès au niveau du proxy, offrant un contrôle plus précis sans modifier TiDB lui-même :

• Masquer ou bloquer les données pour des utilisateurs ou des rôles en fonction de l’origine de connexion, de l’heure de la journée ou même du type de client (par ex., outil BI vs CLI)
• Appliquer des règles de masquage basées sur des combinaisons d’utilisateur, d’adresse IP, de schéma ou de table
• Faire appliquer l’isolement multi-locataire dans des environnements partagés en restreignant les requêtes inter-schémas
• Utiliser des politiques pour détecter les abus, par exemple lorsqu’un analyste de données tente de SELECTer l’intégralité des tables d’utilisateurs

Ces contrôles d’accès sont configurés via une interface web ou une API, ce qui facilite la révision et la modification des règles par les équipes de sécurité sans avoir à se reposer uniquement sur le SQL. Combinés au masquage et aux alertes, cela constitue une couche de contrôle robuste pour la gouvernance des accès.

Étape 3 : Activer la journalisation des audits

La journalisation des audits est essentielle pour suivre l’activité des utilisateurs, détecter les accès non autorisés et satisfaire aux exigences de traçabilité imposées par des réglementations telles que la SOX et le RGPD. Si vous souhaitez automatiser la conformité des données pour TiDB, les traces d’audit doivent inclure non seulement les journaux d’accès mais aussi les politiques et alertes contextuelles.

Si vous utilisez la version Enterprise de TiDB v7.1+, vous pouvez configurer des filtres et des règles d’audit pour journaliser les événements DML ou de connexion :

Exemple de code :

SET GLOBAL tidb_audit_enabled = 1;
SET GLOBAL tidb_audit_log_format = 'json';

SET @filter = '{
  "filter": [
    { "class": ["DML"], "status_code": [0] }
  ]
}';
SELECT audit_log_create_filter('dml_events', @filter);
SELECT audit_log_create_rule('dml_events', 'user@%', true);

Ces journaux sont stockés localement dans des fichiers JSON ou texte et doivent être analysés manuellement ou intégrés dans des plateformes externes pour analyse. De plus, cette fonctionnalité n’est pas disponible dans l’édition Community de TiDB.

DataSunrise fournit un moteur centralisé de journalisation des audits pour toutes les éditions de TiDB — Community et Enterprise confondues. Il capture le trafic SQL en temps réel sans nécessiter de modifications de la base de données.

Les principales fonctionnalités comprennent :

• Capture complète des requêtes SQL, incluant le texte de la requête, l’utilisateur, l’adresse IP, l’horodatage et les tables concernées
• Journalisation des variables de liaison, permettant de visualiser les valeurs réelles passées dans les requêtes paramétrées
• Alertes en temps réel pour une activité suspecte, déclenchées par des politiques personnalisables
• Journaux consultables et exportables aux formats JSON, CSV ou PDF
• Intégration avec des outils SIEM ou des tableaux de bord de conformité via API ou Webhook

Parce que DataSunrise opère au niveau du proxy, il voit l’ensemble du trafic de requêtes de manière cohérente, même à travers plusieurs clusters TiDB, ce qui le rend idéal pour les environnements distribués ou hybrides nécessitant une couverture d’audit uniforme.

Étape 4 : Appliquer le masquage des données

De nombreuses réglementations en matière de protection des données exigent que les champs sensibles, tels que les identifiants personnels ou les informations de paiement, soient masqués ou anonymisés lors de l’accès, en particulier pour les utilisateurs qui n’ont pas besoin de voir les valeurs complètes. TiDB, bien que performant pour les requêtes et l’évolutivité, ne fournit pas de support natif pour le masquage dynamique ou statique des données.

DataSunrise comble cette lacune en matière de conformité en appliquant des politiques de masquage au niveau du proxy. Étant positionné entre vos applications et TiDB, DataSunrise peut modifier les résultats des requêtes en temps réel, sans altérer le schéma de la base de données ou la logique des requêtes.

Les options de masquage supportées incluent :

• Masquage complet, remplaçant entièrement les valeurs (par ex., par ****)
• Masquage partiel, par exemple en affichant seulement les 4 derniers chiffres d’un numéro de carte
• Rédaction basée sur des expressions régulières, pour traiter des données structurées telles que des e-mails ou des numéros de téléphone
• Substitution aléatoire ou par des valeurs nulles, pour soutenir des environnements de test et d’analyse sécurisés
• Masquage conditionnel, basé sur le contexte de la session (utilisateur, IP, schéma, rôle)

Les règles de masquage sont définies dans une interface graphique et prennent effet immédiatement, ce qui vous permet de tester les changements et de surveiller l’impact en temps réel. Cela permet aux équipes de satisfaire aux exigences de masquage des cadres tels que le RGPD, la HIPAA et le PCI DSS, sans avoir besoin de modifier leur instance TiDB ou leurs applications clientes.

Étape 5 : Programmer des rapports et des alertes

Une fois vos politiques d’accès et règles de masquage mises en place, maintenir la conformité devient une tâche de surveillance continue. DataSunrise facilite cela en permettant de générer des rapports programmés et de configurer des alertes en temps réel basées sur des violations de politiques ou des activités suspectes.

En quelques clics, vous pouvez :

• Automatiser des rapports de conformité quotidiens ou hebdomadaires couvrant l’activité des utilisateurs, la couverture du masquage et les traces d’audit
• Exporter des données au format PDF, CSV ou JSON pour des audits externes ou des revues internes
• Configurer des règles d’alerte flexibles pour des notifications instantanées via Slack, Teams, e-mail ou webhook

La planification de rapports et la configuration de règles d’alerte vous aident à automatiser la conformité des données pour TiDB avec une supervision manuelle minimale.

Tableau récapitulatif

Conclusion : Automatiser la conformité des données pour TiDB de bout en bout

L’automatisation de la conformité dans TiDB commence par la découverte et le contrôle d’accès, mais ne s’arrête pas là. Des fonctionnalités telles que le masquage dynamique, les alertes en temps réel et la génération de rapports programmés sont essentielles pour répondre aux réglementations modernes de protection des données.

DataSunrise ajoute ces capacités sans nécessiter de modifications à vos applications ou à la configuration de TiDB, ce qui en fait une couche d’automatisation de la conformité puissante.