Comment assurer la gouvernance des données pour TiDB
TiDB est une base de données SQL distribuée conçue pour le traitement transactionnel et analytique hybride (HTAP). Elle est rapide, évolutive horizontalement et compatible MySQL — mais en ce qui concerne la gouvernance des données de niveau entreprise, elle a besoin d’un renforcement.
La gouvernance des données désigne l’ensemble des politiques, contrôles et technologies permettant de garantir que les données sont sécurisées, exactes, accessibles et conformes tout au long de leur cycle de vie. Elle inclut la gestion des accès utilisateurs, le suivi des modifications, la protection des informations sensibles et le respect des obligations réglementaires telles que le RGPD, HIPAA et le SOX.
Ce guide explique comment appliquer la gouvernance à TiDB en utilisant ses outils natifs et comment combler les lacunes avec DataSunrise, une plateforme complète de conformité et de sécurité des bases de données.
Pourquoi TiDB a besoin de gouvernance
Que vous stockiez des dossiers clients, des transactions financières ou des données de santé, la gouvernance garantit que votre base de données répond aux exigences suivantes :
- Contrôle d’accès
- Traçabilité
- Protection des données sensibles
- Conformité réglementaire
TiDB fournit des contrôles de base — mais ceux-ci sont souvent limités, manuels ou totalement absents. Commençons par ce qui est intégré.
Outils de gouvernance natifs de TiDB
Contrôle d’accès basé sur les rôles
TiDB inclut une gestion des rôles compatible avec la syntaxe MySQL. Vous pouvez créer des rôles et déléguer des privilèges d’accès de la manière suivante :
CREATE ROLE 'compliance_auditor';
GRANT SELECT ON hr_data.* TO 'compliance_auditor';
GRANT 'compliance_auditor' TO 'alice'@'%';
Consultez la documentation officielle sur les rôles et les attributions pour en savoir plus.
Journalisation d’audit (Entreprise & Cloud dédié)
Disponible dans les éditions Entreprise et Cloud dédié de TiDB v7.1+. Vous pouvez filtrer ce qui est journalisé, masquer des portions de SQL et attribuer des règles aux utilisateurs :
SET GLOBAL tidb_audit_enabled = 1;
CALL audit_log_create_filter('login_attempts', '{
"filter": [
{ "class": ["CONNECT"], "status_code": [0] },
{ "class": ["QUERY_DDL"] }
]
}');
CALL audit_log_create_rule('login_attempts', 'admin@%', true);
SET GLOBAL tidb_audit_log_redacted = ON;
Les instructions complètes de configuration sont disponibles dans le Guide de journalisation d’audit de TiDB (PDF).
Recherche dans les journaux à l’échelle du cluster
Recherchez les journaux d’audit sur les nœuds TiDB, TiKV et PD :
SELECT * FROM information_schema.cluster_log
WHERE message LIKE '%ddl%'
AND time > NOW() - INTERVAL 30 MINUTE;
Les définitions des champs et des exemples d’utilisation sont détaillés dans la documentation CLUSTER_LOG.
Récupération à un moment précis (PITR)
L’outil BR de TiDB prend en charge la récupération à un moment précis (PITR) à partir des sauvegardes de journaux :
tiup br log start --task-name=pitr \
--pd="${PD_IP}:2379" \
--storage 's3://mybucket/logs'
tiup br restore point \
--restored-ts '2025-07-10 12:00:00' \
--pd="${PD_IP}:2379" \
--storage 's3://mybucket/logs'
Pour en savoir plus, consultez la documentation PITR de TiDB.
Découverte manuelle des données (requêtes Regex)
SELECT table_name, column_name
FROM information_schema.columns
WHERE column_name REGEXP 'email|name|card|phone';
pii_customers contient des champs tels que first_name, last_name, phone1 et email — tous définis en tant que varchar, ce qui suggère des colonnes potentielles de PII pour la classification ou le masquage.Utile, mais limité — il n’existe pas de classification, de marquage ou de correspondance intégrés aux normes de conformité.
Où les fonctionnalités natives sont insuffisantes
| Fonctionnalité | Communauté | Entreprise/Cloud dédié | Remarques |
|---|---|---|---|
| RBAC | ✅ | ✅ | Attributions SQL de base |
| Journaux d’audit structurés | ❌ | ✅ (v7.1+) | Filtres JSON, pas d’interface graphique |
| Journalisation masquée | ❌ | ✅ | Commutation manuelle |
| Masquage dynamique | ❌ | ❌ | Non supporté |
| Découverte de données | Manuel | Manuel | Uniquement Regex, pas de marquage ni de tableaux de bord |
| Alertes en temps réel | ❌ | ❌ | Outils externes requis |
| Rapports de conformité | ❌ | ❌ | Non disponibles nativement |
Étendre la gouvernance avec DataSunrise
DataSunrise est une plateforme de sécurité des bases de données qui s’intègre parfaitement avec TiDB. Elle fonctionne comme une couche de proxy ou de sniffer, inspectant le trafic et appliquant des règles de conformité en temps réel — sans nécessiter de modifications de votre base de données ou de la logique de votre application.
Elle offre des fonctionnalités de découverte, de masquage, d’audit et d’alerte qui comblent les lacunes en matière de conformité laissées par les outils natifs.
Découverte des données sensibles
Contrairement aux méthodes basées sur les expressions régulières, DataSunrise intègre un moteur de classification des colonnes par contenu et contexte. Son module de découverte détecte automatiquement les données PII, PHI et financières à l’aide de modèles préconfigurés alignés sur les principales réglementations.
Vous obtenez des tableaux de bord couvrant l’ensemble du schéma qui mettent en évidence les données sensibles dans votre environnement TiDB.
Masquage dynamique des données
DataSunrise permet le masquage au niveau des colonnes en fonction de l’utilisateur effectuant la requête, de ce à quoi il accède et de la manière dont il procède. Avec des règles de masquage, vous pouvez définir :
- Un masquage complet ou partiel
- Un hachage, une conversion en valeur nulle ou une substitution par expression régulière
- Des règles basées sur l’utilisateur, l’IP ou le contexte du schéma
Tout cela se produit avant que la requête n’atteigne TiDB.
Alertes et surveillance en temps réel
Configurez des alertes pour des événements sensibles tels que :
- Tentatives de connexion échouées
- Modifications DDL
- Volumes importants de requêtes
Vous pouvez intégrer avec Slack, Microsoft Teams, email ou votre SIEM via des règles de notification.
Rapports de conformité
DataSunrise rend les résultats d’audit exploitables avec des rapports exportables au format PDF et CSV couvrant :
- Les journaux d’accès
- L’utilisation des règles de masquage
- Les résumés de classification
Ces rapports sont conformes aux attentes des régulateurs pour les audits RGPD, HIPAA et SOX.
Gestion visuelle des règles
Les équipes peuvent définir et gérer les politiques de gouvernance via une interface utilisateur intuitive, en créant et en attribuant des règles sans avoir à coder. Cela facilite l’extension des efforts de gouvernance à travers les équipes et les bases de données.
Architecture : Gouvernance avec DataSunrise et TiDB
Pour appliquer les politiques sans modifier la logique de votre application ou altérer les internals de TiDB, DataSunrise fonctionne comme un proxy transparent. Il intercepte les requêtes SQL, applique des règles de masquage, de journalisation ou d’alerte, puis les transmet à TiDB comme d’habitude.
Le schéma ci-dessous illustre l’intégration de DataSunrise dans le modèle de déploiement de TiDB :
Liste de contrôle des tâches de gouvernance
Pour vous aider à appliquer ces pratiques étape par étape, voici un aperçu des tâches essentielles de gouvernance et des outils les mieux adaptés pour chacune.
| Tâche | Outil | Description |
|---|---|---|
| Définir les rôles et l’accès | TiDB | Utilisez CREATE ROLE, GRANT |
| Configurer les filtres d’audit | TiDB Enterprise | Basé sur JSON, filtré par classe d’événement |
| Activer PITR | TiDB BR | Restauration basée sur les journaux à une date précise |
| Découvrir les données sensibles | DataSunrise | Analyse automatique et classification des colonnes |
| Masquer les données dynamiquement | DataSunrise | Basé sur l’utilisateur, l’IP, le schéma ou le rôle |
| Envoyer des alertes en temps réel | DataSunrise | Slack, Teams, email, SIEM |
| Générer des rapports d’audit | DataSunrise | Exporter les données de conformité en CSV ou PDF |
Conclusion
TiDB offre de solides outils de base pour le contrôle d’accès et la sauvegarde, mais ses fonctionnalités de gouvernance ne répondent pas pleinement aux exigences de conformité modernes.
DataSunrise comble cette lacune grâce à une application dynamique, une classification automatisée, des alertes en temps réel et une visibilité basée sur les politiques — et ce, sans modifier vos applications ou la structure de votre base de données.
Pour les équipes souhaitant mettre en œuvre une gouvernance complète du cycle de vie dans TiDB, c’est la voie pratique et efficace à suivre.
Protégez vos données avec DataSunrise
Sécurisez vos données à chaque niveau avec DataSunrise. Détectez les menaces en temps réel grâce à la surveillance des activités, au masquage des données et au pare-feu de base de données. Appliquez la conformité des données, découvrez les données sensibles et protégez les charges de travail via plus de 50 intégrations supportées pour le cloud, sur site et les systèmes de données basés sur l'IA.
Commencez à protéger vos données critiques dès aujourd’hui
Demander une démo Télécharger maintenant