Gestion de la conformité Amazon RDS
Atteindre la gestion de la conformité Amazon RDS nécessite bien plus que le simple chiffrement et le contrôle d’accès utilisateur. Les entreprises exécutant PostgreSQL sur Amazon RDS ont besoin d’un audit en temps réel, d’un masquage dynamique, d’une découverte complète des données et d’une intégration multiplateforme. Cet article décrit comment configurer les outils natifs PostgreSQL RDS pour la conformité et comment étendre ces capacités avec la plateforme de sécurité autonome de DataSunrise.
PostgreSQL RDS natif : audit en temps réel, masquage et découverte
Amazon RDS pour PostgreSQL inclut plusieurs fonctionnalités intégrées qui soutiennent une conformité continue, en particulier lorsqu’elles sont correctement configurées. Vous trouverez ci-dessous un guide pratique pour la mise en place de la sécurité et de la conformité natives à l’aide de PostgreSQL.
Audit en temps réel avec pgaudit
Amazon RDS prend en charge pgAudit, une extension conçue pour une journalisation détaillée des sessions et au niveau des objets. Elle aide à suivre l’activité DML et DDL — essentielle pour la conformité au RGPD et au PCI DSS.
Activez pgaudit sur votre instance RDS :
-- Modifier le groupe de paramètres
rds.enable_pgaudit = 1
shared_preload_libraries = 'pgaudit'
Activez la journalisation au niveau de la session :
ALTER SYSTEM SET pgaudit.log = 'read, write, ddl, role';
ALTER SYSTEM SET pgaudit.role = 'rds_pgaudit';
Ensuite, redémarrez l’instance RDS pour appliquer la configuration. Les journaux sont visibles dans CloudWatch et peuvent être intégrés avec Athena pour des requêtes centralisées.
Masquage dynamique des données
Bien que PostgreSQL ne dispose pas d’un masquage dynamique natif, le masquage personnalisé via des vues constitue une solution efficace.
CREATE VIEW masked_users AS
SELECT
id,
username,
'****' || RIGHT(phone, 4) AS masked_phone,
LEFT(email, 1) || '***@***.com' AS masked_email
FROM users;
GRANT SELECT ON masked_users TO readonly_role;
Cette méthode garantit que les utilisateurs non autorisés ne voient que des données obfusquées tout en préservant la compatibilité des requêtes.
Découverte des données avec Amazon Macie
Pour les données structurées et non structurées, Amazon Macie offre la découverte d’informations personnelles (PII/PHI) en scannant les exportations S3. Cela étend la découverte au-delà des requêtes brutes sur la base de données jusqu’aux couches de stockage, ce qui est utile pour identifier les risques de non-conformité.
Pour activer :
Exporter les instantanés ou journaux RDS vers S3
Activer Macie pour scanner ces buckets
Découvrez d’autres outils de découverte avec Amazon DataZone, qui améliore la catalogation des métadonnées à travers RDS et au-delà.
Bonnes pratiques de sécurité
Amazon recommande également le chiffrement RDS et les modèles d’accès au moindre privilège pour une protection globale. Utilisez l’authentification IAM pour la base de données et la réplication multi-AZ pour la résilience et la gestion des identités.
Conformité d’entreprise avec DataSunrise
Pour aller au-delà des capacités natives, DataSunrise propose une automatisation sans intervention et une intelligence multiplateforme qui transforment Amazon RDS en un pilote automatique de conformité.
Audit autonome en temps réel
Contrairement aux journaux natifs qui nécessitent une inspection manuelle, DataSunrise offre une surveillance en temps réel de l’activité de la base de données et des règles d’audit personnalisées via des interfaces sans code. Vous pouvez définir des politiques d’activité suspecte, déclencher des alertes via MS Teams ou Slack, et générer des rapports prêts pour l’audit à la demande.
Cela permet l’automatisation de l’audit pour le RGPD, HIPAA et le PCI DSS.
Masquage dynamique avec une précision réglée finement
DataSunrise prend en charge le masquage dynamique des données avec une granularité chirurgicale — non seulement en obfusquant les données, mais en s’adaptant au contexte, comme les rôles des utilisateurs ou les types de requêtes.
Vous pouvez configurer des règles pour n’afficher que des données partielles à certains rôles d’utilisateurs ou appliquer des analyses du comportement des utilisateurs qui mettent à jour dynamiquement les niveaux de masquage en temps réel. Le tout fonctionne en modes proxy non-intrusifs/sniffeurs.
Découverte des données sensibles
Avec DataSunrise, la découverte des données sensibles est continue et intelligente. Elle utilise une classification basée sur le machine learning et même l’OCR pour les informations personnelles basées sur des images.
Gestionnaire de conformité et automatisation des politiques
DataSunrise agit en tant que gestionnaire de conformité avec des cadres intégrés pour SOX, RGPD, HIPAA. Il prend en charge l’automatisation des politiques sans code et la génération personnalisée de preuves de conformité, contribuant à éliminer les lacunes et à réduire la supervision manuelle.
Intégration multi-plateforme sans faille
D’Amazon RDS à Microsoft SQL Server, Oracle et MongoDB, DataSunrise garantit une visibilité inter-bases de données et un support natif des plateformes cloud. Il s’intègre aux environnements hybrides en utilisant le reverse proxy ou la traçabilité native des journaux et inclut une détection des menaces en temps réel.
Conclusion : Réduction des risques à grande échelle
La gestion de la conformité Amazon RDS est réalisable avec les outils natifs, mais pour les organisations cherchant à évoluer de manière sécurisée à travers les régions et les équipes, DataSunrise offre une plateforme de conformité unifiée et sans intervention.
En combinant l’audit en temps réel, le masquage dynamique et la découverte des données sensibles avec une intégration multiplateforme, DataSunrise simplifie les processus réglementaires tout en minimisant le risque de non-conformité. Découvrez la plateforme de conformité autonome en action.
