Gestion de la conformité TiDB

Introduction

La gestion de la conformité fait référence au processus continu qui garantit qu’un système ou une organisation respecte les normes légales et réglementaires—particulièrement celles liées à la confidentialité et à la sécurité des données. Pour les bases de données, cela implique de suivre les activités, de faire respecter les contrôles d’accès, de protéger les informations sensibles et d’assurer la récupération après incident.

TiDB est une base de données SQL distribuée open-source conçue pour une haute disponibilité et une scalabilité horizontale. Elle prend en charge les charges de travail hybrides transactionnelles et analytiques (HTAP) et est compatible MySQL, ce qui la rend parfaitement adaptée aux applications modernes en temps réel.

Face à la pression croissante des réglementations telles que le RGPD, HIPAA, SOX et le PCI DSS, les organisations doivent non seulement protéger les données, mais aussi démontrer comment ces données sont surveillées, consultées et restaurées si nécessaire.

Cet article explique comment TiDB supporte nativement ces besoins en conformité et comment DataSunrise étend ces capacités avec l’automatisation, la découverte de données, le masquage et le reporting.

Pourquoi la gestion de la conformité est importante

La conformité ne consiste pas seulement à éviter des amendes—elle vise à instaurer la confiance, minimiser les risques, et permettre des opérations sécurisées. Ne pas protéger les données sensibles peut entraîner des dommages à la réputation, des sanctions juridiques, et une perte de confiance des clients.

Pour les équipes techniques et de données, une gestion robuste de la conformité offre une visibilité claire sur qui peut accéder à quelles données, quand et comment. Elle garantit également que les opérations sensibles sont enregistrées, surveillées et restituables—des principes fondamentaux des systèmes de données sécurisés et résilients.

Fonctionnalités natives de conformité dans TiDB

La version Enterprise de TiDB (v7.1+) introduit la journalisation d’audit native—un élément essentiel de la gestion de conformité TiDB. Elle permet de suivre les événements SQL, les tentatives de connexion, l’activité des utilisateurs, et plus encore. Ces journaux peuvent être exportés au format JSON ou texte, et supportent la suppression des valeurs sensibles. La configuration s’effectue via des filtres SQL et des variables système. Pour tous les détails de configuration, consultez le Guide d’audit de base de données TiDB.

La journalisation d’audit peut être activée avec des variables système et configurée via SQL :

-- Activer la journalisation d’audit
SET GLOBAL tidb_audit_enabled = 1;

-- Créer un filtre pour les connexions échouées
SET @filter = '{
  "filter": [
    { "class": ["CONNECT"], "status_code": [0] }
  ]
}';
SELECT audit_log_create_filter('failed_logins', @filter);
SELECT audit_log_create_rule('failed_logins', 'user@%', true);

-- Format optionnel et suppression des données sensibles
SET GLOBAL tidb_audit_log_format = 'json';
SET GLOBAL tidb_audit_log_redacted = ON;

Ces journaux peuvent être consultés à l’échelle du cluster :

SELECT * FROM INFORMATION_SCHEMA.CLUSTER_LOG
WHERE MESSAGE LIKE '%DROP%' AND TYPE='tidb';

Cela fournit une visibilité sur l’activité DDL, les opérations échouées ou les modèles d’accès suspects.

Récupération à un instant précis (PITR)

La récupération à un instant précis permet de revenir à un état spécifique de la base de données en combinant des sauvegardes complètes et des sauvegardes des journaux. Cela est crucial en cas de suppressions accidentelles, corruption des données ou altérations malveillantes. TiDB fournit cette fonctionnalité via l’outil br (Backup & Restore). Pour les étapes détaillées, consultez le Guide PITR TiDB.

# Démarrer la sauvegarde des journaux en arrière-plan
tiup br log start --task-name=pitr --pd="${PD_IP}:2379" \
  --storage='s3://backup/logs'

# Restaurer à un moment donné
tiup br restore point \
  --pd="${PD_IP}:2379" \
  --storage='s3://backup/logs' \
  --full-backup-storage='s3://backup/full' \
  --restored-ts '2025-07-09 12:00:00+0000'

La PITR est disponible à la fois dans les éditions Community (v6.3+) et Enterprise.

Afficher les utilisateurs de la base de données et leurs privilèges

TiDB stocke les informations d’accès utilisateur dans la table système mysql.user. Utilisez-la pour auditer les droits d’accès.

-- Lister tous les utilisateurs de la base de données et leurs hôtes de connexion
SELECT user, host FROM mysql.user;

-- Voir les privilèges accordés à un utilisateur spécifique
SHOW GRANTS FOR 'auditor'@'%';

Sortie de requête SQL affichant les affectations de rôles dans la table mysql.role_edges, mappant des rôles comme analyste, readonly_user et auditeur aux utilisateurs alice, bob et eve. — Résultat de la requête de la table mysql.role_edges dans DBeaver montrant les correspondances rôle-utilisateur dans TiDB, utilisé pour tracer les privilèges hérités et la délégation d’accès.

Cela peut aider à identifier des comptes sur-autorisés ou des définitions d’utilisateurs obsolètes qui devraient être revues.

Activer la journalisation des requêtes lentes

Les requêtes lentes peuvent indiquer des goulets d’étranglement de performance ou des patterns d’accès inefficaces, ce qui peut affecter la capacité d’audit.

-- Activer la journalisation des requêtes lentes
SET GLOBAL slow_query_log = 'ON';
SET GLOBAL long_query_time = 1;  -- Journaliser les requêtes plus lentes que 1 seconde

Vous pouvez ensuite analyser ces journaux directement ou les consulter via le tableau de bord TiDB (disponible même dans l’édition Community).

Qu’est-ce que DataSunrise ?

DataSunrise est une plateforme de sécurité et de conformité qui fonctionne comme un proxy ou un sniffeur entre les applications et les bases de données. Elle permet aux organisations d’appliquer des politiques de protection des données sur plusieurs systèmes—y compris TiDB—sans modifier leur logique applicative ni leur schéma de base de données.

DataSunrise est conçue spécifiquement pour combler les lacunes des outils natifs : masquage en temps réel, classification automatique des données, gestion centralisée des politiques d’audit et reporting de conformité.

Comment DataSunrise améliore la gestion de la conformité TiDB

1. Masquage dynamique

DataSunrise masque les champs sensibles (par exemple noms, numéros de téléphone, données de carte) en fonction du rôle utilisateur, de l’adresse IP ou du contexte de la requête. Les données réelles restent intactes dans TiDB mais sont remplacées dans les résultats pour les sessions non autorisées.

Supporte des substitutions complètes, partielles, par expression régulière ou aléatoires
Appliqué en temps réel via un proxy
Configurable via interface web (aucune requête SQL requise)

Sans titre - Tableau de bord DataSunrise affichant la configuration de masquage pour les objets de base de données sélectionnés. — Capture d’écran du tableau de bord DataSunrise montrant la section « Masquage des données sensibles ». Elle liste 22 objets de base de données sélectionnés, y compris « test », « test_users », « unstr_test », et des champs spécifiques comme « firstname » et « lastname », dans le menu de configuration du masquage.

2. Découverte des données sensibles

Savoir où se trouvent les données sensibles est un prérequis pour les sécuriser. DataSunrise analyse automatiquement votre base TiDB à la recherche de champs PII ou PHI en utilisant la reconnaissance de motifs et des dictionnaires.

Sans titre - Visualisation du rapport des résultats de conformité dans l'interface DataSunrise — Cette image affiche une représentation graphique des résultats de conformité dans l’interface DataSunrise, mettant en lumière les métriques réglementaires et les détails des rapports pour les environnements TiDB. Le design met l’accent sur une visualisation structurée des données sans éléments textuels.

3. Gestion des pistes d’audit

DataSunrise renforce la gestion de la conformité TiDB en augmentant la journalisation d’audit native avec des pistes d’audit granulaires :

Capture des variables liées (par ex. voir id = 42, pas seulement ?)
Filtres fins par utilisateur, table ou IP
Alertes via Slack, Teams, webhooks en cas d’anomalies
Journaux exportables (PDF, CSV, JSON)

4. Reporting de conformité

Générez des rapports programmés pour répondre aux besoins de conformité RGPD, HIPAA, PCI DSS ou SOX. Ces rapports incluent les historiques d’événements, la couverture des politiques et des résumés des niveaux de risque.

Interface DataSunrise affichant la configuration des rapports programmés et des règles de notification. — Écran des réglages des rapports programmés et des notifications dans DataSunrise, montrant les options de configuration pour la fréquence des rapports, le format et le stockage des événements d’audit.

Tableau comparatif de la conformité

Le tableau suivant résume les fonctionnalités de conformité disponibles nativement dans TiDB et celles nécessitant une plateforme externe comme DataSunrise.

Fonctionnalité	TiDB Enterprise	DataSunrise
Journalisation d’audit structurée	✅ (v7.1+ uniquement)	✅ En temps réel avec alertes
Masquage dynamique	❌	✅ Moteur conscient des rôles
Découverte des données sensibles	❌	✅ Analyse automatisée
Alertes en temps réel	❌	✅ Support Slack, Teams, Webhook
Gestion visuelle des règles	❌	✅ Editeur de politiques en navigateur
Rapports basés sur les politiques	❌	✅ Exportables (PDF/CSV/JSON)
Conformité multi-base de données	❌	✅ Compatible avec 40+ plateformes de données

Cette vue côte-à-côte aide à clarifier quelles fonctionnalités sont déjà couvertes dans votre déploiement TiDB et lesquelles bénéficieraient d’une intégration DataSunrise.

Conclusion

TiDB offre une base solide pour la conformité—avec une journalisation structurée et des fonctions de récupération intégrées dans son édition Enterprise. Cependant, les besoins avancés comme le masquage, la classification des données, les alertes en temps réel et la gestion centralisée des audits sont mieux pris en charge par une plateforme comme DataSunrise.

Si votre organisation doit respecter des cadres tels que le RGPD, HIPAA, SOX ou PCI DSS, DataSunrise peut aider à faire de TiDB un environnement complètement conforme et prêt pour l’audit.

Protégez vos données avec DataSunrise

Sécurisez vos données à chaque niveau avec DataSunrise. Détectez les menaces en temps réel grâce à la surveillance des activités, au masquage des données et au pare-feu de base de données. Appliquez la conformité des données, découvrez les données sensibles et protégez les charges de travail via plus de 50 intégrations supportées pour le cloud, sur site et les systèmes de données basés sur l'IA.

Commencez à protéger vos données critiques dès aujourd’hui

Demander une démo Télécharger maintenant

Suivant

Audit des Données pour AlloyDB for PostgreSQL
En savoir plus

Popular Articles

Qu’est-ce que le masquage des données ?

Masquage Dynamique des Données

Masquage Statique des Données

Objectif d’une piste d’audit de base de données

Traçabilité des données

Comprendre les Réglementations sur la Conformité des Données

Qu’est-ce que la sécurité des bases de données

Outils LLM et ML pour la Sécurité des Bases de Données

Génération de Données Synthétiques

Recent Articles

Masquage des données dans Amazon OpenSearch

Conformité des données simplifiée pour Amazon OpenSearch

Anonymisation des données dans Snowflake

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Nom complet

Téléphone

E-mail

Organisation

Titre du poste

Écrivez votre message ici

Informations générales :

[email protected]

Ventes :

[email protected]

Service clientèle et support technique :

support.datasunrise.com

Demandes de partenariat et d'alliance :

[email protected]