Gestion de la Conformité TiDB
Introduction
La gestion de la conformité fait référence au processus continu garantissant qu’un système ou une organisation se conforme aux normes légales et réglementaires – notamment celles concernant la confidentialité et la sécurité des données. Pour les bases de données, cela signifie suivre l’activité, appliquer des contrôles d’accès, protéger les informations sensibles et assurer la récupérabilité en cas d’incidents.
TiDB est une base de données SQL distribuée open-source conçue pour une haute disponibilité et une scalabilité horizontale. Elle prend en charge des charges de travail HTAP (traitement transactionnel et analytique hybride) et est compatible avec MySQL, ce qui la rend parfaitement adaptée aux applications modernes en temps réel.
Face à la pression croissante des réglementations telles que GDPR, HIPAA, SOX et PCI DSS, les organisations doivent non seulement protéger les données mais aussi démontrer comment celles-ci sont surveillées, accessibles et restaurées en cas de besoin.
Cet article explique comment TiDB répond à ces besoins de conformité de manière native et comment DataSunrise étend ces capacités grâce à l’automatisation, à la découverte de données, au masquage et à la génération de rapports.
Pourquoi la gestion de la conformité est importante
La conformité ne consiste pas seulement à éviter les amendes : il s’agit de bâtir la confiance, de minimiser les risques et de permettre des opérations sécurisées. Ne pas protéger les données sensibles peut entraîner des dommages à la réputation, des sanctions juridiques et une perte de confiance des clients.
Pour les équipes d’ingénierie et de données, une gestion rigoureuse de la conformité offre une clarté sur qui peut accéder à quelles données, quand et comment. Elle garantit également que les opérations sensibles sont enregistrées, surveillées et récupérables – des principes essentiels pour des systèmes de données sécurisés et résilients.
Capacités natives de conformité de TiDB
L’édition Enterprise de TiDB (v7.1+) introduit la journalisation d’audit native – un composant essentiel de la gestion de la conformité TiDB. Elle permet de suivre les événements SQL, les tentatives de connexion, l’activité des utilisateurs et plus encore. Ces journaux peuvent être générés en JSON ou en texte et supportent la suppression des valeurs sensibles. La configuration se fait via des filtres SQL et des variables système. Pour tous les détails de configuration, consultez le Guide d’Audit de la Base de Données TiDB.
La journalisation d’audit peut être activée via des variables système et configurée par SQL :
-- Activer la journalisation d'audit
SET GLOBAL tidb_audit_enabled = 1;
-- Créer un filtre pour les connexions échouées
SET @filter = '{
"filter": [
{ "class": ["CONNECT"], "status_code": [0] }
]
}';
SELECT audit_log_create_filter('failed_logins', @filter);
SELECT audit_log_create_rule('failed_logins', 'user@%', true);
-- Format et suppression optionnels
SET GLOBAL tidb_audit_log_format = 'json';
SET GLOBAL tidb_audit_log_redacted = ON;
Ces journaux peuvent être interrogés sur l’ensemble du cluster :
SELECT * FROM INFORMATION_SCHEMA.CLUSTER_LOG
WHERE MESSAGE LIKE '%DROP%' AND TYPE='tidb';
Cela offre une visibilité sur l’activité DDL, les opérations échouées ou les modèles d’accès suspects.
Récupération à un moment précis (PITR)
La récupération à un moment précis permet de restaurer la base de données à un état spécifique en utilisant une combinaison de sauvegardes complètes et de sauvegardes de journaux. Cela est crucial en cas de suppressions accidentelles, de corruption de données ou de manipulations malveillantes. TiDB offre cette fonctionnalité via l’outil br (Backup & Restore). Pour les étapes détaillées, référez-vous au Guide PITR de TiDB.
# Démarrer la sauvegarde de journaux en arrière-plan
tiup br log start --task-name=pitr --pd="${PD_IP}:2379" \
--storage='s3://backup/logs'
# Restaurer à un moment précis
tiup br restore point \
--pd="${PD_IP}:2379" \
--storage='s3://backup/logs' \
--full-backup-storage='s3://backup/full' \
--restored-ts '2025-07-09 12:00:00+0000'
PITR est disponible dans les éditions Community (v6.3+) et Enterprise.
Afficher les utilisateurs de la base de données et leurs privilèges
TiDB stocke les informations d’accès des utilisateurs dans la table système mysql.user. Utilisez cette table pour auditer les droits d’accès.
-- Lister tous les utilisateurs de la base de données et leurs hôtes de connexion
SELECT user, host FROM mysql.user;
-- Afficher les privilèges d'un utilisateur spécifique
SHOW GRANTS FOR 'auditor'@'%';
Cela peut aider à identifier les comptes sur-privilégiés ou les définitions d’utilisateurs obsolètes qui devraient être revues.
Activer la journalisation des requêtes lentes
Les requêtes lentes peuvent indiquer des goulots d’étranglement en termes de performance ou des schémas d’accès inefficaces, ce qui pourrait impacter l’auditabilité.
-- Activer la journalisation des requêtes lentes
SET GLOBAL slow_query_log = 'ON';
SET GLOBAL long_query_time = 1; -- Journaliser les requêtes de plus de 1 seconde
Vous pouvez ensuite analyser les journaux directement ou les visualiser via le Tableau de Bord TiDB (disponible même dans l’édition Communautaire).
Qu’est-ce que DataSunrise ?
DataSunrise est une plateforme de sécurité et de conformité qui fonctionne comme un proxy ou un sniffer entre les applications et les bases de données. Elle permet aux organisations d’appliquer des politiques de protection des données sur plusieurs systèmes – y compris TiDB – sans modifier la logique de leur application ou le schéma de la base de données.
DataSunrise a été conçue pour répondre aux domaines où les outils natifs sont insuffisants : le masquage en temps réel, la classification automatique des données, la gestion centralisée des politiques d’audit et la génération de rapports de conformité.
Comment DataSunrise améliore la gestion de la conformité de TiDB
1. Masquage Dynamique
DataSunrise masque les champs sensibles (par exemple, noms, numéros de téléphone, données de cartes) en fonction du rôle de l’utilisateur, de son adresse IP ou du contexte de la requête. Les données réelles restent intactes dans TiDB mais sont remplacées dans les résultats de requête pour les sessions non autorisées.
- Prend en charge des substitutions complètes, partielles, avec expressions régulières ou aléatoires
- Appliqué en temps réel via le proxy
- Configuré via une interface web (aucun SQL requis)
2. Découverte des Données Sensibles
Savoir où se trouvent les données sensibles est une condition préalable à leur sécurisation. DataSunrise analyse automatiquement votre base de données TiDB à la recherche de champs PII ou PHI en utilisant la reconnaissance de motifs et des dictionnaires.
3. Gestion des Pistes d’Audit
DataSunrise renforce la gestion de la conformité de TiDB en complétant la journalisation d’audit native avec des pistes d’audit détaillées :
- Capture des variables liées (par exemple, voir
id = 42, et non?) - Filtres granulaires par utilisateur, table ou IP
- Alertes via Slack, Teams ou webhook en cas d’anomalies
- Journaux exportables (PDF, CSV, JSON)
4. Rapports de Conformité
Générez des rapports programmés pour répondre aux exigences de conformité GDPR, HIPAA, PCI DSS ou SOX. Ces rapports incluent l’historique des événements, la couverture des politiques et des résumés des niveaux de risque.
Tableau Comparatif de la Conformité
Le tableau suivant résume les fonctionnalités de conformité disponibles nativement dans TiDB et celles nécessitant une plateforme externe telle que DataSunrise.
| Fonctionnalité | TiDB Enterprise | DataSunrise |
|---|---|---|
| Journalisation d’audit structurée | ✅ (v7.1+ seulement) | ✅ En temps réel avec alertes |
| Masquage Dynamique | ❌ | ✅ Moteur sensible au rôle |
| Découverte des Données Sensibles | ❌ | ✅ Analyse automatisée |
| Alertes en Temps Réel | ❌ | ✅ Support Slack, Teams, Webhook |
| Gestionnaire de Règles Visuel | ❌ | ✅ Éditeur de politiques via navigateur |
| Rapports Basés sur les Politiques | ❌ | ✅ Exportables (PDF/CSV/JSON) |
| Conformité Multi-Base de Données | ❌ | ✅ Fonctionne avec plus de 40 plateformes de données |
Cette vue côte à côte permet de clarifier quelles fonctionnalités sont déjà couvertes dans votre déploiement TiDB et lesquelles bénéficieraient d’une intégration avec DataSunrise.
Conclusion
TiDB offre une base solide pour la conformité, avec des fonctionnalités de journalisation structurée et de récupération intégrées dans son édition Enterprise. Cependant, des exigences avancées telles que le masquage, la classification des données, les alertes en temps réel et la gestion centralisée des audits sont mieux gérées par une plateforme comme DataSunrise.
Si votre organisation doit se conformer à des cadres tels que GDPR, HIPAA, SOX ou PCI DSS, DataSunrise peut contribuer à faire de TiDB un environnement entièrement conforme et prêt à l’audit.
Protégez vos données avec DataSunrise
Sécurisez vos données à chaque niveau avec DataSunrise. Détectez les menaces en temps réel grâce à la surveillance des activités, au masquage des données et au pare-feu de base de données. Appliquez la conformité des données, découvrez les données sensibles et protégez les charges de travail via plus de 50 intégrations supportées pour le cloud, sur site et les systèmes de données basés sur l'IA.
Commencez à protéger vos données critiques dès aujourd’hui
Demander une démo Télécharger maintenant