DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

  • Accueil
  • Guides | DataSunrise
  • Comment intégrer DataSunrise avec les flux d’activité de base de données AWS pour obtenir des résultats d’audit pour AWS Aurora PostgreSQL

Comment intégrer DataSunrise avec les flux d’activité de base de données AWS pour obtenir des résultats d’audit pour AWS Aurora PostgreSQL

Installer le package DataSunrise depuis le dépôt DEB pour Ubuntu 24 Comment migrer le modèle CloudFormation DataSunrise de la configuration de lancement (LC) à la ressource de modèle de lancement (LT) dans le groupe Auto Scaling Comment Envoyer des Événements DataSunrise à un Canal Microsoft Teams via Webhook Entrant en Utilisant des Abonnés Comment déléguer les données de la base d’audit vers AWS S3 et les lire en utilisant le service AWS Athena Convertir la configuration d’essai ou BYOL de DataSunrise en facturation horaire PostgreSQL (RDS) vs Aurora PostgreSQL Comment dépanner les erreurs « La connexion a été interrompue » ou « La connexion a été interrompue de manière inattendue » dans les applications utilisant les proxys DataSunrise Les Performances de DataSunrise sous une Forte Charge de Trafic L’Approche de DataSunrise pour configurer les pénalités de détection d’injection SQL Comment bloquer des hôtes spécifiques dans DataSunrise pour améliorer la sécurité de la base de données Dépannage des problèmes de mesure et de facturation horaire AWS dans DataSunrise sur AWS Marketplace Comment effectuer la modification de la Formation Cloud Masquage Dynamique des Données avec DataSunrise : Masquage avec des scripts Lua Comment Choisir la Base de Données pour le Stockage d’Audit : Une Analyse de Performance Comment exécuter pgbench via le proxy DataSunrise sur PostgreSQL 14 avec l’authentification SCRAM Comment Contrôler la Visibilité des Noms de Tables Installer le package DataSunrise depuis le dépôt DEB (pour Debian 12/Ubuntu 22) Configuration de l’authentification SSO DataSunrise basée sur SAML (Okta) Authentification SSO DataSunrise basée sur OpenID (Okta) Guide Complet sur la Recherche de Données Sensibles dans les Images Hébergées sur AWS S3 Comment déployer DataSunrise avec un Template Terraform sur Azure Comment intégrer DataSunrise avec un cluster SQL Server Always On Comment déployer DataSunrise dans Microsoft Azure en utilisant Azure Resource Manager Comment effectuer le masquage statique des données avec DataSunrise pour MongoDB Comment configurer la traçabilité des audits de DB pour MS Azure MySQL Configurer le trailing d’audit de base de données pour MS Azure PostgreSQL Comment configurer DataSunrise pour masquer les données pour Amazon Athena Comment Mettre à Niveau la Version de l’OS RHEL des Serveurs DataSunrise Existants Comment intégrer DataSunrise avec les flux d’activité de base de données AWS pour obtenir des résultats d’audit pour AWS Aurora PostgreSQL Configurer des certificats SSL pour le proxy de base de données DataSunrise Rapports dans DataSunrise : Système Crucial pour une Sécurité Renforcée des Bases de Données Comment cacher les schémas des utilisateurs dans Redshift Aperçu de la console centralisée DataSunrise Journaux d’audit AWS RDS PostgreSQL dans DataSunrise Masquage de Texte Non Structuré sur AWS S3 Masquage des Données sur Place Auditer les actions administratives dans votre Oracle RDS et EC2 Meilleures pratiques des règles de DataSunrise Le script Lua découvre des données sensibles dans les fichiers JSON Comment vérifier si DataSunrise reçoit du trafic Supprimer une procédure ou une fonction d’une base de données Principes de Base du Masquage Dynamique Installer DataSunrise à partir du dépôt RPM (pour RHEL, CentOS 8/9) Installer DataSunrise depuis le dépôt DEB (Debian, Ubuntu) Guide de sécurité Règles de Sécurité Contre les Injections SQL Guide d’Audit Apprentissage des Règles et Audit Priorité des Règles Guide de Masquage Dynamique des Données Guide du Masquage Statique des Données

Vue d’ensemble des méthodes d’audit d’activité de base de données

Aujourd’hui, l’audit de bases de données devient de plus en plus important en raison des nombreux textes législatifs et réglementations dédiés à la protection des données sensibles tels que le RGPD, KVKK, etc.

Techniquement, plusieurs méthodes d’audit de bases de données existent, les plus populaires étant :

  • Le proxying du trafic de la base de données (proxying) ;
  • L’écoute passive du trafic de la base de données ;
  • La lecture des journaux recueillis par les outils d’audit natifs de la base de données ;
  • L’intégration avec des services d’audit dédiés tels que AWS DAS.

Chaque approche a ses propres avantages et inconvénients, limitations et opportunités. Les utilisateurs d’Amazon, quant à eux, peuvent trouver que les deux dernières approches conviennent le mieux à leurs besoins. Ces méthodes permettent aux utilisateurs AWS de notifier le personnel de sécurité sur certains événements de la base de données, de créer des rapports sur l’activité du cluster Aurora PG, etc.

Les flux d’activité de base de données AWS (DAS) fournissent un flux d’activité quasi en temps réel dans votre cluster de bases de données et offrent les avantages suivants par rapport aux mécanismes de journalisation natifs de la base de données (fonctionnalité de journalisation d’audit Trailing DB de DataSunrise) :

  • Le processus de configuration de DAS est bien plus simple que celui de la mise en place d’une journalisation « classique » basée sur des fichiers de log. De plus, aucun espace de stockage supplémentaire n’est requis pour stocker les journaux ;
  • Une protection accrue contre les menaces internes : les administrateurs de bases de données n’ont pas accès à la collecte, la transmission, le stockage et le traitement des flux d’activité de la base de données ;
  • Les DAS offrent plus de flexibilité que la journalisation « classique » grâce aux modes synchrone et asynchrone disponibles.

Le principal inconvénient critique des DAS est leur incompatibilité avec certaines classes d’instances RDS et certaines versions d’Amazon Aurora.

Le schéma suivant illustre un cluster Aurora PG intégré avec DataSunrise :

Ici, un cluster Aurora PG avec DAS activé. Aurora envoie des données sur l’activité de la base de données à AWS Kinesis. Les flux d’activité sont alors chiffrés à l’aide d’une clé de chiffrement AWS KMS. Kinesis, à son tour, transmet les flux d’activité de la base de données à DataSunrise qui est utilisé comme outil de surveillance de base de données. DataSunrise consomme les flux et enregistre les résultats d’audit dans son espace de stockage d’audit. Ensuite, les événements de la base de données capturés sont affichés dans la section « Transactional trails » de la console Web de DataSunrise.

Prérequis pour le cluster Aurora PG

Avant de configurer les DAS, assurez-vous que votre environnement AWS est conforme aux exigences énumérées ci-dessous.

Versions de bases de données Aurora PostgreSQL supportées :

  • Toutes les versions 13
  • Toutes les versions 12
  • La version 11.6 et les versions ultérieures de la série 11
  • La version 10.11 et les versions ultérieures de la série 10

Classes d’instances AWS RDS supportées :

  • db.r6g
  • db.r5
  • db.r4
  • db.x2g

Les flux d’activité de la base de données sont supportés dans toutes les régions AWS, à l’exception des suivantes :

  • Région Chine (Pékin), cn-north-1
  • Région Chine (Ningxia), cn-northwest-1
  • AWS GovCloud (US-East), us-gov-east-1
  • AWS GovCloud (US-West), us-gov-west-1

Divers :

  • Les DAS nécessitent l’utilisation d’AWS Key Management Service (AWS KMS). AWS KMS est requis car les flux d’activité sont toujours chiffrés
  • Les flux d’activité de la base de données nécessitent l’utilisation d’Amazon Kinesis

En savoir plus : Exigences de version pour les flux d’activité de bases de données AWS Aurora

Création d’une clé AWS KMS

Étant donné que les flux d’activité sont toujours chiffrés, vous devez utiliser une clé de chiffrement. Aurora utilise la clé KMS pour chiffrer la clé qui, à son tour, chiffre l’activité de la base de données. Si vous ne disposez pas d’une clé KMS, créez-la.

Accédez au Key Management System (KMS) d’AWS, cliquez sur Créer une clé. Configurez les options suivantes pour votre clé :

  • Type de clé : Symétrique
  • Origine du matériel de clé : KMS
  • Régionalité : Clé à région unique
  • Politique de clé : par défaut

En savoir plus : AWS KMS – Création de clés

Démarrer les DAS pour votre cluster Aurora PG

Après avoir préparé votre environnement RDS Aurora PG, vous pouvez démarrer les flux d’activité de base de données.

Accédez au RDS Managed Relational Database Service (RDS), sélectionnez Bases de données, choisissez le cluster de base de données pour lequel vous souhaitez activer un flux d’activité, cliquez sur Actions -> Démarrer le flux d’activité de la base de données :

Configurez les DAS de la manière suivante :

  • Clé principale : votre clé KMS
  • Mode de flux d’activité de la base de données : soit Asynchrone, soit Synchrone. Nous recommandons d’utiliser le mode Synchrone car il privilégie la précision du flux d’activité par rapport aux performances de la base de données. La différence entre ces deux modes est décrite ici.
  • Appliquer immédiatement : indique si les modifications doivent être appliquées immédiatement ou selon un calendrier.
  • Vous pouvez accéder au flux dans la section Configuration des paramètres de votre cluster (Flux d’activité de la base de données -> Flux Kinesis) : En savoir plus : Activation des flux d’activité de bases de données AWS Aurora

Configuration de l’audit basé sur les DAS dans DataSunrise

Après avoir démarré les DAS pour votre cluster Aurora, vous pouvez procéder à la configuration de DataSunrise pour consommer les flux d’activité de la base de données.

Pour permettre à DataSunrise de fonctionner avec les DAS, votre utilisateur IAM doit avoir accès à certaines fonctionnalités de Kinesis, KMS et RDS. Pour accorder les autorisations requises, accédez à Identity and Access Management (IAM) -> Utilisateurs et attachez la politique suivante à votre utilisateur :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "Kinesis:DescribeStreamSummary",
                "Kinesis:ListShards",
                "Kinesis:GetShardIterator",
                "Kinesis:GetRecords",
                "Kinesis:DescribeStreamSummary",
                "KMS:Decrypt",
                "RDS:DescribeDBClusters"
            ],
            "Resource": ["<ARN de votre flux Kinesis>", "<ARN de votre clé KMS>", "<ARN de votre base de données RDS>"]
        }
    ]
}

Créez une nouvelle instance de base de données Aurora PG ou utilisez-en une existante. Ouvrez la console Web de DataSunrise et accédez à Configuration -> Bases de données.

  • Fournissez les informations de connexion pour votre base de données Aurora PG. Spécifiez le point de terminaison de votre cluster Aurora PG dans le champ Hôte ;
  • Dans la section Mode de capture de la page de l’instance, sélectionnez Trailing the DB Audit Logs dans la liste déroulante Mode ;
  • Dans la liste déroulante Type de format, sélectionnez Flux d’activité de la base de données ;
  • Remplissez tous les champs requis. Enregistrez l’instance.

Créez une règle d’audit de données pour votre instance Aurora PG : accédez à Audit -> Règles et créez une règle

Pour consulter les résultats d’audit, accédez à Audit -> Pistes transactionnelles. Notez que les résultats peuvent apparaître avec un délai d’environ 5 à 10 minutes.

Vous pouvez également ajuster l’audit basé sur les DAS dans DataSunrise en modifiant les paramètres suivants (Paramètres système -> Paramètres supplémentaires) :

  • TrailDASIntervalTime : période durant laquelle obtenir la liste des événements (par exemple, pour les 5 dernières minutes à partir du dernier enregistrement) ;
  • TrailDASOffsetTime : délai pour obtenir les événements (requis pour la synchronisation, en secondes).

Did this guide help you?

Contact Us