Protection complète de ClickHouse

ClickHouse est devenu la colonne vertébrale de l’analytique en temps réel pour les organisations manipulant d’énormes volumes de données. Son architecture en colonnes offre des performances exceptionnelles de requête, mais cette rapidité s’accompagne de défis de sécurité que les outils traditionnels de protection des bases de données ont du mal à surmonter. Avec DataSunrise 11.3, nous introduisons un support complet de ClickHouse grâce à des analyseurs de protocoles natifs et HTTP, une grammaire SQL basée sur Databricks, et une application intégrale des règles de sécurité.

Pourquoi la sécurité de ClickHouse nécessite une approche spécialisée

ClickHouse fonctionne différemment des bases de données relationnelles classiques. Il utilise à la fois le protocole TCP natif (port 9000) et une interface HTTP (port 8123) pour les connexions clients, traite une syntaxe SQL étendue et gère des charges de travail analytiques à des vitesses susceptibles de submerger les proxys de sécurité traditionnels.

Les pare-feux de bases de données standards échouent souvent à analyser correctement le trafic ClickHouse, ce qui entraîne des journaux d’audit incomplets, des violations de politique non détectées ou des latences inacceptables. Les organisations utilisant ClickHouse pour des analyses critiques ont besoin d’une protection adaptée aux caractéristiques de performance de la base de données.

Analyse des protocoles natif et HTTP

DataSunrise 11.3 offre une visibilité véritable au niveau du protocole sur le trafic ClickHouse. La solution analyse les deux méthodes de communication :

Cette couverture duale du protocole garantit qu’aucune requête ne passe inaperçue, quel que soit le mode de connexion des applications à vos clusters ClickHouse.

Support de la grammaire SQL basée sur Databricks

Le parseur SQL de DataSunrise reconnaît nativement le dialecte SQL étendu de ClickHouse, incluant une syntaxe semblable à PostgreSQL avec des conversions de type utilisant la notation ::. Cette précision d’analyse permet :

• La classification et la catégorisation des requêtes
• Le suivi d’accès au niveau des objets (bases de données, tables, colonnes)
• L’analyse des fonctions et expressions
• L’identification des sous-requêtes

Sans un support grammatical adapté, les règles de sécurité ciblant des tables ou opérations spécifiques échoueraient face aux variations syntaxiques de ClickHouse.

Fonctionnalités de sécurité prises en charge

DataSunrise 11.3 offre des capacités complètes pour ClickHouse :

• Audit – Surveiller et enregistrer toutes les requêtes et activités en base de données
• Masquage dynamique – Masquer en temps réel les données sensibles dans les résultats de requête
• Blocage dynamique – Bloquer les requêtes non autorisées selon les règles de sécurité
• Découverte des données – Identifier et classifier les données sensibles dans votre environnement ClickHouse
• Mode Sniffer – Surveillance passive du trafic sans déploiement de proxy
• Suivi des logs natifs – Collecter les événements d’audit du système de journalisation natif de ClickHouse

Masquage dynamique des données

Les données sensibles dans les bases analytiques s’étendent souvent sur des millions de lignes dans des tables larges. Le masquage statique est impraticable lorsque les data scientists ont besoin d’un accès rapide à des jeux de données à l’échelle de production.

Le masquage dynamique transforme les valeurs sensibles en temps réel lors du retour des résultats de requête aux utilisateurs. Pour configurer le masquage dynamique pour ClickHouse :

1. Accédez à Masquage → Règles de masquage dynamique
2. Cliquez sur Ajouter une règle
3. Sélectionnez l’instance de base de données ClickHouse
4. Configurez les paramètres de masquage pour des colonnes ou motifs de données spécifiques
5. Cliquez sur Enregistrer

Les analystes voient les valeurs masquées tandis que les requêtes s’exécutent à la vitesse complète de ClickHouse. Les données sources restent intactes.

Application des règles de sécurité

DataSunrise applique des politiques de sécurité complètes dans votre environnement ClickHouse. Pour configurer les règles de sécurité :

1. Allez dans Sécurité → Règles de sécurité
2. Cliquez sur Ajouter une règle
3. Sélectionnez l’instance de base de données ClickHouse
4. Définissez les conditions et actions de la règle
5. Cliquez sur Enregistrer

Les règles sont évaluées en fonction des métadonnées des requêtes analysées, permettant des conditions précises référant des bases de données, tables, colonnes ou opérations SQL spécifiques.

Premiers pas

Pour configurer DataSunrise pour ClickHouse :

1. Allez dans Configuration → Bases de données et cliquez sur Ajouter une base de données
2. Sélectionnez ClickHouse dans la liste déroulante du type de base de données
3. Configurez les paramètres de connexion y compris l’hôte, le port et le protocole (Natif ou HTTP)
4. Cliquez sur Tester la connexion pour vérifier la connectivité
5. Configurez les paramètres du proxy pour les connexions client
6. Cliquez sur Enregistrer

Connectez-vous via le proxy DataSunrise en utilisant clickhouse-client :

clickhouse-client --user <nom_utilisateur> --password <mot_de_passe> --host <hôte_datasunrise> --port <port_proxy>

Ou via JDBC pour les connexions HTTP :

jdbc:clickhouse://<hôte_datasunrise>:<port_proxy>/<base_de_données>

Le support de ClickHouse est disponible dès maintenant avec DataSunrise 11.3. Pour les équipes réalisant des analyses à haute performance, une sécurité de base de données de niveau entreprise est prête à être déployée.