Come Garantire la Governance dei Dati per TiDB

TiDB è un database SQL distribuito progettato per il processing ibrido transazionale e analitico (HTAP). È veloce, scalabile orizzontalmente e compatibile con MySQL — ma quando si tratta di governance dei dati a livello aziendale, necessita di un potenziamento.

La governance dei dati si riferisce al quadro di politiche, controlli e tecnologie che assicurano che i dati siano sicuri, accurati, accessibili e conformi per l’intero ciclo di vita. Include la gestione degli accessi degli utenti, il tracciamento delle modifiche, la protezione delle informazioni sensibili e il rispetto degli obblighi normativi come GDPR, HIPAA e SOX.

Questa guida mostra come applicare la governance a TiDB utilizzando i suoi strumenti nativi e come colmare le lacune con DataSunrise, una piattaforma completa per la conformità e la sicurezza nel database.

Perché TiDB Necessita di Governance

Sia che Lei stia archiviando registrazioni dei clienti, transazioni finanziarie o dati sanitari, la governance garantisce che il Suo database soddisfi i requisiti per:

• Controllo degli accessi
• Auditabilità
• Protezione dei dati sensibili
• Conformità normativa

TiDB offre controlli di base — ma spesso risultano limitati, manuali o addirittura assenti. Cominciamo con ciò che è integrato.

Strumenti Nativi di Governance di TiDB

Controllo degli Accessi Basato sui Ruoli

TiDB include una gestione dei ruoli compatibile con la sintassi MySQL. È possibile creare ruoli e delegare privilegi di accesso nel seguente modo:

CREATE ROLE 'compliance_auditor';
GRANT SELECT ON hr_data.* TO 'compliance_auditor';
GRANT 'compliance_auditor' TO 'alice'@'%';

Consultare la documentazione ufficiale sui ruoli e le concessioni per ulteriori informazioni.

Audit Logging (Enterprise e Cloud Dedicated)

Disponibile in TiDB v7.1+ Enterprise e nelle versioni Dedicated Cloud. È possibile filtrare ciò che viene registrato, oscurare le query SQL e assegnare regole agli utenti:

SET GLOBAL tidb_audit_enabled = 1;

CALL audit_log_create_filter('login_attempts', '{
  "filter": [
    { "class": ["CONNECT"], "status_code": [0] },
    { "class": ["QUERY_DDL"] }
  ]
}');

CALL audit_log_create_rule('login_attempts', 'admin@%', true);

SET GLOBAL tidb_audit_log_redacted = ON;

Istruzioni di configurazione complete sono disponibili nella Guida all’Audit Logging di TiDB (PDF).

Ricerca dei Log a Livello di Cluster

Cerca i log di audit attraverso i nodi TiDB, TiKV e PD:

SELECT * FROM information_schema.cluster_log
WHERE message LIKE '%ddl%'
  AND time > NOW() - INTERVAL 30 MINUTE;

Le definizioni dei campi e gli esempi d’uso sono trattati nella documentazione CLUSTER_LOG.

Recupero al Punto nel Tempo (PITR)

Lo strumento BR di TiDB supporta il PITR sfruttando i backup dei log:

tiup br log start --task-name=pitr \
  --pd="${PD_IP}:2379" \
  --storage 's3://mybucket/logs'

tiup br restore point \
  --restored-ts '2025-07-10 12:00:00' \
  --pd="${PD_IP}:2379" \
  --storage 's3://mybucket/logs'

Per maggiori informazioni, consultare la documentazione su TiDB PITR.

Scoperta Manuale dei Dati (Query Regex)

SELECT table_name, column_name
FROM information_schema.columns
WHERE column_name REGEXP 'email|name|card|phone';

Utile, ma limitato — non esiste una classificazione, etichettatura o mappatura integrata agli standard di conformità.

Dove le Funzionalità Natie Risultano Insufficienti

Caratteristica	Community	Enterprise/Cloud Dedicato	Note
RBAC	✅	✅	Concessioni SQL di base
Log di Audit Strutturati	❌	✅ (v7.1+)	Filtri JSON, nessuna interfaccia grafica
Log Offuscati	❌	✅	Interruttore manuale
Mascheramento Dinamico dei Dati	❌	❌	Non supportato
Scoperta dei Dati	Manuale	Manuale	Solo Regex, nessuna etichettatura o dashboard
Avvisi in Tempo Reale	❌	❌	Richiede strumenti esterni
Report di Conformità	❌	❌	Non disponibili nativamente

Estendere la Governance con DataSunrise

DataSunrise è una piattaforma per la sicurezza dei database che si integra perfettamente con TiDB. Opera come un proxy o layer di sniffer, ispezionando il traffico e applicando regole di conformità in tempo reale — senza richiedere modifiche al Suo database o alla logica dell’applicazione.

Offre funzionalità di scoperta, mascheramento, auditing e avviso che colmano le lacune di conformità lasciate dagli strumenti nativi.

Scoperta dei Dati Sensibili

Diversamente dai metodi basati su regex, DataSunrise include un motore integrato per classificare le colonne in base al contenuto e al contesto. Il suo modulo di scoperta rileva automaticamente PII, PHI e dati finanziari utilizzando pattern preconfigurati in linea con le principali normative.

Disporrà di dashboard a livello di schema che evidenziano i dati sensibili in tutto il Suo ambiente TiDB.

Mascheramento Dinamico dei Dati

DataSunrise consente il mascheramento a livello di colonna in base a chi effettua la query sul database, a cosa stanno accedendo e in che modo. Con le regole di mascheramento, Lei può definire:

• Mascheramento completo o parziale
• Hashing, impostazione a null o sostituzione tramite regex
• Regole basate sull’utente, sull’IP o sul contesto dello schema

Tutto ciò avviene prima che la query raggiunga TiDB.

Avvisi e Monitoraggio in Tempo Reale

Configuri avvisi per eventi sensibili come:

• Accessi falliti
• Modifiche DDL
• Elevati volumi di query

È possibile integrare con Slack, Microsoft Teams, email o il Suo SIEM tramite regole di notifica.

Report di Conformità

DataSunrise rende l’output degli audit azionabile con report esportabili in PDF e CSV che coprono:

• Log degli accessi
• Utilizzo delle regole di mascheramento
• Riepiloghi di classificazione

Questi report sono in linea con le aspettative dei regolatori per gli audit GDPR, HIPAA e SOX.

Gestione Visiva delle Regole

I team possono definire e gestire le politiche di governance attraverso un’interfaccia utente intuitiva, creando e assegnando regole senza scrivere codice. Ciò facilita la scalabilità degli sforzi di governance tra team e database.

Architettura: Governance con DataSunrise e TiDB

Per implementare l’applicazione delle politiche senza modificare la logica dell’applicazione o gli interni di TiDB, DataSunrise opera come proxy trasparente. Intercetta le query SQL, applica regole di mascheramento, logging o avviso e le inoltra a TiDB come di consueto.

Il diagramma sottostante illustra come DataSunrise si integra nel modello di distribuzione di TiDB:

Checklist delle Attività di Governance

Per aiutare a implementare queste pratiche passo dopo passo, ecco una rapida panoramica delle attività essenziali di governance e degli strumenti più adatti per ciascuna:

Attività	Strumento	Descrizione
Definire ruoli e accessi	TiDB	Utilizzare CREATE ROLE, GRANT
Impostare filtri per l’audit	TiDB Enterprise	Basato su JSON, filtrato per classe di eventi
Abilitare il PITR	TiDB BR	Ripristino basato sui log a un timestamp preciso
Scoprire dati sensibili	DataSunrise	Scansione automatica e classificazione delle colonne
Mascherare i dati dinamicamente	DataSunrise	In base all’utente, IP, schema o ruolo
Inviare avvisi in tempo reale	DataSunrise	Slack, Teams, email, SIEM
Generare report di audit	DataSunrise	Esportare dati di conformità in CSV o PDF

Conclusione

TiDB offre strumenti fondamentali solidi per il controllo degli accessi e il backup, ma le sue funzionalità di governance non soddisfano appieno le esigenze della conformità moderna.

DataSunrise colma questa lacuna con applicazione dinamica, classificazione automatizzata, avvisi in tempo reale e visibilità basata su politiche — il tutto senza modificare le Sue applicazioni o la struttura del database.

Per i team che desiderano implementare una governance completa lungo l’intero ciclo di vita in TiDB, rappresenta la via pratica ed efficiente da seguire.