Come automatizzare la conformità dei dati per TiDB
Introduzione
TiDB è un database SQL distribuito ottimizzato per l’elaborazione ibrida transazionale e analitica (HTAP), ampiamente utilizzato in settori come SaaS, fintech e retail. In questa guida, imparerai come automatizzare la conformità dei dati per TiDB utilizzando controlli di accesso nativi e DataSunrise come livello di automazione, aiutandoti a soddisfare i requisiti di GDPR, HIPAA, SOX e PCI DSS.
Passo 1: Scoprire i Dati Sensibili
Il primo passo per automatizzare la conformità è identificare dove risiedono i dati sensibili. TiDB non fornisce funzionalità di discovery integrate, per cui spesso vengono utilizzate query manuali come quella riportata di seguito per individuare colonne i cui nomi suggeriscono la presenza di informazioni personali identificabili (PII):
Esempio di Codice:
SELECT table_name, column_name
FROM information_schema.columns
WHERE column_name REGEXP 'email|name|address|card|phone';
Pur essendo questo approccio funzionale, è limitato ai pattern di denominazione e non scala bene su schemi vasti o in continuo mutamento.
Il motore di discovery di DataSunrise automatizza questo processo scansionando la struttura del database TiDB e analizzando i metadati e i valori di esempio (ove consentito). Esso utilizza una combinazione di:
- Regole basate su pattern (ad es. regex per SSN, email, numeri di carta)
- Confronto tramite dizionario (ad es. per nomi, titoli di lavoro, elenchi di paesi)
- Tag personalizzati (ad es. per campi specifici del settore come codici medici o numeri di conto)
Una volta completata la scansione, DataSunrise:
- Classifica ed etichetta le colonne come PII, PHI, dati finanziari, ecc.
- Riassume i risultati in un report di conformità
- Permette di esportare i risultati per documentazione o utilizzi successivi
- Innova le colonne individuate nelle regole di masking e alerting in modo automatico
È possibile programmare scansioni di discovery in modo che vengano eseguite regolarmente, garantendo che le colonne aggiunte di recente o le modifiche allo schema vengano valutate continuamente senza sforzo manuale. Questo trasforma il tuo processo di conformità da ad hoc a completamente proattivo.
Utilizzando scansioni automatizzate, riduci l’errore umano e automatizzi la conformità dei dati per TiDB in modo scalabile e replicabile.
Passo 2: Definire le Regole di Accesso
TiDB supporta la creazione di utenti e l’assegnazione dei privilegi in modo compatibile con MySQL. È possibile creare utenti e concedere permessi a livello di schema o tabella come mostrato di seguito.
Esempio di Codice:
CREATE USER 'auditor'@'%' IDENTIFIED BY 'SecurePass123!';
GRANT SELECT ON customer_data.* TO 'auditor'@'%';
Per ridurre il rischio e mantenere la conformità, segui il principio del minimo privilegio. Gli utenti dovrebbero poter accedere solo ai dati di cui hanno bisogno e nient’altro. TiDB supporta anche un’eredità di ruoli di base, che puoi ispezionare utilizzando:
Esempio di Codice:
SELECT * FROM mysql.role_edges;
Se da un lato questo permette controlli di accesso fondamentali, dall’altro manca l’applicazione basata sul contesto della sessione, sulla posizione o sul comportamento. È in questo ambito che DataSunrise aggiunge valore critico.
DataSunrise applica le politiche di accesso in modo dinamico a livello di proxy, offrendo un controllo più fine senza modificare direttamente TiDB:
- Mascherare o bloccare i dati per utenti o ruoli in base all’origine del login, all’orario o persino al tipo di client (ad es. strumento BI vs CLI)
- Applicare regole di masking basate su combinazioni di utente, indirizzo IP, schema o tabella
- Garantire l’isolamento multi-tenant in ambienti condivisi limitando le query incrociate tra schemi
- Utilizzare policy per rilevare abusi, ad esempio un analista di dati che tenta di effettuare SELECT su intere tabelle utente
Questi controlli di accesso sono configurabili tramite un’interfaccia web o API, facilitando il lavoro dei team di sicurezza per revisionare e modificare le regole senza dover fare affidamento solo sul SQL. Combinati con masking e alerting, formano un robusto livello di controllo per la governance degli accessi.
Passo 3: Abilitare il Logging delle Audit
Il logging delle audit è essenziale per tracciare l’attività degli utenti, rilevare accessi non autorizzati e soddisfare i requisiti di audit trail previsti da regolamenti come SOX e GDPR. Se desideri automatizzare la conformità dei dati per TiDB, i trail delle audit devono includere non solo i log degli accessi ma anche politiche e alert contestuali.
Se utilizzi la TiDB Enterprise Edition v7.1+, puoi configurare filtri e regole di audit per registrare eventi DML o di connessione:
Esempio di Codice:
SET GLOBAL tidb_audit_enabled = 1;
SET GLOBAL tidb_audit_log_format = 'json';
SET @filter = '{
"filter": [
{ "class": ["DML"], "status_code": [0] }
]
}';
SELECT audit_log_create_filter('dml_events', @filter);
SELECT audit_log_create_rule('dml_events', 'user@%', true);
Questi log vengono memorizzati localmente in file JSON o di testo e devono essere analizzati manualmente o integrati in piattaforme esterne per l’analisi. Inoltre, questa funzionalità non è disponibile nella TiDB Community Edition.
DataSunrise fornisce un motore centralizzato di audit logging per tutte le edizioni di TiDB — sia Community che Enterprise. Esso cattura il traffico SQL in tempo reale senza richiedere modifiche al database.
Le funzionalità principali includono:
- Cattura completa delle query SQL, inclusi testo della query, utente, IP, timestamp e tabelle interessate
- Logging delle variabili bind, che permette di visualizzare i valori effettivamente passati nelle query parametrizzate
- Alerting in tempo reale per attività sospette, attivato da politiche personalizzabili
- Log ricercabili ed esportabili in formati JSON, CSV o PDF
- Integrazione con strumenti SIEM o dashboard di conformità tramite API o Webhook
Poiché DataSunrise opera a livello di proxy, visualizza in modo coerente tutto il traffico delle query — anche su più cluster TiDB — rendendolo ideale per ambienti distribuiti o ibridi che necessitano di una copertura di audit uniforme.
Passo 4: Applicare il Data Masking
Molte normative sulla protezione dei dati richiedono che i campi sensibili — come identificatori personali o informazioni di pagamento — vengano mascherati o anonimizzati durante l’accesso, specialmente per quegli utenti che non necessitano di vedere i valori completi. TiDB, pur essendo potente per la velocità delle query e la scalabilità, non fornisce supporto nativo per il data masking dinamico o data masking statico.
DataSunrise colma questa lacuna di conformità applicando politiche di masking a livello di proxy. Poiché si trova tra le tue applicazioni e TiDB, DataSunrise può modificare i risultati delle query in tempo reale — senza alterare lo schema del database o la logica della query.
Le opzioni di masking supportate includono:
- Mascheramento completo, sostituendo completamente i valori (ad es. con
****) - Mascheramento parziale, ad esempio mostrando solo le ultime 4 cifre di un numero di carta
- Redazione basata su regex, per gestire dati strutturati come email o numeri di telefono
- Sostituzione casuale o con valori null, per supportare ambienti di test e analisi sicuri
- Mascheramento condizionale, basato sul contesto della sessione (utente, IP, schema, ruolo)
Le regole di masking vengono definite tramite un’interfaccia grafica e prendono effetto immediatamente, permettendoti di testare le modifiche e monitorarne l’impatto in tempo reale. Ciò consente ai team di rispettare i requisiti di masking imposti da regolamenti come GDPR, HIPAA e PCI DSS — senza dover modificare l’istanza TiDB o le applicazioni client.
Passo 5: Programmare Report e Avvisi
Una volta configurate le politiche di accesso e le regole di masking, il mantenimento della conformità diventa un compito di monitoraggio continuo. DataSunrise supporta questo processo permettendoti di generare report pianificati e configurare alert in tempo reale basati su violazioni delle policy o attività sospette.
Con pochi clic, puoi:
- Automatizzare report di conformità giornalieri o settimanali che coprono l’attività degli utenti, la copertura del masking e i trail di audit
- Esportare i dati in formati PDF, CSV o JSON per audit esterni o revisioni interne
- Impostare regole di allerta flessibili per notifiche istantanee via Slack, Teams, email o webhook
La programmazione dei report e la configurazione delle regole di avviso aiutano ad automatizzare la conformità dei dati per TiDB con una supervisione manuale minima.
Tabella Riassuntiva
| Compito | TiDB Nativo | Vantaggio DataSunrise |
|---|---|---|
| Scoprire campi sensibili | SQL manuale | ✅ Automatizzato + esportabile |
| Definire regole di accesso | ✅ GRANT base | ✅ + Masking per utente/IP/contesto |
| Abilitare il logging delle audit | Solo Enterprise | ✅ Tutte le edizioni, alert in tempo reale |
| Applicare il data masking | ❌ | ✅ Dinamico, non intrusivo |
| Programmare report di conformità | ❌ | ✅ Con punteggi di rischio + filtri |
Conclusione: Automatizzare la Conformità dei Dati per TiDB End-to-End
L’automazione della conformità in TiDB inizia con la scoperta e il controllo degli accessi, ma non si ferma qui. Funzionalità come il masking dinamico, l’alerting in tempo reale e la generazione programmata di report sono essenziali per soddisfare le normative moderne sulla privacy dei dati.
DataSunrise aggiunge queste capacità senza richiedere modifiche alle tue applicazioni o alla configurazione di TiDB, rendendolo un potente livello di automazione per la conformità.
Proteggi i tuoi dati con DataSunrise
Metti in sicurezza i tuoi dati su ogni livello con DataSunrise. Rileva le minacce in tempo reale con il Monitoraggio delle Attività, il Mascheramento dei Dati e il Firewall per Database. Applica la conformità dei dati, individua le informazioni sensibili e proteggi i carichi di lavoro attraverso oltre 50 integrazioni supportate per fonti dati cloud, on-premises e sistemi AI.
Inizia a proteggere oggi i tuoi dati critici
Richiedi una demo Scarica ora