Gestione della Conformità di TiDB

Introduzione

La gestione della conformità si riferisce al processo continuo che assicura che un sistema o un’organizzazione siano in linea con gli standard legali e normativi, soprattutto quelli relativi alla privacy e alla sicurezza dei dati. Per i database, ciò significa monitorare le attività, applicare controlli d’accesso, proteggere le informazioni sensibili e garantire il ripristino in caso di incidenti.

TiDB è un database SQL distribuito open source progettato per garantire alta disponibilità e scalabilità orizzontale. Supporta carichi di lavoro HTAP (Hybrid Transactional and Analytical Processing) ed è compatibile con MySQL, rendendolo ideale per applicazioni moderne in tempo reale.

Con la crescente pressione di normative come GDPR, HIPAA, SOX e PCI DSS, le organizzazioni devono non solo proteggere i dati, ma anche dimostrare come essi vengano monitorati, accessibili e ripristinati quando necessario.

Questo articolo spiega come TiDB supporti queste esigenze di conformità in maniera nativa e come DataSunrise ne estenda le capacità grazie all’automazione, alla scoperta dei dati, al mascheramento e alla generazione di report.

Perché la Gestione della Conformità è Importante

La conformità non riguarda solo l’evitare sanzioni, ma anche la costruzione di fiducia, la minimizzazione dei rischi e il garantire operazioni sicure. Il mancato proteggere i dati sensibili può comportare danni reputazionali, sanzioni legali e la perdita della fiducia dei clienti.

Per i team di ingegneria e dati, una solida gestione della conformità offre chiarezza su chi può accedere a quali dati, quando e come. Garantisce inoltre che le operazioni sensibili siano registrate, monitorate e ripristinabili, principi fondamentali per sistemi di dati sicuri e resilienti.

Funzionalità Nativa di Conformità di TiDB

La Enterprise Edition di TiDB (v7.1+) introduce la registrazione nativa degli audit, un componente essenziale per la gestione della conformità di TiDB. Viene utilizzata per tracciare eventi SQL, tentativi di connessione, attività degli utenti e altro ancora. Questi log possono essere esportati in formato JSON o testo e supportano la redazione dei valori sensibili. La configurazione avviene tramite filtri SQL e variabili di sistema. Per i dettagli completi della configurazione, consultare la Guida all’Auditing del Database TiDB.

La registrazione degli audit può essere abilitata tramite variabili di sistema e configurata tramite SQL:

-- Abilita la registrazione degli audit
SET GLOBAL tidb_audit_enabled = 1;

-- Crea un filtro per i login falliti
SET @filter = '{
  "filter": [
    { "class": ["CONNECT"], "status_code": [0] }
  ]
}';
SELECT audit_log_create_filter('failed_logins', @filter);
SELECT audit_log_create_rule('failed_logins', 'user@%', true);

-- Formato e redazione opzionale
SET GLOBAL tidb_audit_log_format = 'json';
SET GLOBAL tidb_audit_log_redacted = ON;

Questi log possono essere interrogati a livello di cluster:

SELECT * FROM INFORMATION_SCHEMA.CLUSTER_LOG
WHERE MESSAGE LIKE '%DROP%' AND TYPE='tidb';

Questo fornisce visibilità sull’attività DDL, sulle operazioni fallite o su pattern di accesso sospetti.

Recupero a Punto nel Tempo (PITR)

Il Recupero a Punto nel Tempo permette di ripristinare il database a uno stato specifico utilizzando una combinazione di backup completi e backup dei log. Questo è fondamentale in caso di cancellazioni accidentali, corruzione dei dati o manomissioni maliziose. TiDB offre questa funzionalità tramite lo strumento br (Backup & Restore). Per le istruzioni dettagliate, consultare la Guida al PITR di TiDB.

# Avvia il backup dei log in background
tiup br log start --task-name=pitr --pd="${PD_IP}:2379" \
  --storage='s3://backup/logs'

# Ripristina a un momento specifico
tiup br restore point \
  --pd="${PD_IP}:2379" \
  --storage='s3://backup/logs' \
  --full-backup-storage='s3://backup/full' \
  --restored-ts '2025-07-09 12:00:00+0000'

Il Recupero a Punto nel Tempo è disponibile sia nelle edizioni Community (v6.3+) che Enterprise.

Visualizza gli Utenti del Database e i Loro Privilegi

TiDB memorizza le informazioni di accesso degli utenti nella tabella di sistema mysql.user. Utilizzala per verificare i diritti di accesso.

-- Elenca tutti gli utenti del database e i loro host di accesso
SELECT user, host FROM mysql.user;

-- Visualizza i privilegi concessi per un utente specifico
SHOW GRANTS FOR 'auditor'@'%';

Questo può aiutare a identificare account con privilegi eccessivi o definizioni di utenti obsolete che dovrebbero essere revisionate.

Abilita la Registrazione delle Query Lente

Le query lente possono indicare colli di bottiglia nelle prestazioni o pattern di accesso inefficienti, che potrebbero influire sulla tracciabilità degli audit.

-- Abilita la registrazione delle query lente
SET GLOBAL slow_query_log = 'ON';
SET GLOBAL long_query_time = 1;  -- Registra le query che impiegano oltre 1s

Successivamente puoi analizzare i log direttamente o visualizzarli tramite il TiDB Dashboard (disponibile anche nell’edizione Community).

Che cos’è DataSunrise?

DataSunrise è una piattaforma di sicurezza e conformità che funziona come proxy o sniffer tra applicazioni e database. Consente alle organizzazioni di applicare politiche di protezione dei dati su sistemi multipli — incluso TiDB — senza alterare la logica delle applicazioni o lo schema del database.

DataSunrise è stato progettato appositamente per colmare le lacune degli strumenti nativi: mascheramento in tempo reale, classificazione automatica dei dati, gestione centralizzata delle politiche di audit e reportistica di conformità.

Come DataSunrise Potenzia la Gestione della Conformità di TiDB

1. Mascheramento Dinamico

DataSunrise maschera i campi sensibili (ad es., nomi, numeri di telefono, dati delle carte) in base al ruolo dell’utente, all’IP o al contesto della query. I dati reali rimangono intatti in TiDB, ma vengono sostituiti nei risultati delle query per le sessioni non autorizzate.

• Supporta sostituzioni complete, parziali, tramite espressioni regolari o casuali
• Applicato in tempo reale tramite proxy
• Configurabile tramite interfaccia web (non è richiesto SQL)

2. Scoperta dei Dati Sensibili

Sapere dove risiedono i dati sensibili è un prerequisito per proteggerli. DataSunrise esegue automaticamente la scansione del tuo database TiDB alla ricerca di campi PII o PHI utilizzando il riconoscimento di pattern e dizionari.

3. Gestione della Traccia degli Audit

DataSunrise rafforza la gestione della conformità di TiDB integrando la registrazione degli audit nativi con tracce di audit granulari:

• Cattura delle variabili vincolate (ad es., visualizza id = 42 invece di ?)
• Filtri dettagliati per utente, tabella o IP
• Avvisi tramite Slack, Teams, webhook per anomalie
• Log esportabili (PDF, CSV, JSON)

4. Reportistica di Conformità

Genera report programmati per esigenze di conformità a GDPR, HIPAA, PCI DSS o SOX. Questi report includono la cronologia degli eventi, la copertura delle politiche e riepiloghi dei livelli di rischio.

Tabella Comparativa della Conformità

La seguente tabella riassume quali funzionalità di conformità sono disponibili nativamente in TiDB e quali richiedono una piattaforma esterna come DataSunrise.

Questa visualizzazione affiancata aiuta a chiarire quali funzionalità potrebbero già essere coperte nel tuo deployment di TiDB e quali trarrebbero beneficio dall’integrazione con DataSunrise.

Conclusione

TiDB offre un solido punto di partenza per la conformità, con funzionalità di registrazione strutturata e di recupero integrate nella sua edizione Enterprise. Tuttavia, requisiti avanzati come il mascheramento, la classificazione dei dati, gli avvisi in tempo reale e la gestione centralizzata degli audit sono meglio gestiti da una piattaforma come DataSunrise.

Se la tua organizzazione deve rispettare normative come GDPR, HIPAA, SOX o PCI DSS, DataSunrise può aiutare a garantire che TiDB diventi un ambiente completamente conforme e pronto per gli audit.