Protezione Completa di ClickHouse
ClickHouse è diventato la spina dorsale dell’analisi in tempo reale per le organizzazioni che gestiscono grandi volumi di dati. La sua architettura colonnare offre prestazioni eccezionali nelle query, ma questa velocità comporta sfide di sicurezza che i tradizionali strumenti di protezione del database faticano ad affrontare. Con DataSunrise 11.3, stiamo introducendo un supporto completo per ClickHouse tramite parser nativi e del protocollo HTTP, grammatica SQL basata su Databricks e piena applicazione delle regole di sicurezza.
Perché la Sicurezza di ClickHouse Richiede un Approccio Specializzato
ClickHouse funziona in modo diverso dai tradizionali database relazionali. Utilizza sia il protocollo TCP Nativo (porta 9000) sia l’interfaccia HTTP (porta 8123) per le connessioni client, elabora una sintassi SQL estesa e gestisce carichi di lavoro analitici a velocità che possono sovraccaricare i proxy di sicurezza tradizionali.
I firewall standard per database spesso non riescono a interpretare correttamente il traffico ClickHouse, provocando log di audit incompleti, violazioni delle policy non rilevate o latenze inaccettabili. Le organizzazioni che utilizzano ClickHouse per analisi critiche hanno bisogno di una protezione che corrisponda alle caratteristiche di prestazione del database.
Parsing dei Protocolli Nativo e HTTP
DataSunrise 11.3 offre una visibilità reale a livello di protocollo sul traffico ClickHouse. La soluzione interpreta entrambi i metodi di comunicazione:
| Protocollo | Porta Predefinita | Descrizione |
|---|---|---|
| Nativo (TCP) | 9000 | Protocollo binario utilizzato da clickhouse-client e driver nativi. Raccomandato per le migliori prestazioni. |
| HTTP | 8123 | Interfaccia REST API usata dai driver JDBC e dalle applicazioni web. |
Questa copertura a doppio protocollo garantisce che nessuna query sfugga al monitoraggio, indipendentemente da come le applicazioni si connettono ai tuoi cluster ClickHouse.
Supporto per la Grammatica SQL Basata su Databricks
Il parser SQL di DataSunrise riconosce nativamente il dialetto SQL esteso di ClickHouse, inclusa la sintassi simile a PostgreSQL con cast di tipo tramite la notazione ::. Questa accuratezza nel parsing consente:
- Classificazione e categorizzazione delle query
- Tracciamento degli accessi a livello di oggetto (database, tabelle, colonne)
- Analisi di funzioni ed espressioni
- Identificazione di sottoquery
Senza un supporto grammaticale adeguato, le regole di sicurezza mirate a tabelle o operazioni specifiche non funzionerebbero correttamente con le variazioni sintattiche di ClickHouse.
Caratteristiche di Sicurezza Supportate
DataSunrise 11.3 fornisce capacità complete per ClickHouse:
- Audit – Monitorare e registrare tutte le query e attività del database
- Mascheramento Dinamico – Mascherare dati sensibili nei risultati delle query in tempo reale
- Blocco Dinamico – Bloccare query non autorizzate in base alle regole di sicurezza
- Data Discovery – Identificare e classificare i dati sensibili nell’intero ambiente ClickHouse
- Modalità Sniffer – Monitoraggio passivo del traffico senza implementazione di proxy
- Tracciamento Log Nativi – Raccogliere eventi di audit dai log nativi di ClickHouse
Mascheramento Dinamico dei Dati
I dati sensibili nei database analitici spesso si estendono su milioni di righe all’interno di tabelle ampie. Il mascheramento statico è poco pratico quando i data scientist necessitano di accesso rapido a dataset di dimensione di produzione.
Il mascheramento dinamico trasforma i valori sensibili in tempo reale mentre i risultati delle query tornano agli utenti. Per configurare il mascheramento dinamico per ClickHouse:
- Vai su Mascheramento → Regole di Mascheramento Dinamico
- Clicca su Aggiungi Regola
- Seleziona l’istanza del database ClickHouse
- Configura le impostazioni di mascheramento per colonne specifiche o pattern di dati
- Clicca su Salva
Gli analisti visualizzano valori mascherati mentre le query vengono eseguite alla massima velocità di ClickHouse. I dati sottostanti rimangono intatti.
Applicazione delle Regole di Sicurezza
DataSunrise applica politiche di sicurezza complete nell’intero ambiente ClickHouse. Per configurare le regole di sicurezza:
- Vai su Sicurezza → Regole di Sicurezza
- Clicca su Aggiungi Regola
- Seleziona l’istanza del database ClickHouse
- Definisci condizioni e azioni della regola
- Clicca su Salva
Le regole vengono valutate sui metadati delle query parsate, consentendo condizioni precise che fanno riferimento a database, tabelle, colonne o operazioni SQL specifiche.
Per Iniziare
Per configurare DataSunrise per ClickHouse:
- Vai su Configurazione → Database e clicca su Aggiungi Database
- Seleziona ClickHouse dal menu a tendina Tipo di Database
- Configura i parametri di connessione inclusi hostname, porta e protocollo (Nativo o HTTP)
- Clicca su Test Connessione per verificare la connettività
- Configura le impostazioni del proxy per le connessioni client
- Clicca su Salva
Effettua la connessione tramite il proxy DataSunrise usando clickhouse-client:
clickhouse-client --user <username> --password <password> --host <datasunrise_host> --port <proxy_port>
Oppure via JDBC per connessioni HTTP:
jdbc:clickhouse://<datasunrise_host>:<proxy_port>/<database>
Il supporto per ClickHouse è disponibile ora in DataSunrise 11.3. Per team che eseguono analisi ad alte prestazioni, la sicurezza di livello enterprise per database è pronta per il deployment.
Proteggi i tuoi dati con DataSunrise
Metti in sicurezza i tuoi dati su ogni livello con DataSunrise. Rileva le minacce in tempo reale con il Monitoraggio delle Attività, il Mascheramento dei Dati e il Firewall per Database. Applica la conformità dei dati, individua le informazioni sensibili e proteggi i carichi di lavoro attraverso oltre 50 integrazioni supportate per fonti dati cloud, on-premises e sistemi AI.
Inizia a proteggere oggi i tuoi dati critici
Richiedi una demo Scarica ora