利用 DataSunrise Security 保护和审计 Amazon Redshift 中的 PII 数据(二)

阅读数:1 2020 年 1 月 2 日 14:40

利用 DataSunrise Security 保护和审计 Amazon Redshift 中的 PII 数据(二)

开始使用 DataSunrise

您可以在 Amazon EC2 中的 Windows 或 Linux 实例上部署 DataSunrise。可从 AWS Marketplace 下载准备就绪的 DataSunrise AMI 来保护您的 Amazon Redshift 集群。DataSunrise Database 和 Data Security 可用于 Windows Linux 平台。

部署 DataSunrise 之后,您可以为 Amazon Redshift 配置安全策略,并创建数据屏蔽,访问控制安全规则。配置并激活安全策略后,DataSunrise 将会对通过 DataSunrise 代理连接到数据库的用户和应用程序流量实施这些策略。

DataSunrise 客户需要配置 Amazon Redshift 集群安全组入站规则以允许 DataSunrise IP。有关更多信息,请参阅 Amazon Redshift 集群安全组。此外,当 DataSunrise 安全组在同一 AWS VPC 上运行时,您可以将其包含在集群安全组中。用户只能通过连接到 DataSunrise 终端节点而不是 Amazon Redshift 集群终端节点来执行查询。所有数据库用户和组都从 Amazon Redshift 导入到 DataSunrise,以对 Amazon Redshift 对象进行身份验证和授权。

创建动态数据屏蔽规则

屏蔽会混淆部分或整个列值。当列被屏蔽时,列值将替换为伪值。可通过将某些原始字符替换为伪字符或使用某些屏蔽功能来实现。DataSunrise 有许多内置的屏蔽功能,用于屏蔽信用卡号、电子邮件等。屏蔽可保护敏感或个人身份数据,如信用卡号。这与加密或散列不同,后者将复杂的算法应用于标量值以将其转换为另一个值。

您可以在 DataSunrise 控制台中使用基于对象的过滤器来创建动态屏蔽规则。DataSunrise 在应用程序调用期间识别受保护对象,并针对您的 Amazon Redshift 集群中的目标操作、架构或一般对象强制实施这些安全规则。安全管理员可根据对象级别和调用者身份精确启用这些规则。他们可以识别授权的调用者,在必要时允许豁免。

要在 DataSunrise 中执行动态屏蔽,需要在定义此类安全策略的过程中创建数据屏蔽规则。

完成以下步骤以创建这些屏蔽策略:

  1. 在 DataSunrise 控制台中,选择 Masking(屏蔽) > Dynamic Masking Rules(动态屏蔽规则)

  2. 选择 Add Rule(添加规则)。添加所需信息。

    利用 DataSunrise Security 保护和审计 Amazon Redshift 中的 PII 数据(二)

    创建动态数据屏蔽规则

创建动态数据屏蔽规则

  1. Masking Settings(屏蔽设置)部分中,单击 Select(选择),然后导航到架构中的表,检查要屏蔽的列。请参见以下检查列页面的屏幕截图:

    利用 DataSunrise Security 保护和审计 Amazon Redshift 中的 PII 数据(二)

    待启用动态屏蔽的 Redshift 列

待启用动态屏蔽的 Redshift 列

在确定要保护的列之后,单击“完成”,然后选择屏蔽方法和任何相关设置以允许以业务为导向的屏蔽信息结果。

利用 DataSunrise Security 保护和审计 Amazon Redshift 中的 PII 数据(二)

Add Rule(添加规则)Filter Sessions(筛选会话)中,您可以选择受此规则影响的用户、应用程序、主机等。

利用 DataSunrise Security 保护和审计 Amazon Redshift 中的 PII 数据(二)

创建静态数据屏蔽规则

您可以使用静态屏蔽而非动态数据屏蔽永久屏蔽数据。它将对象永久存储在单独的架构或数据库中。在静态屏蔽期间,DataSunrise 将每个选定的表复制到单独的架构或数据库中。因此,静态屏蔽可能需要额外的存储空间。其中一些表的列包含已屏蔽内容,这些内容存储在磁盘上。此复制架构是功能齐全的架构,您可以在其中执行用户查询。源表保持不变,可以查看未屏蔽的数据。如果原始数据已更改,则需要再次执行静态屏蔽过程。在这种情况下,有必要清除先前屏蔽的数据表中数据。

  1. 从菜单中选择 Masking(屏蔽) > Static Masking(静态屏蔽)

  2. New Static Masking Task(新建静态屏蔽任务)Source and Target Instances(源和目标实例)中,选择源数据库、架构和对应的目标目的地。请参见以下新建静态屏蔽任务页面的屏幕截图:利用 DataSunrise Security 保护和审计 Amazon Redshift 中的 PII 数据(二)

  3. Select Source Tables to Transfer and Columns to Mask(选择要传输的源表和要屏蔽的列)中,选择要对其应用屏蔽的对象。以下屏幕截图显示了可用表的列表:利用 DataSunrise Security 保护和审计 Amazon Redshift 中的 PII 数据(二)

DataSunrise 还允许您重新调度重复的静态掩码作业,以便根据源或生产数据刷新屏蔽记录。

DataSunrise 下的静态数据屏蔽适用于 Amazon Redshift 本地表。除了本地表之外,Amazon Redshift 还允许查询 Amazon S3 中的外部表;但 DataSunrise 不支持对通过外部表在 Amazon Redshift 中访问并存储在 Amazon S3 中的数据进行静态屏蔽。有关更多信息,请参阅使用 Amazon Redshift Spectrum 查询外部数据

创建安全 / 访问控制规则

虽然数据屏蔽在许多情况下允许您的 Amazon Redshift 用户进行适当的访问,但您可能需要进一步实施访问控制,以过滤掉任何可能违反安全策略的操作。DataSunrise 可以从 Amazon Redshift 导入数据库用户和组的元数据,DataSunrise 管理员可以用它来配置安全配置文件。如果您已在现有 Redshift 数据库中定义了一组用户,则无需为 DataSunrise 另外重新创建用户。DataSunrise 仅使用此用户列表来配置规则。默认情况下,DataSunrise 不会修改任何与数据库用户身份验证过程相关的工作。

  1. 在 DataSunrise 控制台中,从菜单中选择 Security(安全) > Rules(规则)。以下屏幕截图所示为安全规则页面:利用 DataSunrise Security 保护和审计 Amazon Redshift 中的 PII 数据(二)
  2. 选择 Add Rule(添加规则)。以下屏幕截图显示了可输入以编写此新规则的详细信息:利用 DataSunrise Security 保护和审计 Amazon Redshift 中的 PII 数据(二)

DataSunrise 还允许您编写规则以限制或允许某些用户、应用程序、主机等对 Amazon Redshift 集群中的特定对象或区域执行您认为需要禁止的活动。

以下屏幕截图显示了过滤会话页面:

利用 DataSunrise Security 保护和审计 Amazon Redshift 中的 PII 数据(二)

DataSunrise 允许您为特定对象、查询组、查询类型和 SQL 注入活动创建规则,并在发生授权错误时触发操作。

静态屏蔽不会直接影响性能,但如果客户使用 DataSunrise 自定义功能,则可能会影响性能,因为自定义功能会在 DataSunrise 服务器上执行。

本文转载自 AWS 技术博客。

原文链接: https://amazonaws-china.com/cn/blogs/china/protect-and-audit-pii-data-in-amazon-redshift-with-datasunrise-security/

评论

发布