Schedule - PGConf.DE 2022

Automatisierte Benutzer- und Zugangsverwaltung in DBaaS-Umgebungen

Date: 2022-05-13
Time: 09:10–09:55
Room: Arizona
Level: Intermediate
Feedback: Leave feedback

Postgres bietet durch die Konfiguration der pg_hba.conf-Datei eine mächtige Datenbank-Firewall, die insbesondere in Database-as-a-Service-Kontexten genutzt werden kann, um die verschiedenen Tenants von einander zu isolieren. Änderungen an der Datenbank-Firewall erfolgen jedoch traditionell manuell und erfordern das Neuladen der Konfiguration. Die manuelle Verwaltung der pg_hba.conf-Datei ist aus mehreren Gründen in DBaaS-Umgebungen nicht praktikabel: Regeln sollten von Benutzern im Self-Service geändert werden können, diese haben jedoch keinen Zugriff auf Server und Datei. Manuelle Änderungen durch Administratoren bedeuten nicht nur Zeitverzug und erhöhte Fehleranfälligkeit, sondern sind auch bei einer grossen Anzahl von zu verwaltenden Instanzen nicht effizient machbar. In unserem Votrag möchten wir vorstellen, wie wir die Verwaltung der Datenbankfirewall im Rahmen unserer DBaaS-Plattform automatisiert haben. Diese Lösung erlaubt eine organisationsspezifische Auswahl von Authentisierungsmethoden (da normalerweise nicht alle möglichen Methoden tatsächlich angeboten werden sollen) und anderen Verbindungsparametern (z.B. können bei Bedarf nur verschlüsselte Verbindungen erlaubt werden). Prozeduren implementieren die Definition von neuen Firewall-Regeln oder Löschen von existierenden. Dabei werden Bedingungen überprüft, die die Sinnhaftigkeit der Regeln (z.B. Benutzer und Datenbank existieren tatsächlich) sowie die syntaktische und semantische Korrektheit der Regeln sicherstellen. Ausserdem verhindert die Implementierung, dass sich parallele Änderungen mehrerer Benutzer gegenseitig überschreiben. Entsprechend autorisierte Benutzer können Firewall-Regeln über das DBaaS-Portal verwalten. Die DBaaS-Plattform führt Buch über alle Regeln, so dass wir ein übergreifendes und aktuelles Bild aller Firewall-Regeln über alle Server hinweg haben.

Slides

The following slides have been made available for this session:

Speaker

Andreas Geppert
Karsten Lenz