Anwendungsdatensicherheit mit parametrisierten sicheren AlloyDB-Ansichten verwalten

In diesem Dokument wird beschrieben, wie Sie parametrisierte sichere Ansichten in AlloyDB for PostgreSQL verwenden, mit denen Sie den Datenzugriff basierend auf anwendungsspezifischen benannten Parametern wie Anmeldedaten für Anwendungsnutzer einschränken können. Parametrisierte sichere Ansichten verbessern die Sicherheit und Zugriffssteuerung, indem sie die Funktionalität von PostgreSQL-Ansichten erweitern. Diese Ansichten verringern auch die Risiken, die mit der Ausführung nicht vertrauenswürdiger Abfragen aus Anwendungen verbunden sind, da automatisch eine Reihe von Einschränkungen für jede ausgeführte Abfrage erzwungen werden.

Weitere Informationen finden Sie in der Übersicht über parametrisierte sichere Ansichten und im Tutorial zu parametrisierten sicheren Ansichten.

Hinweise

In diesem Dokument wird davon ausgegangen, dass Sie einen AlloyDB-Cluster und eine Instanz erstellt haben. Weitere Informationen finden Sie unter Datenbank erstellen.

Bevor Sie parametrisierte sichere Ansichten verwenden können, müssen Sie Folgendes tun:

  1. Zugriff auf parametrisierte sichere Ansichten anfordern und warten, bis Sie die Bestätigung der Aktivierung erhalten, bevor Sie beginnen.

  2. Warten Sie, bis das AlloyDB-Team das Datenbankflag parameterized_views.enabled aktiviert hat, wodurch die erforderlichen Erweiterungsbibliotheken geladen werden. Dieses Datenbankflag muss aktiviert sein, bevor Sie beginnen können.

    Nachdem das AlloyDB-Team das Datenbankflag parameterized_views.enabled aktiviert hat, wird Ihre Datenbank neu gestartet, damit die Änderungen wirksam werden.

  3. Verwenden Sie AlloyDB Studio oder psql, um die Erweiterung parameterized_views in einer beliebigen Datenbank zu erstellen, in der eine parametrisierte Ansicht erstellt wird:

    -- Requires parameterized_views.enabled set to true
CREATE EXTENSION parameterized_views;

    Wenn die Erweiterung erstellt wird, wird vom System auch ein Schema mit dem Namen parameterized_views erstellt, damit die APIs im Namespace dieses Schemas enthalten sind und nicht mit vorhandenen APIs in Konflikt geraten.

Parametrisierte sichere Ansicht erstellen

So erstellen Sie eine parametrisierte sichere Ansicht:

  1. Führen Sie den DDL-Befehl CREATE VIEW aus, wie im folgenden Beispiel gezeigt:

    CREATE VIEW secure_checked_items WITH (security_barrier) AS
SELECT bag_id, timestamp, location
FROM checked_items t
WHERE customer_id = $@app_end_userid;

    Im vorherigen Beispiel ermöglicht die parametrisierte sichere Ansicht den Zugriff auf drei Spalten aus einer Tabelle mit dem Namen /users/checked_items/. Die Ansicht beschränkt die Ergebnisse auf Zeilen, in denen /users.id/checked_items.customer_id/ einem erforderlichen Parameter entspricht.

    Verwenden Sie die folgenden Attribute:

    • Erstellen Sie die Ansicht mit der Option security_barrier.
    • Wenn Sie Anwendungsnutzer so einschränken möchten, dass sie nur die Zeilen sehen können, auf die sie Zugriff haben, fügen Sie erforderliche Parameter mit der Syntax $@PARAMETER_NAME in der WHERE-Klausel hinzu. Ein häufiger Anwendungsfall ist die Überprüfung des Werts einer Spalte mit WHERE COLUMN = $@PARAMETER_NAME.
    • $@PARAMETER_NAME gibt einen benannten Ansichtsparameter an. Der Wert wird bereitgestellt, wenn Sie die execute_parameterized_query API verwenden. Für benannte Ansichtsparameter gelten die folgenden Anforderungen:
      • Parameter für benannte Ansichten müssen mit einem Buchstaben (a–z) beginnen.
      • Sie können Buchstaben mit diakritischen Zeichen und nicht lateinische Buchstaben sowie einen Unterstrich (_) verwenden.
      • Nachfolgende Zeichen können Buchstaben, Unterstriche oder Ziffern (09) sein.
      • Parameter für benannte Ansichten dürfen nicht $ enthalten.
      • Bei benannten Ansichtsparametern wird zwischen Groß- und Kleinschreibung unterschieden. Beispiel: $@PARAMETER_NAME wird anders interpretiert als $@parameter_name.

  2. Erteilen Sie SELECT für die Ansicht für alle Datenbanknutzer, die die Ansicht abfragen dürfen.

  3. Gewähren Sie allen Datenbanknutzern, die die Ansicht abfragen dürfen, die Berechtigung USAGE für das Schema, das die in der Ansicht definierten Tabellen enthält.

Weitere Informationen finden Sie unter Zugriff auf Anwendungsdaten mit parametrisierten sicheren Ansichten sichern und steuern.

Sicherheit für Ihre Anwendung konfigurieren

So konfigurieren Sie die Sicherheit für Ihre Anwendungen mit parametrisierten sicheren Ansichten:

  1. Erstellen Sie die sicheren parametrisierten Ansichten als Administrator. Dieser Nutzer ist ein AlloyDB-Datenbanknutzer, der administrative Vorgänge für die Anwendung ausführt, einschließlich der Datenbankeinrichtung und Sicherheitsverwaltung.

  2. Erstellen Sie eine neue Datenbankrolle zum Ausführen von Abfragen für parametrisierte sichere Ansichten. Dies ist eine AlloyDB-Datenbankrolle, die von der Anwendung verwendet wird, um eine Verbindung zur Datenbank herzustellen, sich in der Datenbank anzumelden und Abfragen für parametrisierte Ansichten auszuführen.

    1. Gewähren Sie der neuen Rolle Berechtigungen für die sicheren Ansichten. Dazu gehören in der Regel SELECT-Berechtigungen für die Ansichten und USAGE für die Schemas.
    2. Beschränken Sie die Objekte, auf die diese Rolle zugreifen kann, auf die erforderliche Mindestanzahl öffentlicher Funktionen und Objekte, die die Anwendung benötigt. Vermeiden Sie den Zugriff auf Schemas und Tabellen, die nicht öffentlich sind.

    Wenn Sie die Datenansichten abfragen, stellt die Anwendung die Werte der erforderlichen Datenansichtsparameter bereit, die mit der Identität des Anwendungsnutzers verknüpft sind.

    Weitere Informationen finden Sie unter Datenbanknutzer erstellen.

Parametrisierte sichere Ansicht abfragen

Verwenden Sie eine der folgenden Optionen, die Ihren Anwendungsfall am besten unterstützen, um eine parametrisierte sichere Ansicht abzufragen:

  • JSON-basiert: Mit dieser API können Sie die Abfrage in einem Durchgang ausführen und JSON-Zeilen zurückgeben.
  • CURSOR-basiert: Verwenden Sie diese API, wenn Sie länger laufende oder große Abfragen haben und das Ergebnis in Batches abrufen möchten. Die Funktion execute_parameterized_query, die von der Erweiterung parameterized_views bereitgestellt wird, akzeptiert einen Cursornamen.
  • PREPARE EXECUTE-Anweisung: Verwenden Sie diese für vorbereitete Anweisungen, die mehrmals mit unterschiedlichen Parameterwerten ausgeführt werden können.

Wenn Sie parametrisierte sichere Ansichten abfragen möchten, verwenden Sie die Funktion execute_parameterized_query(), die von der Erweiterung parameterized_views bereitgestellt wird.

JSON API

Diese API hat Einschränkungen, da sie einen Cursor für die angegebene Abfrage deklariert. Daher muss die Abfrage mit PostgreSQL-Cursorn kompatibel sein. Die CURSOR API unterstützt beispielsweise keine DO- oder SHOW-Anweisungen.

Bei dieser API werden die Ergebnisse auch nicht nach Größe oder Anzahl der zurückgegebenen Zeilen eingeschränkt.

Führen Sie die Funktion execute_parameterized_query() mit der folgenden Syntax aus:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => SQL_QUERY,
    param_names => ARRAY [PARAMETER_NAMES],
    param_values => ARRAY [PARAMETER_VALUES]
)

Ersetzen Sie Folgendes:

  • SQL_QUERY: Eine SQL-Abfrage, deren FROM-Klausel auf eine oder mehrere parametrisierte sichere Ansichten verweist.
  • PARAMETER_NAMES: Eine Liste mit Parameternamen, die als Strings übergeben werden sollen.
  • PARAMETER_VALUES: Eine Liste der zu übergebenden Parameterwerte.
    • Diese Liste muss dieselbe Größe wie die Liste param_names haben. Die Reihenfolge der Werte muss der Reihenfolge der Namen entsprechen.
    • Der genaue Typ der Werte wird aus der Abfrage und der Definition der parametrisierten Ansicht abgeleitet. Typkonvertierungen werden bei Bedarf und nach Möglichkeit für den angegebenen Parameterwert durchgeführt. Bei einem Typkonflikt wird ein Fehler ausgegeben.

Die Funktion gibt eine Tabelle mit JSON-Objekten zurück. Jede Zeile in der Tabelle entspricht dem ROW_TO_JSON()-Wert der ursprünglichen Zeile des Abfrageergebnisses.

Mit dem folgenden Beispiel können Sie eine parametrisierte sichere Ansicht abfragen:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => 'SELECT * FROM secure_checked_items',
    param_names => ARRAY ['app_end_userid'],
    param_values => ARRAY ['40']
)

Bei Verwendung dieser API wird die Größe des Ergebnissatzes durch die Größe der Ergebnisse in Kilobyte (kB) und durch die Anzahl der Zeilen begrenzt. Sie können diese Grenzwerte mit parameterized_views.json_results_max_size und parameterized_views.json_results_max_rows konfigurieren.

CURSOR API

Führen Sie die Funktion execute_parameterized_query() aus. Dadurch wird ein transaktionsbezogener CURSOR erstellt und zurückgegeben, mit dem Sie Abfrageergebnisse abrufen können:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => SQL_QUERY,
    cursor_name => CURSOR_NAME,
    param_names => ARRAY [PARAMETER_NAMES],
    param_values => ARRAY [PARAMETER_VALUES]
)

Ersetzen Sie Folgendes:

  • SQL_QUERY: Eine SQL-Abfrage, deren FROM-Klausel auf eine oder mehrere parametrisierte sichere Ansichten verweist.
  • CURSOR_NAME: Name des zu deklarierenden Cursors.
  • PARAMETER_NAMES: Eine Liste mit Parameternamen, die als Strings übergeben werden sollen.
  • PARAMETER_VALUES: Eine Liste der zu übergebenden Parameterwerte. Diese Liste muss dieselbe Größe wie die param_names-Liste haben. Die Reihenfolge der Werte muss der Reihenfolge der Namen entsprechen. Der genaue Typ der Werte wird aus der Abfrage- und der parametrisierten Ansichtsdefinition abgeleitet. Typkonvertierungen werden bei Bedarf und nach Möglichkeit für den angegebenen Parameterwert durchgeführt. Bei einem Typkonflikt wird ein Fehler ausgegeben.

Mit dem folgenden Beispiel können Sie eine parametrisierte sichere Ansicht abfragen:

  -- start a transaction as the that is the default lifetime of a CURSOR
  BEGIN;
  -- create a cursor called 'mycursor'
  SELECT * FROM parameterized_views.execute_parameterized_query(
   query => 'SELECT * FROM secure_checked_items',
   cursor_name => 'mycursor'
   param_names => ARRAY ['app_end_userid'],
   param_values => ARRAY ['40']
  );

  -- then, to actually fetch the results
  FETCH ALL FROM mycursor;
  -- end the transaction, which will clean up the cursor
  END;

Der zurückgegebene Cursor ist ein NO SCROLL-Cursor WITHOUT HOLD. Sie können den Cursor nicht verwenden, um Zeilen in nicht sequenzieller Reihenfolge abzurufen, z. B. in umgekehrter Richtung. Sie können den Cursor nicht außerhalb der Transaktion verwenden, in der er erstellt wurde.

PREPARE-Anweisung

Verwenden Sie den Befehl PREPARE .. AS RESTRICTED, um eine vorbereitete Anweisung zu erstellen, die auf parametrisierte Ansichten verweist. Diese vorbereiteten Anweisungen unterstützen positionale Parameter und erzwingen verschiedene Einschränkungen, wenn Sie sie ausführen. Weitere Informationen finden Sie unter Sicherheitsmechanismus.

Diese Funktion erweitert PREPARE und EXECUTE commands, um benannte Ansichtsparameter zu unterstützen. Verwenden Sie vorbereitete Anweisungen, um den Aufwand für das Parsen, Analysieren und Umschreiben bei jeder Ausführung der Anweisung zu vermeiden. Dies kann zu erheblichen Leistungssteigerungen führen, insbesondere bei häufig ausgeführten oder komplexen Abfragen. Eine vorbereitete Anweisung ist ein serverseitiges Objekt, mit dem die Leistung optimiert werden kann, indem eine parametrisierte SQL-Anweisung vorkompiliert und für die spätere Ausführung gespeichert wird.

Diese API hat Einschränkungen, da die Anweisung in einer PREPARE-Anweisung zulässig sein muss. Das bedeutet, dass nur SELECT- und VALUES-Anweisungen unterstützt werden.

Bei dieser API werden die Ergebnisse auch nicht nach Größe oder Anzahl der zurückgegebenen Zeilen eingeschränkt.

Führen Sie den Befehl PREPARE .. AS RESTRICTED aus, um eine vorbereitete Anweisung zu erstellen, die auf parametrisierte Ansichten verweist:

PREPARE pquery (/POSITIONAL_PARAM_TYPES/)
        AS RESTRICTED query % a query that may refer to parameterized views
EXECUTE pquery (/POSITIONAL_PARAM_VALUES/)
      WITH VIEW PARAMETERS (VIEW_PARAM_NAME1 = VIEW_PARAM_VALUE1[, ...]);

Ersetzen Sie Folgendes:

  • POSITIONAL_PARAM_TYPES: Ein oder mehrere Positionsparameter, die in der RESTRICTED-Abfrage verwendet werden.
  • POSITIONAL_PARAM_VALUES: Die tatsächlichen Werte, die für die in der PREPARE-Anweisung definierten Positionsparameter eingesetzt werden.
  • VIEW_PARAM_NAME: Der Name des Parameters, der von den parametrisierten Ansichten erwartet wird, auf die in der RESTRICTED-Abfrage verwiesen wird.
  • VIEW_PARAM_VALUE: Die tatsächlichen Werte, die an die entsprechenden viewParamName-Parameter der parametrisierten Ansichten übergeben werden.

Wenn Sie Parameter in eine vorbereitete Anweisung einfügen möchten, geben Sie in der PREPARE-Anweisung eine Liste von Datentypen an. In der Anweisung, die Sie vorbereiten, verweisen Sie auf die Parameter nach Position, z. B. mit $1 und $2.

Mit dem Befehl EXECUTE .. WITH VIEW PARAMETERS können Sie eine zuvor vorbereitete Anweisung ausführen, die Sie mit dem Befehl PREPARE .. AS RESTRICTED erstellt haben. Wenn in der PREPARE-Anweisung, mit der die Anweisung erstellt wurde, positionelle Parameter angegeben wurden, müssen Sie eine kompatible Gruppe von Parametern an die EXECUTE-Anweisung übergeben. Alle benannten Ansichtsparameter, die für parametrisierte Ansichten erforderlich sind, müssen in der WITH VIEW PARAMETERS-Klausel übergeben werden.

Mit dem folgenden Beispiel können Sie eine parametrisierte sichere Ansicht abfragen:

PREPARE pquery (timestamp) AS RESTRICTED SELECT * FROM secure_checked_items WHERE timestamp > $1;

EXECUTE pquery (current_date - 1) WITH VIEW PARAMETERS (app_end_userid = 40);
EXECUTE pquery (current_date - 30) WITH VIEW PARAMETERS (app_end_userid = 40);

Erzwungene Einschränkungen bei Abfragen

Im Folgenden finden Sie die eingeschränkten Vorgänge für Abfragen, die Sie mit den in Parametrisierte sichere Ansicht abfragen beschriebenen Optionen ausführen:

  • Rekursive Aufrufe von APIs – execute_parameterized_query oder über EXECUTE .. WITH VIEW PARAMETERS – sind unzulässig, damit nur die von der Anwendung angegebenen Werte verwendet werden. Diese Einschränkung verhindert auch, dass die Abfrage verwendet wird, um die Sicherheitsvorkehrungen der angegebenen Parameterwerte zu umgehen.
  • Einige Erweiterungen, die eine neue Hintergrundsitzung starten, sind nicht zulässig, darunter die Erweiterungen dblink, pg_cron und pg_background.
  • In der folgenden Liste sind die zulässigen Abfragekonstrukte aufgeführt, die eingeschränkt sind:
    • Schreibgeschützte SELECT-Anweisungen sind zulässig.
    • Es sind nur schreibgeschützte SHOW-Anweisungen, CALL-Anweisungen und DO-Anweisungen zulässig.
    • DML-Anweisungen wie INSERT, UPDATE und DELETE sind nicht zulässig.
    • DDL-Anweisungen wie CREATE TABLE und ALTER TABLE sind nicht zulässig.
    • Andere Anweisungstypen wie LOAD, SET, CLUSTER, LOCK, CHECKPOINT und EXPLAIN sind nicht zulässig.
  • EXPLAIN-Anweisungen sind nicht zulässig, um verdeckte Kanalangriffe über Abfragepläne zu vermeiden. Weitere Informationen finden Sie unter Verdeckter Kanal.

Alle parametrisierten Ansichten auflisten

Verwenden Sie die Erweiterung parameterized_views, um alle parametrisierten Ansichten in der Datenbank mit der Ansicht all_parameterized_views aufzulisten. Die Ausgabe dieser Ansicht ist dieselbe wie die der Katalogansicht pg_views, aber in all_parameterized_views werden nur Ansichten mit benannten Ansichtsparametern aufgeführt.

Verwenden Sie das folgende Beispiel, um parametrisierte Ansichten aufzulisten:

postgres=# select * from parameterized_views.all_parameterized_views ;
schemaname |      viewname      | viewowner |                       definition
-----------+--------------------+-----------+---------------------------------------------------------
public     | checked_items_view | postgres  |  SELECT checked_items.bag_id,                          +
           |                    |           |     checked_items."timestamp",                         +
           |                    |           |     checked_items.location                             +
           |                    |           |    FROM checked_items                                  +
           |                    |           |   WHERE (checked_items.customer_id = $@app_end_userid);

Damit eine parametrisierte Ansicht in all_parameterized_views aufgeführt wird, muss sie in ihrer Definition mindestens einen benannten Ansichtsparameter enthalten.

Nächste Schritte