Administra la seguridad de los datos de la aplicación con vistas seguras parametrizadas de AlloyDB

En este documento, se describe cómo usar vistas seguras parametrizadas en AlloyDB para PostgreSQL, que te permiten limitar el acceso a los datos según parámetros nominados específicos de la aplicación, como las credenciales del usuario de la aplicación. Las vistas seguras parametrizadas mejoran la seguridad y el control de acceso, ya que extienden la funcionalidad de las vistas de PostgreSQL. Estas vistas también mitigan los riesgos de ejecutar consultas no confiables desde aplicaciones, ya que aplican una serie de restricciones automáticamente a cualquier consulta que se ejecute.

Para obtener más información, consulta la descripción general de las vistas seguras parametrizadas y el instructivo de vistas seguras parametrizadas.

Antes de comenzar

En este documento, se supone que creaste un clúster y una instancia de AlloyDB. Para obtener más información, consulta Cómo crear una base de datos.

Antes de poder usar vistas seguras parametrizadas, debes hacer lo siguiente:

  1. Solicita acceso a vistas seguras parametrizadas y espera a recibir la confirmación de habilitación antes de comenzar.

  2. Espera a que el equipo de AlloyDB habilite la marca de base de datos parameterized_views.enabled, que carga las bibliotecas de extensión requeridas. Esta marca de base de datos debe estar habilitada para que puedas comenzar.

    Después de que el equipo de AlloyDB habilite la marca de base de datos parameterized_views.enabled, esta se reiniciará para que se apliquen los cambios.

  3. Usa AlloyDB Studio o psql para crear la extensión parameterized_views en cualquier base de datos en la que se cree una vista parametrizada:

    -- Requires parameterized_views.enabled set to true
CREATE EXTENSION parameterized_views;

    Cuando se crea la extensión, el sistema también crea un esquema llamado parameterized_views para que las APIs se contengan en el espacio de nombres de ese esquema y para que no entren en conflicto con las APIs existentes.

Crea una vista segura parametrizada

Para crear una vista segura parametrizada, sigue estos pasos:

  1. Ejecuta el comando DDL CREATE VIEW, como se muestra en el siguiente ejemplo:

    CREATE VIEW secure_checked_items WITH (security_barrier) AS
SELECT bag_id, timestamp, location
FROM checked_items t
WHERE customer_id = $@app_end_userid;

    En el ejemplo anterior, la vista segura parametrizada permite el acceso a tres columnas de una tabla llamada /users/checked_items/. La vista limita los resultados a las filas en las que /users.id/checked_items.customer_id/ coincide con un parámetro obligatorio.

    Usa los siguientes atributos:

    • Crea la vista con la opción security_barrier.
    • Para restringir a los usuarios de la aplicación de modo que solo puedan ver las filas a las que tienen permitido acceder, agrega los parámetros obligatorios con la sintaxis $@PARAMETER_NAME en la cláusula WHERE. Un caso de uso común es verificar el valor de una columna con WHERE COLUMN = $@PARAMETER_NAME.
    • $@PARAMETER_NAME indica un parámetro de vista con nombre. Su valor se proporciona cuando usas la API de execute_parameterized_query. Los parámetros de vista con nombre tienen los siguientes requisitos:
      • Los parámetros de vista nombrados deben comenzar con una letra (a-z).
      • Puedes usar letras con marcas diacríticas y letras no latinas, y puedes usar un guion bajo (_).
      • Los caracteres que le siguen pueden ser letras, guiones bajos o dígitos (0-9).
      • Los parámetros de vista con nombre no pueden contener $.
      • Los parámetros de vista nombrados distinguen mayúsculas de minúsculas. Por ejemplo, $@PARAMETER_NAME se interpreta de manera diferente que $@parameter_name.

  2. Otorga SELECT en la vista a cualquier usuario de la base de datos que tenga permiso para consultarla.

  3. Otorga USAGE en el esquema que contiene las tablas definidas en la vista a cualquier usuario de la base de datos que tenga permiso para consultar la vista.

Para obtener más información, consulta Cómo proteger y controlar el acceso a los datos de la aplicación con vistas seguras parametrizadas.

Configura la seguridad de tu aplicación

Para configurar la seguridad de tus aplicaciones con vistas seguras parametrizadas, sigue estos pasos:

  1. Crea las vistas parametrizadas seguras como usuario administrador. Este usuario es un usuario de la base de datos de AlloyDB que realiza operaciones administrativas para la aplicación, incluida la configuración de la base de datos y la administración de la seguridad.

  2. Crea un nuevo rol de base de datos para ejecutar consultas en vistas seguras parametrizadas. Este es un rol de base de datos de AlloyDB que la aplicación usa para conectarse a la base de datos y acceder a ella, y para ejecutar consultas en vistas parametrizadas.

    1. Otorga los permisos del rol nuevo a las vistas seguras, que, por lo general, incluyen privilegios SELECT para las vistas y USAGE en los esquemas.
    2. Limita los objetos a los que puede acceder este rol al conjunto mínimo requerido de funciones y objetos públicos que necesita la aplicación. Evita proporcionar acceso a esquemas y tablas que no sean públicos.

    Cuando consultas las vistas, la aplicación proporciona los valores de los parámetros de vista requeridos, que están vinculados a la identidad del usuario de la aplicación.

    Para obtener más información, consulta Cómo crear un usuario de base de datos.

Cómo consultar una vista segura parametrizada

Para consultar una vista segura parametrizada, usa una de las siguientes opciones que mejor se adapte a tu caso de uso:

  • Basada en JSON: Usa esta API para ejecutar la consulta de forma única y mostrar filas JSON.
  • Basada en CURSOR: Usa esta API cuando tengas consultas de mayor duración o cuando tengas consultas grandes y quieras recuperar el resultado por lotes. La función execute_parameterized_query que proporciona la extensión parameterized_views acepta un nombre de cursor.
  • Sentencia PREPARE EXECUTE: Úsala para sentencias preparadas que se pueden ejecutar varias veces con diferentes valores de parámetros.

Para consultar vistas seguras parametrizadas, usa la función execute_parameterized_query() que proporciona la extensión parameterized_views.

API de JSON

Esta API tiene limitaciones porque declara un cursor para la consulta determinada. Como resultado, la consulta debe ser compatible con los cursores de PostgreSQL. Por ejemplo, la API de CURSOR no admite instrucciones DO ni SHOW.

Esta API tampoco restringe los resultados por tamaño ni por la cantidad de filas que se muestran.

Ejecuta la función execute_parameterized_query(), que tiene la siguiente sintaxis:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => SQL_QUERY,
    param_names => ARRAY [PARAMETER_NAMES],
    param_values => ARRAY [PARAMETER_VALUES]
)

Reemplaza lo siguiente:

  • SQL_QUERY: Es una consulta de SQL cuya cláusula FROM hace referencia a una o más vistas seguras parametrizadas.
  • PARAMETER_NAMES: Es una lista de nombres de parámetros que se pasarán como cadenas.
  • PARAMETER_VALUES: Es una lista de valores de parámetros que se pasarán.
    • Esta lista debe tener el mismo tamaño que la lista param_names, en la que el orden de los valores coincide con el orden de los nombres.
    • El tipo exacto de los valores se infiere de la consulta y la definición de vista parametrizada. Las conversiones de tipo se realizan cuando es necesario y cuando es posible para el valor del parámetro determinado. En caso de que haya una discrepancia de tipo, se genera un error.

La función muestra una tabla de objetos JSON. Cada fila de la tabla es equivalente al valor ROW_TO_JSON() de la fila del resultado de la consulta original.

Usa el siguiente ejemplo para consultar una vista segura parametrizada:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => 'SELECT * FROM secure_checked_items',
    param_names => ARRAY ['app_end_userid'],
    param_values => ARRAY ['40']
)

El uso de esta API limita el tamaño del conjunto de resultados por tamaño expresado en kilobytes (KB) de los resultados y por la cantidad de filas. Puedes configurar estos límites con parameterized_views.json_results_max_size y parameterized_views.json_results_max_rows.

API de CURSOR

Ejecuta la función execute_parameterized_query(), que crea y muestra un CURSOR centrado en la transacción que usas para recuperar los resultados de la consulta:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => SQL_QUERY,
    cursor_name => CURSOR_NAME,
    param_names => ARRAY [PARAMETER_NAMES],
    param_values => ARRAY [PARAMETER_VALUES]
)

Reemplaza lo siguiente:

  • SQL_QUERY: Es una consulta de SQL cuya cláusula FROM hace referencia a una o más vistas seguras parametrizadas.
  • CURSOR_NAME: Es el nombre del cursor que se declarará.
  • PARAMETER_NAMES: Es una lista de nombres de parámetros que se pasarán como cadenas.
  • PARAMETER_VALUES: Es una lista de valores de parámetros que se pasarán. Esta lista debe tener el mismo tamaño que la lista param_names, en la que el orden de los valores coincide con el orden de los nombres. El tipo exacto de los valores se infiere de la consulta y la definición de vista parametrizada. Las conversiones de tipo se realizan cuando es necesario y cuando es posible para el valor de parámetro determinado. En caso de discrepancia de tipos, se muestra un error.

Usa el siguiente ejemplo para consultar una vista segura parametrizada:

  -- start a transaction as the that is the default lifetime of a CURSOR
  BEGIN;
  -- create a cursor called 'mycursor'
  SELECT * FROM parameterized_views.execute_parameterized_query(
   query => 'SELECT * FROM secure_checked_items',
   cursor_name => 'mycursor'
   param_names => ARRAY ['app_end_userid'],
   param_values => ARRAY ['40']
  );

  -- then, to actually fetch the results
  FETCH ALL FROM mycursor;
  -- end the transaction, which will clean up the cursor
  END;

El cursor que se muestra es un cursor NO SCROLL WITHOUT HOLD. No puedes usar el cursor para recuperar filas de forma no secuencial, por ejemplo, en una dirección hacia atrás. No puedes usar el cursor fuera de la transacción que lo creó.

Declaración PREPARE

Usa el comando PREPARE .. AS RESTRICTED para crear una sentencia preparada que haga referencia a vistas parametrizadas. Estas sentencias preparadas admiten parámetros posicionales y aplican varias restricciones cuando las ejecutas. Para obtener más información, consulta Mecanismo de seguridad.

Esta función extiende PREPARE y EXECUTE commands para admitir parámetros de vista nombrados. Usa sentencias preparadas para evitar la sobrecarga de analizar, analizar y volver a escribir cada vez que se ejecuta la sentencia, lo que puede generar mejoras significativas en el rendimiento, en especial para las consultas complejas o que se ejecutan con frecuencia. Una instrucción preparada es un objeto del servidor que puede optimizar el rendimiento compilando previamente y almacenando una instrucción de SQL parametrizada para su ejecución posterior.

Esta API tiene limitaciones porque la sentencia debe permitirse en una sentencia PREPARE, lo que significa que solo se admiten las sentencias SELECT y VALUES.

Esta API tampoco restringe los resultados por tamaño o cantidad de filas que se muestran.

Para crear una sentencia preparada que haga referencia a vistas parametrizadas, ejecuta el comando PREPARE .. AS RESTRICTED:

PREPARE pquery (/POSITIONAL_PARAM_TYPES/)
        AS RESTRICTED query % a query that may refer to parameterized views
EXECUTE pquery (/POSITIONAL_PARAM_VALUES/)
      WITH VIEW PARAMETERS (VIEW_PARAM_NAME1 = VIEW_PARAM_VALUE1[, ...]);

Reemplaza lo siguiente:

  • POSITIONAL_PARAM_TYPES: Uno o más parámetros posicionales que se usan en la consulta RESTRICTED.
  • POSITIONAL_PARAM_VALUES: Los valores reales que se sustituyen por los parámetros posicionales definidos en la sentencia PREPARE.
  • VIEW_PARAM_NAME: Es el nombre del parámetro que esperan las vistas parametrizadas a las que se hace referencia en la consulta RESTRICTED.
  • VIEW_PARAM_VALUE: Los valores reales que se pasan a los parámetros viewParamName correspondientes de las vistas parametrizadas.

Para incluir parámetros en una sentencia preparada, debes proporcionar una lista de tipos de datos en la sentencia PREPARE. En la sentencia que preparas, te refieres a los parámetros por posición con, por ejemplo, $1 y $2.

Usa el comando EXECUTE .. WITH VIEW PARAMETERS para ejecutar una instrucción preparada previamente que creaste con el comando PREPARE .. AS RESTRICTED. Si la sentencia PREPARE que creó la sentencia especifica parámetros posicionales, debes pasar un conjunto de parámetros compatible a la sentencia EXECUTE. Debes pasar cualquier parámetro de vista con nombre que requieran las vistas parametrizadas en la cláusula WITH VIEW PARAMETERS.

Usa el siguiente ejemplo para consultar una vista segura parametrizada:

PREPARE pquery (timestamp) AS RESTRICTED SELECT * FROM secure_checked_items WHERE timestamp > $1;

EXECUTE pquery (current_date - 1) WITH VIEW PARAMETERS (app_end_userid = 40);
EXECUTE pquery (current_date - 30) WITH VIEW PARAMETERS (app_end_userid = 40);

Restricciones aplicadas a las consultas

A continuación, se muestra una lista del conjunto de operaciones restringidas para las consultas que ejecutas con las opciones que se describen en Cómo consultar una vista segura parametrizada:

  • Se prohíbe cualquier invocación recursiva de cualquier API (execute_parameterized_query o con EXECUTE .. WITH VIEW PARAMETERS) para que solo se usen los valores que especifique la aplicación. Esta restricción también evita que se use la consulta para eludir el sobre de seguridad del conjunto determinado de valores de parámetros.
  • No se permiten algunas extensiones que inician una nueva sesión en segundo plano, incluidas las extensiones dblink, pg_cron y pg_background.
  • A continuación, se muestra el conjunto de construcciones de consulta permitidas que están restringidas:
    • Se permiten sentencias SELECT de solo lectura.
    • Se permiten las instrucciones SHOW, CALL y DO de solo lectura.
    • No se permiten declaraciones DML, como INSERT, UPDATE y DELETE.
    • No se permiten las sentencias DDL, como CREATE TABLE y ALTER TABLE.
    • No se permiten otros tipos de sentencias, como LOAD, SET, CLUSTER, LOCK, CHECKPOINT y EXPLAIN.
  • No se permiten las sentencias EXPLAIN para evitar la posibilidad de ataques de canal oculto con planes de consulta. Para obtener más información, consulta Canal oculto.

Enumera todas las vistas parametrizadas

Usa la extensión parameterized_views para enumerar todas las vistas parametrizadas de la base de datos con la vista all_parameterized_views. El resultado de esta vista es el mismo que la vista de catálogo de pg_views, pero all_parameterized_views solo muestra vistas con parámetros de vista nombrados.

Para enumerar las vistas parametrizadas, usa el siguiente ejemplo:

postgres=# select * from parameterized_views.all_parameterized_views ;
schemaname |      viewname      | viewowner |                       definition
-----------+--------------------+-----------+---------------------------------------------------------
public     | checked_items_view | postgres  |  SELECT checked_items.bag_id,                          +
           |                    |           |     checked_items."timestamp",                         +
           |                    |           |     checked_items.location                             +
           |                    |           |    FROM checked_items                                  +
           |                    |           |   WHERE (checked_items.customer_id = $@app_end_userid);

Para enumerar una vista parametrizada en all_parameterized_views, asegúrate de que la vista parametrizada contenga al menos un parámetro de vista con nombre en su definición.

¿Qué sigue?