Panoramica delle viste sicure parametrizzate in Cloud SQL

Le viste sicure parametrizzate in Cloud SQL per PostgreSQL forniscono sicurezza dei dati e controllo dell'accesso alle righe per le applicazioni, supportando al contempo SQL. Queste visualizzazioni supportano l'estrazione dei valori dei dati, ovvero il processo di recupero di dati specifici dalle colonne, e aiutano a proteggerti dagli attacchi di prompt injection. Le viste sicure con parametri contribuiscono a garantire che gli utenti finali possano visualizzare solo i dati a cui devono accedere.

Le viste sicure con parametri sono un'estensione delle viste PostgreSQL, che ti consentono di utilizzare parametri di visualizzazione denominati specifici dell'applicazione nelle definizioni delle viste. Questa funzionalità fornisce un'interfaccia che accetta una query e i valori per i parametri denominati. Le viste eseguono la query con questi valori, che vengono utilizzati durante l'esecuzione della query.

Esempio di visualizzazione sicura con parametri

Di seguito è riportato un esempio di vista sicura con parametri:

CREATE VIEW user_specific_items WITH (security_barrier) AS
       SELECT item_id, item_name, description
       FROM items t
       WHERE owner_id = $@app_user_id;

Puoi eseguire query sulle viste utilizzando la funzione execute_parameterized_query o eseguendo l'istruzione EXECUTE .. WITH VIEW PARAMETERS.

Casi d'uso

I modelli linguistici di grandi dimensioni (LLM) potrebbero generare query SQL che espongono dati sensibili.

Le viste sicure con parametri gestiscono la sicurezza dei dati a livello di database, in particolare le query ad hoc da origini non attendibili, come quelle tradotte dal linguaggio naturale. Ad esempio, puoi utilizzare le viste sicure parametrizzate per fornire la sicurezza dei dati per le applicazioni in cui gli utenti possono eseguire query in linguaggio naturale, ad esempio "Mostra i miei ordini".

Puoi utilizzare le viste sicure parametrizzate per applicare i seguenti requisiti al modo in cui Cloud SQL per PostgreSQL esegue questa query:

  • La query legge solo gli oggetti e le colonne del database che hai elencato nelle viste sicure con parametri del database.
  • La query legge solo le righe del database associate all'utente che ha inviato la query. Le righe restituite hanno una relazione di dati con la riga della tabella dell'utente.

Per saperne di più sulla configurazione della sicurezza e controllo dell'accesso, consulta Utilizzare le viste sicure parametrizzate.

Le viste sicure con parametri contribuiscono a mitigare i rischi per la sicurezza che si verificano quando agli utenti finali è consentito eseguire query non attendibili, come query in linguaggio naturale, nella tabella del database. I rischi per la sicurezza includono quanto segue:

  • Gli utenti possono inviare attacchi di prompt injection e tentare di manipolare il modello sottostante per rivelare tutti i dati a cui l'applicazione ha accesso.
  • Il modello di linguaggio naturale in SQL (NL2SQL) potrebbe generare query SQL con un ambito più ampio di quanto sia appropriato per motivi di sicurezza dei dati. Questo rischio per la sicurezza può esporre dati sensibili in risposta anche a query degli utenti ben intenzionate.

Utilizzando le viste sicure parametrizzate, puoi definire le tabelle e le colonne da cui le query non attendibili possono estrarre i dati. Queste visualizzazioni ti consentono di limitare l'intervallo di righe disponibili per un singolo utente dell'applicazione. Queste limitazioni ti consentono inoltre di controllare con precisione i dati che gli utenti dell'applicazione possono visualizzare tramite query in linguaggio naturale, indipendentemente da come gli utenti formulano queste query.

Ad esempio, potresti avere un'applicazione che tiene traccia degli ordini dei clienti. Un addetto all'assistenza chiede nell'applicazione: "Qual è lo stato dell'ordine per il cliente 12345?" In questo scenario, l'applicazione può utilizzare una visualizzazione sicura con parametri con una variabile di sessione basata su un ID cliente. La vista sicura con parametri utilizza una query che restituisce solo le righe collegate e accessibili all'ID cliente 12345.

Utilizzando le visualizzazioni sicure con parametri, puoi limitare l'intervallo di righe disponibili per i singoli utenti dell'applicazione. Questo controllo garantisce la sicurezza dei dati, indipendentemente da come gli utenti formulano le loro query.

Sicurezza dei dati

Le viste sicure parametrizzate offrono agli sviluppatori di applicazioni sicurezza dei dati e controllo dell'accesso alle righe utilizzando i seguenti metodi:

  • Le visualizzazioni create utilizzando la clausola WITH (security barrier) forniscono la sicurezza a livello di riga impedendo che funzioni e operatori scelti in modo dannoso ricevano valori dalle righe finché la visualizzazione non ha terminato il suo lavoro. Per saperne di più sulla clausola WITH (security barrier), consulta Regole e privilegi.
  • I parametri della visualizzazione denominata consentono una visualizzazione limitata del database parametrizzato in base ai valori. I valori vengono forniti dall'applicazione in base alla sicurezza a livello di applicazione, ad esempio l'autenticazione dell'utente finale.

  • Applicazione di ulteriori limitazioni alle query che accedono a viste parametrizzate che impediscono attacchi per eludere i controlli nelle viste in base ai valori dei parametri specificati. Per ulteriori informazioni, vedi Limitazioni delle query.

Limitazioni

  • Per utilizzare le viste sicure parametrizzate, devi attivare il flag di database cloudsql.enable_parameterized_views per l'istanza Cloud SQL, che richiede il riavvio del database.

  • L'estensione parameterized_views deve essere creata in ogni database in cui intendi creare viste sicure con parametri.

  • Se viene fatto riferimento a una vista con parametri in una funzione definita dall'utente dall'utente chiamata utilizzando una delle API utilizzate nelle viste sicure con parametri, si verifica un errore. Devi fare riferimento direttamente alla vista con parametri nella query principale.

  • Esistono limitazioni quando esegui query su viste sicure con parametri. Per ulteriori informazioni, vedi Limitazioni delle query.

Passaggi successivi