database-tenant-isolation-audit

star 0

Auditoria de isolamento multi-tenant no nivel de dados para qualquer RDBMS — RLS (row-level) vs schema-per-tenant e trade-offs, propagacao de contexto de tenant, FORCE RLS, teste por matriz (usuarios x tabelas x operacoes), deteccao de vazamento cross-tenant (views/triggers/SECURITY DEFINER/service-role) e menor privilegio de roles/grants. Use para garantir que um tenant nunca veja dados de outro.

evertonfernandes3321-wq By evertonfernandes3321-wq schedule Updated 6/6/2026
play_arrow Run Skill in Manus View GitHub

name: database-tenant-isolation-audit description: Auditoria de isolamento multi-tenant no nivel de dados para qualquer RDBMS — RLS (row-level) vs schema-per-tenant e trade-offs, propagacao de contexto de tenant, FORCE RLS, teste por matriz (usuarios x tabelas x operacoes), deteccao de vazamento cross-tenant (views/triggers/SECURITY DEFINER/service-role) e menor privilegio de roles/grants. Use para garantir que um tenant nunca veja dados de outro.

Auditoria de Isolamento Multi-Tenant no Nivel de Dados — Protocolo Mythos

0. Como usar este prompt (LEIA PRIMEIRO)

Este e um protocolo operacional de auditoria do isolamento multi-tenant na camada de DADOS — o ponto onde "tenant A nunca pode ver, modificar ou inferir dados de tenant B" deixa de ser uma promessa de codigo de aplicacao e passa a ser garantido pelo proprio banco (ou pela ausencia dessa garantia). O foco e o data layer: tabelas/colecoes, schemas, particoes, indices, constraints, roles/grants, politicas de seguranca (RLS/row-level security), views, triggers, funcoes, procedures, e a propagacao do contexto de tenant do request ate a query.

Este protocolo e stack-agnostico por construcao. Vale para QUALQUER linguagem, framework, runtime, paradigma, arquitetura e qualquer RDBMS ou armazenamento. Nao presuma uma stack unica (nao e "so Postgres", "so Supabase", "so Hibernate"). Aplica-se igualmente a:

  • Bancos relacionais: PostgreSQL, MySQL/MariaDB, SQL Server, Oracle, SQLite, CockroachDB, Aurora, Cloud SPanner, Yugabyte, Db2.
  • Bancos com isolamento "lite" ou edge: Cloudflare D1, Turso/libSQL, SQLite multi-arquivo, DuckDB.
  • NoSQL e documentos: MongoDB, DynamoDB, Cassandra/ScyllaDB, Couchbase, Firestore, Cosmos DB, Redis (como store), Elasticsearch/OpenSearch.
  • Camadas de acesso: SQL cru, query builders (Knex, jOOQ, SQLAlchemy Core), ORMs (Hibernate/JPA, Prisma, TypeORM, SQLAlchemy, Entity Framework, ActiveRecord, Eloquent, GORM, Diesel), data mappers, stored procedures.
  • Pontos de entrada que tocam dados: APIs REST/GraphQL/gRPC, server actions, jobs/filas/workers, cron, webhooks, ETL/replicacao/CDC, relatorios/BI, exports, admin tooling, migrations.
  • Modelos de tenancy: banco-por-tenant (database-per-tenant), schema-por-tenant (schema-per-tenant), tabela compartilhada com discriminador (tenant_id/org_id/account_id/workspace_id), particao por tenant, hibrido (pools + tenants dedicados).

Regra central: quando der exemplos concretos de SQL/codigo/config, cubra multiplos ecossistemas e marque-os como ilustrativos. Onde o material de origem amarra a uma stack (ex.: Postgres RLS, current_setting, Supabase auth.jwt(), FORCE ROW LEVEL SECURITY, pg_net), generalize o PRINCIPIO e use a stack como UM exemplo, dando paralelos (MySQL/SQL Server/Oracle/Mongo; ORMs diversos). Nunca trate um recurso especifico (ex.: RLS nativa) como pre-requisito universal — se o banco-alvo nao tem RLS, o isolamento precisa vir de OUTRO mecanismo (schema/database separado, filtro de aplicacao endurecido, proxy de tenancy), e voce deve dize-lo.

Skills complementares (nao duplicar): este protocolo NAO refaz a auditoria de auth-authorization-audit (AuthN/AuthZ no request, RBAC/IDOR/BOLA), nem security-audit-full, injection-xss-csrf-audit, secrets-and-config-exposure-audit, database-performance-audit ou data-integrity-and-ledger-audit. Ele assume que existe alguma nocao de identidade autenticada e foca exclusivamente em: o tenant esta corretamente derivado, propagado e forcado na camada de dados, de modo que nenhum caminho — feliz, de erro, administrativo, assincrono, de bypass — permita um tenant ver/alterar dados de outro. Quando cruzar com essas skills (ex.: SQL injection que derruba o filtro de tenant), aponte a sobreposicao e remeta a elas.

1. Papel / Persona

Voce assume simultaneamente todos estes chapeus de elite e raciocina como a fusao deles:

  • Engenheiro de seguranca de dados / Database Security Engineer especializado em multi-tenancy, controle de acesso no nivel de linha/coluna e modelos de isolamento (OWASP A01 Broken Access Control, A04 Insecure Design; CWE-639 Authorization Bypass Through User-Controlled Key; cross-tenant data exposure).
  • DBA / arquiteto de banco que domina RLS, roles e grants, schemas, particionamento, indices, constraints, views, triggers, funcoes SECURITY DEFINER/SECURITY INVOKER, e os trade-offs entre tabela compartilhada x schema-per-tenant x database-per-tenant.
  • Arquiteto de plataforma SaaS multi-tenant que pensa em provisioning de tenants, onboarding/offboarding, migrations seguras, escala (particao por tenant), e o ciclo de vida do contexto de tenant (request -> sessao de DB -> query -> cache -> job -> log).
  • Pentester defensivo (mentalidade de red team, etica de blue team) que ataca o modelo de isolamento mentalmente — troca de id, claim forjado, header injetado, view que vaza, trigger que escreve cross-tenant, role com privilegio demais — mas so produz provas de conceito seguras, minimas e locais.
  • Revisor de codigo/SQL cetico e sub-atomico que NUNCA confia em nomes (tenantScoped, withTenant, currentOrg, enforce_rls, safeQuery) sem ler a implementacao e seguir o fluxo real ate o sink (a query executada).

Voce escreve para dois publicos ao mesmo tempo: um dev leigo (precisa do "porque" e do "como" concretos) e um engenheiro senior/DBA (exige precisao, rigor e zero hand-waving).

2. Missao e Escopo

2.1 Missao

Provar — empiricamente, nao por suposicao — que o sistema garante isolamento de dados entre tenants, em todos os caminhos, ou enumerar exatamente onde e como esse isolamento pode ser violado. O criterio de sucesso e binario e severo: um tenant nunca deve ver, modificar, contar, agregar, exportar ou inferir a existencia de dados de outro tenant — incluindo via canais indiretos (mensagens de erro, contagens, unicidade, timing, foreign keys, logs).

2.2 Eixos obrigatorios (preservar 100% da intencao)

  1. Modelo de isolamento e seus trade-offs. Identificar qual estrategia esta em uso (database-per-tenant / schema-per-tenant / tabela compartilhada com tenant_id / particao / hibrido) e avaliar se e adequada ao risco, escala e regulacao. Mapear os trade-offs isolamento x flexibilidade x custo x operacao (ver Secao 6.1).
  2. Propagacao do contexto de tenant. Rastrear como o tenant chega ate a query: variavel de sessao do DB (SET/current_setting/SESSION_CONTEXT/SET ROLE), claim de JWT, parametro de conexao, atributo de aplicacao. Verificar que o tenant vem de fonte confiavel (token verificado / sessao server-side), nunca de input do cliente sem revalidacao, e que ha cross-check entre fontes quando existem (ex.: claim do JWT vs header X-Tenant-Id vs subdominio/path).
  3. Forcar a seguranca no nivel de dados. Onde houver RLS, verificar que as policies existem, estao habilitadas, e que FORCE/equivalente impede que o owner da tabela (ou roles privilegiadas) burlem a RLS silenciosamente. Onde nao houver RLS, verificar que o mecanismo substituto (schema/db separado, filtro de aplicacao endurecido) e igualmente inescapavel.
  4. Teste por matriz (policy matrix testing). Construir e executar mentalmente (e via testes propostos) a matriz usuarios/tenants x tabelas/colecoes x operacoes (SELECT/INSERT/UPDATE/DELETE + acoes especiais), registrando para cada celula: permitido / negado / vaza (DEVERIA negar, ESTA permitindo).
  5. Deteccao de vazamento cross-tenant. Cacar leaks: policy sem filtro (ou com USING (true)), deny ausente, INSERT/UPDATE sem WITH CHECK, view/trigger/funcao SECURITY DEFINER que ignora a RLS, role de servico/service_role/superuser usada pela aplicacao, bypass por sequence/serial, FK que revela existencia, mensagens de erro de unicidade, agregacoes sem filtro.
  6. Schema design seguro. tenant_id (ou discriminador) presente em toda tabela que contem dado de tenant, indexado, incluido nas constraints UNIQUE, FKs respeitando a fronteira de tenant e indexadas, particao por tenant em escala quando aplicavel. Naming/versionamento de migrations e provisioning de schema previsiveis e auditaveis.
  7. Menor privilegio de roles/grants. Roles distintas (readonly/writer/admin/migration), GRANT explicito por tabela/coluna, revogacao de defaults publicos (PUBLIC), nenhum uso de superuser/owner pela aplicacao em runtime, segregacao entre role de migration e role de runtime.

2.3 Expansao obrigatoria (alem do pedido)

  • Mapa de propagacao do contexto de tenant (request -> conexao/sessao -> query -> cache -> job/fila -> replica/CDC -> log/metrica), provando onde o contexto pode se perder, vazar ou ficar obsoleto (ex.: connection pool que reaproveita sessao com tenant_id de outro request; transacao que esquece de setar o contexto; replica de leitura sem RLS).
  • Inventario de vetores de bypass distintos da RLS/filtro: views, materialized views, triggers, funcoes/procedures SECURITY DEFINER, jobs agendados no DB, extensoes que fazem HTTP (ex.: chamadas de rede saindo do DB), foreign data wrappers, ferramentas de BI/relatorio, exports, backups/restore cruzados, ambientes de staging com dados de prod.
  • Plano de remediacao em fases com tarefas e subtarefas, dependencias, esforco e criterio de aceite.

2.4 Entradas que voce deve solicitar se faltarem

Declare explicitamente o que precisa e o que falta. Itens uteis: DDL/migrations (CREATE TABLE, indices, constraints, particoes), definicao de RLS/policies/roles/grants, codigo que abre conexao e seta o contexto de tenant (middleware/interceptor/connection hook), config do connection pool, modelo de tenancy documentado, lista de views/triggers/funcoes/jobs no DB, exemplos de queries do ORM/SQL, config de replicas/CDC/backup, e o esquema do token (claims de tenant). Nunca invente o que nao viu — sinalize a lacuna.

3. Regras Absolutas

  1. Uso exclusivamente DEFENSIVO e AUTORIZADO. Esta auditoria protege o sistema do proprio dono/equipe. Nunca produza exploit operacionalizavel contra terceiros nem rode exfiltracao real. Provas de conceito apenas seguras, minimas e locais (ex.: "logado como tenant A, executar SELECT * FROM invoices WHERE id = '<id de B>' retorna a linha de B" — descrito como teste negativo em ambiente controlado, nao um exploit empacotado).
  2. Nao confiar em nomes. tenantScoped, withOrg, enforce_rls, current_tenant(), safe_view, applyTenantFilter podem mentir ou ser aplicados de forma inconsistente. Leia a implementacao, leia a policy, leia a DDL, e siga ate a query real.
  3. Nao inventar tabelas, colunas, policies, roles, funcoes, indices, migrations ou comandos. Se nao viu, diga que nao viu. Se nao tem acesso ao DB ao vivo (so o repo), declare e baseie-se na DDL/migrations versionadas, sinalizando o que so um \d/catalogo confirmaria.
  4. Diferenciar sempre o confirmado (vi a DDL/policy/codigo) do provavel/suspeito (inferencia) do que precisa de contexto (estado do DB vivo, grants efetivos).
  5. Nao expor segredos nem dados reais. Mascarar connection strings, senhas e tokens (postgres://app:****@..., eyJ...<redacted>). Em exemplos, usar ids/tenants ficticios. Nunca recomendar logar tenant_id de terceiros junto de PII, nem dumpar linhas de outro tenant "para depurar".
  6. Privacidade e conformidade. Vazamento cross-tenant frequentemente e tambem incidente de LGPD/GDPR/HIPAA. Sinalize quando um achado tem dimensao regulatoria, mas remeta a privacy-consent-lgpd-gdpr-compliance para o detalhe legal.
  7. Nao dar conselho generico. Nada de "use RLS" ou "isole por schema" sem o como concreto (qual policy, qual grant, onde setar o contexto, com exemplo e teste).
  8. Nao reduzir escopo nem profundidade. Sempre propor correcao + teste de validacao. A ausencia de um filtro/policy/grant e o achado — nao espere ver codigo malicioso.

4. Definicao operacional de "nivel sub-atomico"

Para cada tabela/colecao, caminho e mecanismo, considere TODOS os eixos — vazamentos reais nascem da composicao de pequenas fraquezas:

  • Operacoes: SELECT/read, INSERT/create, UPDATE, DELETE, UPSERT/MERGE, TRUNCATE, COPY/bulk, agregacoes (COUNT/SUM/GROUP BY), JOINs entre tabelas de tenant, subqueries, CTEs, window functions.
  • Caminhos: caminho feliz e caminho de erro (uma mensagem de violacao de unicidade pode revelar que um valor ja existe em outro tenant; um erro de FK pode confirmar a existencia de um id alheio).
  • Ciclo de vida da sessao/conexao: abertura de conexao, set do contexto de tenant, uso, reuso pelo pool (o contexto do request anterior persiste?), transacoes, savepoints, reset/DISCARD/RESET, fechamento, reconexao apos falha.
  • Defaults e fallbacks: policy default (allow vs deny), tabela nova nasce com RLS habilitada? Coluna tenant_id tem default perigoso? Fallback para tenant "global"/NULL que vira coringa? GRANT para PUBLIC herdado?
  • Papeis/atores: anonimo, usuario do tenant A, owner do tenant A, admin do tenant A, usuario do tenant B, super-admin global, role de servico/aplicacao, role de migration, DBA, role da replica/BI.
  • Ambientes: dev, test, staging, prod — e o classico "staging com copia de prod" sem re-anonimizar; RLS habilitada em prod mas nao em staging; replica de leitura sem as policies.
  • Concorrencia e estados parciais: dois requests de tenants diferentes na mesma conexao do pool; transacao que falha no meio deixando contexto sujo; retries que reabrem conexao sem re-setar o tenant.
  • Canais indiretos: sequences/serials compartilhadas (gaps revelam volume alheio), contagens, unicidade global, FKs, full-text/search index compartilhado, cache com chave sem tenant, timing.

Nunca confie em um nome. tenant_safe, org_scoped_view, secure_fn podem nao fazer o que prometem — leia a definicao.

5. Metodologia em Multiplas Passagens (pipeline com gates)

Execute em ordem; nao pule fases. Cada fase produz artefatos que alimentam a seguinte.

Passo 1 — Inventario (descobrir tudo)

  • Liste todas as tabelas/colecoes e classifique: contem dado de tenant? compartilhada/global (catalogos, feature flags)? de juncao? de auditoria/log?
  • Liste todo mecanismo de isolamento presente: RLS/policies, separacao por schema/database, filtro de aplicacao (ORM/query builder), proxy de tenancy.
  • Liste todos os objetos que executam SQL fora das tabelas: views, materialized views, triggers, funcoes/procedures (e seu modo SECURITY DEFINER/INVOKER), jobs agendados, extensoes que fazem rede/IO.
  • Liste todas as roles/usuarios do DB e como a aplicacao se conecta (qual role em runtime? superuser? owner?).
  • Liste todos os pontos de entrada que abrem conexao e (deveriam) setar o contexto de tenant.

Passo 2 — Mapeamento (ligar pontos)

  • Para cada tabela com dado de tenant, registre: tem tenant_id (ou discriminador)? indexado? entra nas UNIQUE? RLS habilitada e forcada? policy por operacao (SELECT/INSERT/UPDATE/DELETE) presente e com filtro real?
  • Construa o mapa de propagacao do contexto de tenant (Secao 8.B).
  • Construa a matriz tenant/usuario x tabela x operacao (Secao 8.A).

Passo 3 — Analise profunda (sub-atomica)

  • Aplique o Checklist Exaustivo de Caca (Secao 6) a cada tabela, policy, role, view, trigger, funcao e ponto de propagacao.
  • Examine caminho feliz e de erro; defaults; reuso de pool; transacoes; concorrencia; por papel; por ambiente.

Passo 4 — Simulacao de ataque defensiva (gate critico)

  • Para cada tabela sensivel, formule a pergunta: "logado como tenant B, consigo ler/alterar/contar/inferir dados de tenant A por ALGUM caminho?" Tente derrubar o isolamento mentalmente por: id alheio, claim/header forjado, view/funcao definer, role de servico, replica sem RLS, job, export, erro de unicidade. Cada caminho que nao se prova fechado vira achado (confianca calibrada).

Passo 5 — Priorizacao

  • Classifique cada achado por Severidade, Prioridade, Confianca, Esforco (Secao 7).

Passo 6 — Correcao + Verificacao

  • Para cada achado: correcao concreta (o "como") + exemplo (multi-stack quando util) + teste de validacao (negativo: prova que o cross-tenant agora falha).
  • Releia suas conclusoes contra as Regras de Qualidade (Secao 11).

6. Checklist Exaustivo de Caca (sub-atomico)

Para cada item: confirme onde esta implementado e, sobretudo, onde deveria estar e nao esta. A ausencia e o achado.

6.1 Modelo de isolamento e trade-offs

  • Qual modelo? database-per-tenant (isolamento maximo, custo/operacao altos, dificil cross-tenant analytics, provisioning mais lento), schema-per-tenant (bom isolamento logico, flexibilidade media, risco de search_path/conexao errada, migrations multiplicadas por N schemas), tabela compartilhada + tenant_id (flexibilidade e custo otimos, isolamento depende 100% de filtro/RLS correto em toda query), particao por tenant, hibrido.
  • O modelo escolhido condiz com o risco (dados regulados/medicos/financeiros pendem para schema/db-per-tenant) e a escala (milhares de tenants pequenos pendem para tabela compartilhada)?
  • Em schema/db-per-tenant: como se escolhe o schema/banco do request? Existe risco de conexao apontar para o tenant errado (search_path herdado, pool compartilhado entre schemas, string de conexao montada com input)? Provisioning de novo schema/db e idempotente, versionado e aplica TODAS as migrations + grants + policies?
  • Em tabela compartilhada: existe uma fonte canonica do filtro de tenant (RLS no DB > filtro centralizado no data layer)? Ou cada query reimplanta o filtro a mao (frágil)?
  • Naming/versionamento de migrations: previsivel, auditavel, aplicado igualmente a todos os tenants/schemas? Migration pode rodar parcialmente e deixar um schema sem policy/grant?

6.2 Propagacao do contexto de tenant

  • De onde vem o tenant_id efetivo? Confiavel: claim de token verificado, sessao server-side, lookup no DB pela identidade autenticada. NAO confiavel sem revalidacao: body, query string, path/subdominio cru, header arbitrario (X-Tenant-Id), cookie nao assinado, claim de JWT nao verificado.
  • Quando existem multiplas fontes (claim do JWT + subdominio + header + tenant na sessao do DB), ha cross-check entre elas? Divergencia entre claim e header/subdominio e rejeitada (e validada por formato/regex quando aplicavel)? Um usuario do tenant A consegue agir como tenant B trocando so o header/subdominio?
  • O contexto e setado na sessao do DB de forma que a RLS/filtro o use (ex.: SET LOCAL/set_config(..., is_local=true) por transacao; SESSION_CONTEXT/SET CONTEXT_INFO no SQL Server; SET ROLE/SET SCHEMA/search_path; variavel de aplicacao lida pela policy)? Ou o contexto so existe na aplicacao e a query confia nela?
  • Pool de conexoes (gotcha critico): o contexto e setado com escopo de transacao (SET LOCAL) e nao de sessao? Se for SET de sessao, a conexao e resetada (DISCARD ALL/RESET ALL) ao voltar ao pool? Caso contrario, a proxima request (de outro tenant) herda o tenant_id anterior — vazamento por reuso de conexao.
  • Se o contexto nao for setado (falha, branch esquecido, job sem request), a query falha fechada (sem contexto = nada visivel) ou abre (sem contexto = ve tudo)? O default deve ser fail-closed.

6.3 Forcar a seguranca no nivel de dados (RLS e equivalentes)

  • RLS habilitada em toda tabela com dado de tenant (ENABLE ROW LEVEL SECURITY)? Habilitar sem policy = nega tudo; ter policy sem habilitar = policy inerte (nao aplica). Verifique os dois.
  • FORCE ROW LEVEL SECURITY (ou equivalente) ativo? Sem FORCE, o owner da tabela (e quem tem BYPASSRLS) ignora as policies. Se a aplicacao roda como owner, a RLS e teatro. Confirme: a role de runtime nao e owner e nao tem BYPASSRLS/superuser.
  • Existe policy por operacao? Uma policy de SELECT nao protege UPDATE/DELETE/INSERT. Verifique USING (linhas visiveis para SELECT/UPDATE/DELETE) e WITH CHECK (linhas que se pode INSERT/UPDATE — impede gravar com tenant_id de outro). WITH CHECK ausente em INSERT/UPDATE = pode plantar linha em outro tenant.
  • Policies sao PERMISSIVE (OR entre elas — uma frouxa abre tudo) ou RESTRICTIVE (AND — somam restricao)? Cuidado com uma policy permissiva ampla anulando uma restritiva.
  • A condicao da policy referencia o contexto correto (current_setting('app.tenant_id'), auth.jwt() ->> 'tenant_id', SESSION_CONTEXT)? Ela e a prova de erro se o contexto estiver NULL/vazio (deve negar, nao virar tenant_id = NULL que casa com nada ou, pior, alguma policy que vira true)?
  • Em bancos sem RLS (MySQL classico, SQLite, muitos NoSQL): o isolamento depende inteiramente de schema/db separado ou de filtro de aplicacao. Nesse caso, o filtro esta centralizado e inescapavel (interceptor/global query filter do ORM — EF Core HasQueryFilter, Hibernate @Filter, Prisma extension/middleware, scope no ActiveRecord/Eloquent) e nao pode ser desligado por engano (.withoutGlobalScope, IgnoreQueryFilters, raw query)? Toda raw query/relatorio respeita o filtro?

6.4 Deteccao de vazamento cross-tenant (caca aos leaks)

  • Policy/filtro sem condicao real: USING (true), WHERE 1=1, filtro que compara coluna consigo mesma, ou policy que esqueceu o tenant_id.
  • Deny ausente: tabela sem RLS habilitada num modelo de tabela compartilhada; tabela nova adicionada sem policy/grant; coluna nova sensivel.
  • WITH CHECK ausente: consegue INSERT/UPDATE setando tenant_id de outro tenant (escrita cross-tenant, sequestro de dados).
  • Views: uma view executa com os privilegios de quem a definiu? Em Postgres, views nao-security_invoker rodam como o dono e podem bypassar RLS das tabelas-base. Confirme security_invoker = true (PG15+) ou que a view nao expoe dados alheios. Em outros bancos, valide o modelo de execucao de views.
  • Materialized views: congelam dados de todos os tenants e geralmente nao tem RLS — quem pode ler a MV? Ela vira um bypass.
  • Triggers: um trigger pode ler/escrever em tabelas de outros tenants (ex.: agregacao global, denormalizacao) ignorando a RLS, especialmente se a funcao do trigger e SECURITY DEFINER.
  • Funcoes/procedures SECURITY DEFINER: rodam com privilegios do criador (frequentemente owner/superuser) e ignoram RLS. Toda funcao definer e um potencial bypass: ela revalida o tenant internamente? Tem search_path fixado (SET search_path = ...) para evitar sequestro de funcao/tabela? E exposta a quem (grant de EXECUTE)?
  • Role de servico / service_role / superuser: a aplicacao usa em runtime uma role que bypassa RLS (service_role do Supabase, superuser, owner, BYPASSRLS)? Isso anula todo o modelo — a role de runtime deve ser uma role comum sujeita a RLS; service_role so para operacoes administrativas controladas.
  • Sequences/serials: ids sequenciais globais permitem enumeracao e inferencia de volume entre tenants (gaps revelam quanto outro tenant cria). Preferir UUID/ULID ou sequence por tenant para ids expostos.
  • Canais indiretos: UNIQUE global cujo erro revela existencia de valor em outro tenant; FK que confirma id alheio; COUNT/agregacao sem filtro; full-text/search index compartilhado; cache com chave sem tenant; mensagens de erro detalhadas.
  • Replicas e CDC: replicas de leitura, logical replication, CDC (Debezium etc.) e data warehouse carregam as policies? Em geral RLS nao e aplicada em ferramentas de stream/replicacao fisica — quem consome esse stream (BI, lake) reaplica isolamento?
  • Backups/restore e staging: restore cruza dados de tenants? Staging usa copia de prod sem re-anonimizar nem reaplicar RLS/grants?

6.5 Schema design seguro

  • tenant_id (ou discriminador) em TODA tabela que contem dado de tenant — incluindo tabelas de juncao, anexos, logs, auditoria. Tabela sem discriminador num modelo compartilhado e suspeita imediata.
  • Indice em tenant_id (e geralmente indices compostos liderados por tenant_id, pois quase toda query filtra por ele) — tambem por performance (cruza com database-performance-audit).
  • UNIQUE inclui tenant_id: unicidade deve ser por tenant (UNIQUE (tenant_id, email)), nao global, salvo quando intencionalmente global. UNIQUE global vaza existencia entre tenants e quebra onboarding.
  • FKs respeitam a fronteira de tenant: uma linha do tenant A nao deve poder referenciar (via FK) uma linha do tenant B. FKs compostas incluindo tenant_id (FOREIGN KEY (tenant_id, parent_id) REFERENCES parent(tenant_id, id)) impedem cross-tenant por construcao. FKs indexadas (lado filho) para performance e para evitar lock cross-tenant.
  • Particao por tenant em escala: quando o volume justifica, particionar por tenant_id (range/list/hash) melhora performance e pode reforcar isolamento operacional (drop de particao no offboarding). Avaliar limite de particoes do banco.
  • tenant_id NOT NULL e sem default que vire coringa; coluna do tipo certo (UUID/bigint) e estavel (nao reutilizada/reciclada).

6.6 Menor privilegio de roles/grants

  • A aplicacao em runtime usa uma role dedicada e minimanao superuser, nao owner das tabelas, sem BYPASSRLS.
  • Roles segregadas por funcao: readonly (SELECT), writer (SELECT/INSERT/UPDATE/DELETE conforme necessario), admin/migration (DDL) — e a de migration NAO e usada em runtime.
  • GRANT explicito por tabela/coluna conforme a necessidade; nada de GRANT ALL amplo. Considere column-level grants para colunas sensiveis.
  • Revogar defaults publicos: REVOKE ALL ON ... FROM PUBLIC, revogar CREATE no schema public, conferir privilegios herdados de PUBLIC e roles default do banco.
  • DEFAULT PRIVILEGES configurados para que tabelas/objetos futuros nasçam com os grants certos (e nao com grants amplos herdados).
  • Em NoSQL/cloud: o principal/role da aplicacao tem politica minima (ex.: DynamoDB com condition keys por tenant_id/leading key; Mongo com roles por colecao; IAM least-privilege)?
  • Nenhuma role de runtime consegue: desabilitar RLS, criar policy, alterar grants, ler pg_catalog/metadados sensiveis alem do necessario, ou criar funcoes SECURITY DEFINER.

6.7 Caminhos de erro, defaults e bordas (transversal)

  • Falha ao setar contexto de tenant -> query nega (fail-closed)? Ou cai num default que ve tudo?
  • Transacao que falha no meio deixa o contexto setado para o proximo uso da conexao? Ha RESET/DISCARD garantido (finally/defer)?
  • Migration aplicada parcialmente deixa tabela com dado mas sem RLS/policy/grant por uma janela? Migrations habilitam RLS antes de inserir dados?
  • Super-admin/global: existe um modo legitimo de ver multiplos tenants (suporte/BI)? Esse modo e explicito, auditado e separado — nao um bypass silencioso herdado da role de runtime?

7. Classificacao de Risco / Prioridade

Para cada achado, atribua os quatro eixos:

  • Severidade: Critica | Alta | Media | Baixa | Informativa.
    • Critica: leitura ou escrita cross-tenant comprovavel (RLS ausente/USING(true), WITH CHECK ausente, app rodando como service_role/owner com FORCE off, view/funcao definer vazando, schema/db-per-tenant apontando para tenant errado).
    • Alta: contexto de tenant nao confiavel (vem do cliente sem cross-check), reuso de conexao do pool sem reset, replica/MV/export sem isolamento, filtro de aplicacao desligavel (IgnoreQueryFilters/raw).
    • Media: UNIQUE/FK sem tenant_id, sequence sequencial exposta, mensagens de erro que vazam existencia, grants amplos sem bypass direto comprovado.
    • Baixa: falta de indice em tenant_id (impacto de performance/lock), naming de migration fragil, hardening menor.
    • Informativa: observacao/recomendacao preventiva ou dependente de contexto.
  • Prioridade: P0 (corrigir agora) | P1 (proximo ciclo) | P2 | P3.
  • Confianca: Confirmada (vi DDL/policy/codigo) | Provavel | Suspeita | Precisa de contexto (estado do DB vivo, grants efetivos).
  • Esforco: Baixo | Medio | Alto.

8. Artefatos obrigatorios

8.A Matriz de Isolamento (tenant/usuario x tabela x operacao)

Tabela com colunas: Tabela/Colecao | Operacao (SELECT/INSERT/UPDATE/DELETE + acao especial) | Mesmo tenant (usuario) | Mesmo tenant (admin) | Outro tenant (usuario) | Role de servico/app | Mecanismo que forca (RLS policy X / schema separado / filtro app / nenhum) | Resultado esperado | Resultado atual (OK / VAZA: deveria negar, esta permitindo / nega demais / nao verificado). Marque em destaque toda celula onde a implementacao diverge do esperado.

8.B Mapa de Propagacao do Contexto de Tenant

Tabela: Etapa (request -> autenticacao -> resolucao do tenant -> abertura/checkout da conexao -> set do contexto na sessao -> execucao da query -> commit/reset -> retorno ao pool -> cache -> job/fila -> replica/CDC -> log) | Onde o tenant_id vive nessa etapa | Fonte (confiavel? S/N) | Pode se perder/vazar/ficar obsoleto aqui? Como | Mitigacao. Destaque o reuso de pool e qualquer etapa onde o contexto vem do cliente sem revalidacao.

8.C Inventario de Vetores de Bypass

Lista: Objeto/canal (view / materialized view / trigger / funcao DEFINER / role service / replica / export / backup / sequence / cache / FK / UNIQUE) | Ignora a RLS/filtro? (S/N/parcial) | Quem alcanca | Risco | Acao.

9. Formato Obrigatorio da Resposta

Estruture a saida exatamente assim:

9.1 Resumo Executivo

  • 3 a 8 bullets: modelo de tenancy identificado, postura geral de isolamento de dados, piores riscos (leitura/escrita cross-tenant), temas recorrentes, e o que falta de contexto.

9.2 Achados (formato fixo, um bloco por achado)

Para cada achado:

  • ID: (ex.: TENANT-001)
  • Titulo: curto e especifico.
  • Categoria: Modelo de isolamento | Propagacao de contexto | RLS/forcar dados | Vazamento cross-tenant | Schema design | Roles/grants | Erro/Default.
  • Severidade / Prioridade / Confianca / Esforco.
  • Localizacao: tabela / policy / role / migration / arquivo / funcao / view / trecho (cite o real; se inferido, marque como inferencia).
  • Evidencia: o que na DDL/policy/grant/codigo demonstra o problema — ou a ausencia do mecanismo.
  • Impacto: o que um ator (qual tenant/role) consegue ler/escrever/inferir de outro tenant, por qual caminho.
  • Correcao: mudanca concreta (o "como"), com exemplo ilustrativo multi-stack quando util — ex.: SQL de RLS (Postgres), equivalente em SQL Server (SESSION_CONTEXT + security policy), abordagem para MySQL/SQLite (schema/db separado ou global filter de ORM), e ORMs (Prisma/EF/Hibernate). Marque sempre como ilustrativo.
  • Teste de validacao: teste negativo que prova a correcao (ex.: "como tenant B, SELECT/UPDATE sobre id de A retorna 0 linhas / erro de permissao", "INSERT com tenant_id de A e rejeitado pelo WITH CHECK", teste de matriz automatizado).

9.3 Matriz de Isolamento (Secao 8.A).

9.4 Mapa de Propagacao do Contexto (Secao 8.B).

9.5 Inventario de Vetores de Bypass (Secao 8.C).

9.6 Tabela Consolidada de Achados

  • Colunas: ID | Categoria | Severidade | Prioridade | Confianca | Esforco | Status.

9.7 Plano de Remediacao em Fases (tarefas e subtarefas)

  • Fase 0 — Contencao (P0): fechar leituras/escritas cross-tenant criticas (habilitar+FORCE RLS nas tabelas sensiveis; tirar a app da role service/owner; corrigir conexao apontando para tenant errado).
  • Fase 1 — Forcar no dado: RLS habilitada+FORCE+policy por operacao com USING/WITH CHECK em TODA tabela de tenant (ou filtro centralizado inescapavel onde nao ha RLS).
  • Fase 2 — Propagacao confiavel: contexto de tenant de fonte confiavel + cross-check de fontes; SET LOCAL/reset de pool para eliminar reuso de conexao; fail-closed sem contexto.
  • Fase 3 — Schema design: tenant_id + indice em toda tabela; UNIQUE e FK incluindo tenant_id; particao por tenant em escala; ids nao-sequenciais expostos.
  • Fase 4 — Vetores de bypass: auditar/corrigir views (security_invoker), MVs, triggers, funcoes DEFINER (revalidar tenant + search_path fixo), replicas/CDC/export/backup/staging.
  • Fase 5 — Menor privilegio: roles readonly/writer/migration; GRANT explicito; revogar PUBLIC; DEFAULT PRIVILEGES; nenhuma role de runtime com bypass.
  • Fase 6 — Verificacao continua: testes de matriz cross-tenant negativos no CI; lint/policy-as-code que falha se uma tabela de tenant nascer sem RLS/policy; checagem automatizada de grants e de FORCE RLS. Para cada tarefa: subtarefas, dependencias, esforco, dono sugerido e criterio de aceite (como saber que terminou e como provar).

9.8 Checklist Final

  • Lista marcavel cobrindo os 7 eixos da missao (Secao 2.2) + matriz + mapa de propagacao + inventario de bypass + plano, com estado (feito / pendente / bloqueado por contexto).

10. Orientacao por Stack (o que muda por ecossistema)

Exemplos ilustrativos, nao pressupostos. Generalize o principio; adapte ao banco-alvo real.

  • PostgreSQL (e compativeis: Aurora PG, CockroachDB, Yugabyte): RLS nativa. ENABLE + FORCE ROW LEVEL SECURITY; policies por operacao com USING/WITH CHECK; contexto via SET LOCAL app.tenant_id = ... / set_config('app.tenant_id', $1, true) lido por current_setting('app.tenant_id', true) na policy; role de runtime sem BYPASSRLS/superuser; views com security_invoker = true; funcoes DEFINER com SET search_path. Supabase: as policies usam auth.uid()/auth.jwt(); cuidado com service_role (bypassa RLS) usada no servidor — restrinja a usos administrativos.
  • SQL Server: RLS via Security Policies + predicate functions (FILTER e BLOCK predicates ~ USING/WITH CHECK); contexto via SESSION_CONTEXT/SET SESSION_CONTEXT; cuidado com CONTROL/db_owner que burlam policy; schemas como isolamento alternativo.
  • MySQL/MariaDB: sem RLS nativa robusta — isolamento via database/schema-per-tenant ou via views com DEFINER/SQL SECURITY INVOKER + filtro de aplicacao centralizado. Documente que o DB nao forca por si so; reforce o filtro no data layer e segregue grants por schema.
  • Oracle: VPD / DBMS_RLS (policies por operacao), Oracle Label Security, contexto via application contexts (SYS_CONTEXT); equivale conceitualmente a RLS.
  • SQLite / D1 / Turso (libSQL): sem RLS — isolamento por arquivo/banco-per-tenant (forte e simples em edge) ou filtro de aplicacao rigoroso; em D1, considere um DB por tenant quando viavel.
  • MongoDB: sem RLS de linha tradicional — isolamento por database/colecao-per-tenant ou discriminador tenantId em todo documento + views com filtro fixo + roles por colecao; aplique o filtro em um unico ponto (plugin/middleware do driver/ODM).
  • DynamoDB / Cassandra: isolamento por partition key liderada por tenant + IAM/condition keys (DynamoDB dynamodb:LeadingKeys) restringindo o principal aos itens do seu tenant; cuidado com GSIs que cruzam tenants.
  • ORMs / data layers: o filtro de tenant deve ser global e inescapavel — Hibernate @Filter/@TenantId/multi-tenancy strategy; EF Core HasQueryFilter (cuidado com IgnoreQueryFilters); Prisma client extension/middleware (cuidado com $queryRaw); SQLAlchemy event/with_loader_criteria; ActiveRecord default_scope; Eloquent global scopes (cuidado com withoutGlobalScope); GORM scopes. Regra: filtro de ORM e defesa em profundidade, nao substitui RLS/separacao no banco onde o banco a oferece.
  • Edge/serverless + pooling: PgBouncer/RDS Proxy/Data API e funcoes serverless reusam conexoes agressivamente — prefira SET LOCAL por transacao e evite estado de sessao; em pooling de modo transaction, SET de sessao nao e confiavel.

11. Armadilhas / Anti-padroes concretos (gotchas)

  • RLS habilitada sem FORCE, app rodando como owner: policies existem e parecem corretas, mas o owner as ignora — isolamento aparente, real zero.
  • App conectando com service_role/superuser/BYPASSRLS: a role mais conveniente bypassa tudo; "funciona em dev" e vaza em prod.
  • Policy so de SELECT: protege leitura, mas UPDATE/DELETE (e o INSERT sem WITH CHECK) deixam plantar/alterar/apagar dados de outro tenant.
  • WITH CHECK ausente: SELECT isolado, mas o usuario faz INSERT ... tenant_id = '<outro>' ou UPDATE SET tenant_id = '<outro>' e move/sequestra dados.
  • Reuso de conexao do pool com SET de sessao: request do tenant B herda o app.tenant_id do tenant A da conexao anterior — vazamento intermitente, dificil de reproduzir.
  • current_setting sem o segundo argumento true: lanca erro quando a var nao existe, derrubando requests; ou, mal tratado, vira string vazia que casa errado. Trate NULL/vazio como negar.
  • View nao-security_invoker: roda como o dono e expoe linhas de todos os tenants apesar da RLS nas tabelas-base.
  • Funcao SECURITY DEFINER sem search_path fixo: bypass de RLS + risco de sequestro de funcao/tabela por search_path manipulavel.
  • Materialized view / relatorio / export / replica de leitura: congelam ou espelham dados de todos os tenants sem policy; viram o canal de vazamento "pela porta dos fundos".
  • UNIQUE global: UNIQUE(email) em vez de UNIQUE(tenant_id, email) — o erro de duplicidade revela que o email existe em outro tenant, e quebra cadastro.
  • Sequence/serial exposta: ids sequenciais permitem enumeracao e medem o volume de outros tenants pelos gaps.
  • Cross-check ausente entre claim e subdominio/header: usuario do tenant A troca o subdominio/X-Tenant-Id para B; sem validar o claim contra essa fonte, age como B.
  • Staging/backup com copia de prod: dados reais de N tenants num ambiente com RLS/grants relaxados.
  • Migration que insere dados antes de habilitar RLS: janela em que a tabela esta exposta; ou migration que cria tabela em N schemas mas falha no meio, deixando um tenant sem policy.
  • Confiar so no filtro do ORM: IgnoreQueryFilters/withoutGlobalScope/$queryRaw/relatorio em SQL cru burla o filtro silenciosamente.

12. Regras de Qualidade e Auto-Verificacao

Antes de entregar, confirme:

  • Cobri os 7 eixos da missao (modelo, propagacao, forcar no dado, matriz, vazamentos, schema design, roles/grants) + os artefatos (matriz, mapa de propagacao, inventario de bypass) + plano com tarefas/subtarefas.
  • Identifiquei o modelo de tenancy real (ou declarei que falta confirmar) e avaliei seus trade-offs.
  • Para cada tabela com dado de tenant, verifiquei (ou marquei como nao verificado): discriminador presente + indexado, RLS habilitada e forcada (ou mecanismo equivalente), policy por operacao com USING/WITH CHECK, UNIQUE/FK incluindo tenant.
  • Tratei explicitamente o reuso de conexao do pool e o comportamento sem contexto (fail-closed).
  • Inventariei vetores de bypass (views, MVs, triggers, funcoes DEFINER, role de servico, replicas/CDC, export, backup, sequences, cache, FKs, UNIQUE).
  • Nao inventei tabelas/colunas/policies/roles/funcoes; o que e inferencia esta marcado; o que depende do DB vivo esta sinalizado.
  • Diferenciei confirmado / provavel / suspeito / precisa de contexto em cada achado.
  • Cada achado tem correcao concreta + teste de validacao negativo; nenhum conselho generico sem o "como".
  • Mantive agnosticismo de stack: exemplos marcados como ilustrativos e multi-ecossistema; nao tratei RLS como universal (apontei alternativas onde o banco nao a oferece).
  • Nenhum segredo/dado real exposto; nada que recomende logar dados de outro tenant ou PII.
  • Considerei caminho feliz e de erro, defaults, fallbacks, pool/transacao/concorrencia, papeis (incl. outro tenant e role de servico) e ambientes (incl. staging/replica).
  • Apontei sobreposicao com skills vizinhas (auth/authorization, privacy/LGPD, database-performance, data-integrity) sem refazer o trabalho delas.
  • O resultado e acionavel para um dev leigo e util para um engenheiro senior/DBA.
Install via CLI
npx skills add https://github.com/evertonfernandes3321-wq/mythos-skills --skill database-tenant-isolation-audit
Repository Details
star Stars 0
call_split Forks 0
navigation Branch main
article Path SKILL.md
More from Creator
evertonfernandes3321-wq
evertonfernandes3321-wq Explore all skills →