Konfigurieren von Sicherheitsprotokollen und Verschlüsselungen

Sie können bestimmte Sicherheitsprotokolle und Verschlüsselungen mithilfe von DB-Parametern ein- und ausschalten. Die Sicherheitsparameter, die Sie konfigurieren können (mit Ausnahme von TLS Version 1.2), werden in der folgenden Tabelle angezeigt.

Für andere Parameter alsrds.fips bedeutet der Wert vondefault, dass der Standardwert des Betriebssystems verwendet wird, ob es sich umenabled oder handeltdisabled.

Anmerkung

Sie können TLS 1.2 nicht deaktivieren, da Amazon RDS es intern verwendet.

DB-Parameter	Zulässige Werte (Standardwert in Fettdruck)	Beschreibung
rds.tls10	Standard, aktiviert, deaktiviert	TLS 1.0.
rds.tls11	Standard, aktiviert, deaktiviert	TLS 1.1.
rds.tls12	default	TLS 1.2. Dieser Wert kann nicht verändert werden.
rds.fips	0, 1	Wenn Sie den Parameter auf 1 setzen, erzwingt RDS die Verwendung von Modulen, die dem 140-2-Standard Federal Information Processing Standard (FIPS) entsprechen. Weitere Informationen finden Sie unter Verwenden von SQL Server 2016 im FIPS 140-2-konformen Modus in der Microsoft-Dokumentation. Anmerkung Sie müssen die DB-Instance nach der Änderung neu starten, um sie wirksam zu machen.
rds.rc4	Standard, aktiviert, deaktiviert	RC4-Stream-Verschlüsselung
rds.diffie-hellman	Standard, aktiviert, deaktiviert	Diffie-Hellman-Schlüsselaustausch-Verschlüsselung.
rds.diffie-hellman-min-key-bit-length	Standard, 1024, 2048, 4096	Minimale Bitlänge für Diffie-Hellman-Schlüssel.
rds.curve25519	Standard, aktiviert, deaktiviert	Curve25519 Verschlüsselungsverfahren mit elliptischer Kurve. Dieser Parameter wird nicht für alle Engine-Versionen unterstützt.
rds.3des168	Standard, aktiviert, deaktiviert	Dreifaches DES-Verschlüsselungsverfahren (Data Encryption Standard) mit einer 168-Bit-Schlüssellänge.

Anmerkung

Weitere Informationen zu den Standardwerten für Sicherheitsprotokolle und Verschlüsselungen von SQL Server finden Sie unter Protokolle in TLS/SSL (Schannel SSP) und Cipher Suites in TLS/SSL (Schannel SSP) in der Microsoft-Dokumentation.

Gehen Sie wie folgt vor, um die Sicherheitsprotokolle und Verschlüsselungen zu konfigurieren:

1. Erstellen Sie eine benutzerdefinierte DB-Parametergruppe.

2. Ändern Sie die Parameter in der Parametergruppe.

3. Ordnen Sie die neue DB-Parametergruppe der DB-Instance zu.

Weitere Informationen zu DB-Parametergruppen finden Sie unter Arbeiten mit Parametergruppen.

Erstellen der sicherheitsbezogenen Parametergruppe

Erstellen Sie eine Parametergruppe für Ihre sicherheitsbezogenen Parameter, die der SQL Server-Edition und der Version Ihrer DB-Instance entspricht.

Konsole

Im folgenden Verfahren wird eine Parametergruppe für SQL Server Standard Edition 2016 erstellt.

So erstellen Sie die Parametergruppe

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

2. Wählen Sie im Navigationsbereich Parameter groups (Parametergruppen) aus.

3. Wählen Sie Create parameter group (Parametergruppe erstellen).

4. Führen Sie im Bereich Parametergruppe erstellen die folgenden Schritte aus:

   1. Wählen Sie für Parametergruppenfamilie die Option sqlserver-se-13.0 aus.

   2. Geben Sie unter Gruppenname einen Bezeichner für die Parametergruppe ein, z. B. sqlserver-ciphers-se-13.

   3. Geben Sie für Beschreibung den Text Parameter group for security protocols and ciphers ein.

5. Wählen Sie Create aus.

CLI

Im folgenden Verfahren wird eine Parametergruppe für SQL Server Standard Edition 2016 erstellt.

So erstellen Sie die Parametergruppe

• Führen Sie einen der folgenden Befehle aus.

  Für Linux, macOSoder Unix:

  aws rds create-db-parameter-group \
      --db-parameter-group-name sqlserver-ciphers-se-13 \
      --db-parameter-group-family "sqlserver-se-13.0" \
      --description "Parameter group for security protocols and ciphers"

  Windows:

  aws rds create-db-parameter-group ^
      --db-parameter-group-name sqlserver-ciphers-se-13 ^
      --db-parameter-group-family "sqlserver-se-13.0" ^
      --description "Parameter group for security protocols and ciphers"

Ändern von sicherheitsbezogenen Parametern

Ändern Sie den sicherheitsbezogenen Parameter in der Parametergruppe, die der SQL Server-Edition und der Version Ihrer DB-Instance entspricht.

Konsole

Im folgenden Verfahren wird die Parametergruppe geändert, die Sie für SQL Server Standard Edition 2016 erstellt haben. In diesem Beispiel wird TLS-Version 1.0 deaktiviert.

So ändern Sie die Parametergruppe

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

2. Wählen Sie im Navigationsbereich Parameter groups (Parametergruppen) aus.

3. Wählen Sie die Parametergruppe aus, z. B. sqlserver-ciphers-se-13.

4. Filtern Sie unter Parameter die Parameterliste nach rds.

5. Wählen Sie Parameter bearbeiten aus.

6. Wählen Sie rds.tls10 aus.

7. Wählen Sie unter Werte die Option deaktiviert aus.

8. Wählen Sie Änderungen speichern aus.

CLI

Im folgenden Verfahren wird die Parametergruppe geändert, die Sie für SQL Server Standard Edition 2016 erstellt haben. In diesem Beispiel wird TLS-Version 1.0 deaktiviert.

So ändern Sie die Parametergruppe

• Führen Sie einen der folgenden Befehle aus.

  Für Linux, macOSoder Unix:

  aws rds modify-db-parameter-group \
      --db-parameter-group-name sqlserver-ciphers-se-13 \
      --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

  Windows:

  aws rds modify-db-parameter-group ^
      --db-parameter-group-name sqlserver-ciphers-se-13 ^
      --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

Zuordnen der sicherheitsbezogenen Parametergruppe zu Ihrer DB-Instance

Um die Parametergruppe Ihrer DB-Instance zuzuordnen, verwenden Sie die AWS Management Console oder die AWS CLI.

Konsole

Sie können die Parametergruppe einer neuen oder vorhandenen DB-Instance zuordnen:

• Bei einer neuen DB-Instance ordnen Sie diese zu, wenn Sie die Instance starten. Weitere Informationen finden Sie unter Erstellen einer Amazon RDS-DB-Instance.

• Bei einer vorhandenen DB-Instance ordnen Sie diese zu, indem Sie die Instance ändern. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.

CLI

Sie können die Parametergruppe einer neuen oder einer vorhandenen DB-Instance zuordnen.

So erstellen Sie eine DB-Instance mit der Parametergruppe

• Geben Sie denselben DB-Engine-Typ und dieselbe Hauptversion an, die Sie beim Erstellen der Parametergruppe verwendet haben.

  Für Linux, macOSoder Unix:

  aws rds create-db-instance \
      --db-instance-identifier mydbinstance \
      --db-instance-class db.m5.2xlarge \
      --engine sqlserver-se \
      --engine-version 13.00.5426.0.v1 \
      --allocated-storage 100 \
      --master-user-password secret123 \
      --master-username admin \
      --storage-type gp2 \
      --license-model li \
      --db-parameter-group-name sqlserver-ciphers-se-13

  Windows:

  aws rds create-db-instance ^
      --db-instance-identifier mydbinstance ^
      --db-instance-class db.m5.2xlarge ^
      --engine sqlserver-se ^
      --engine-version 13.00.5426.0.v1 ^
      --allocated-storage 100 ^
      --master-user-password secret123 ^
      --master-username admin ^
      --storage-type gp2 ^
      --license-model li ^
      --db-parameter-group-name sqlserver-ciphers-se-13

  Anmerkung

  Geben Sie aus Sicherheitsgründen ein anderes Passwort als hier angegeben an.

So ändern Sie eine DB-Instance und ordnen die Parametergruppe zu

• Führen Sie einen der folgenden Befehle aus.

  Für Linux, macOSoder Unix:

  aws rds modify-db-instance \
      --db-instance-identifier mydbinstance \
      --db-parameter-group-name sqlserver-ciphers-se-13 \
      --apply-immediately

  Windows:

  aws rds modify-db-instance ^
      --db-instance-identifier mydbinstance ^
      --db-parameter-group-name sqlserver-ciphers-se-13 ^
      --apply-immediately