Sicherheit in Amazon RDS

Cloud-Sicherheit hat bei AWS höchste Priorität. Als AWS-Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die eingerichtet wurde, um die Anforderungen der anspruchsvollsten Organisationen in puncto Sicherheit zu erfüllen.

Sicherheit ist eine übergreifende Verantwortlichkeit zwischen AWS und Ihnen. Das Modell der geteilten Verantwortung beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:

• Sicherheit der Cloud – AWS ist dafür verantwortlich, die Infrastruktur zu schützen, mit der AWS-Services in der AWS-Cloud ausgeführt werden. AWS stellt Ihnen außerdem Services bereit, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der AWS-Compliance-Programme regelmäßig. Informationen zu den Compliance-Programmen, die für Amazon RDS gelten, finden Sie unter Vom Compliance-Programm abgedeckte AWS-Services.

• Sicherheit in der Cloud – Ihr Verantwortungsumfang wird durch den AWS-Service bestimmt, den Sie verwenden. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften.

Diese Dokumentation erläutert, wie das Modell der geteilten Verantwortung bei der Verwendung von Amazon RDS zum Tragen kommt. Die folgenden Themen veranschaulichen, wie Sie Amazon RDS zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie erfahren außerdem, wie Sie andere AWS-Services verwenden, um Ihre Amazon-RDS-Ressourcen zu überwachen und zu schützen.

Sie können den Zugriff auf Ihre Amazon RDS-Ressourcen und Ihre Datenbanken in einer DB-Instance verwalten. Die Methode, die Sie verwenden, um den Zugriff zu verwalten, hängt vom Aufgabentyp ab, den der Benutzer mit Amazon RDS ausführen möchte:

• Führen Sie Ihre DB-Instance in einer Virtual Private Cloud (VPC) basierend auf dem Amazon VPC-Service für die größtmögliche Netzwerkzugriffskontrolle aus. Weitere Informationen zum Erstellen einer DB-Instance in einer VPC finden Sie unter Amazon VPC VPCs und Amazon RDS.

• Verwenden Sie AWS Identity and Access Management-(IAM)-Zugriffsrichtlinien, um Berechtigungen zu erteilen, die festlegen, wer Amazon-RDS-Ressourcen verwalten darf. Beispielsweise können Sie IAM verwenden, um zu bestimmen, wer DB-Instances erstellen, beschreiben, ändern und löschen, Ressourcen taggen oder Sicherheitsgruppen ändern darf.

• Verwenden Sie Sicherheitsgruppen, um zu steuern, welche IP-Adressen oder Amazon EC2-Instances sich mit Ihren Datenbanken in einer DB-Instance verbinden können. Wenn Sie zum ersten Mal eine DB-Instance erstellen, verhindert deren/dessen Firewall jeglichen Datenbankzugriff, außer den Zugriff über Regeln, die in einer zugehörigen Sicherheitsgruppe festgelegt sind.

• Verwenden Sie Secure Socket Layer (SSL)- oder Transport Layer Security (TLS)-Verbindungen mit DB-Instances, die mit MySQL-, MariaDB-, PostgreSQL-, Oracle- oder Microsoft SQL Server-Datenbank-Engines laufen. Weitere Informationen über die Verwendung von SSL/TLS mit einer DB-Instance finden Sie unter Verwenden von SSL/TLS für die Verschlüsselung einer Verbindung zu einer DB-Instance.

• Verwenden Sie die Amazon-RDS-Verschlüsselung, um Ihre DB-Instancesund Schnappschüsse im Ruhezustand zu sichern. Die Amazon-RDS-Verschlüsselung verwendet den branchenüblichen AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, der Ihren DB-Instance hostet. Weitere Informationen finden Sie unter Verschlüsseln von Amazon RDS-Ressourcen.

• Verwenden Sie Netzwerkverschlüsselung und Transparent Data Encryption mit Oracle-DB-Instances. Weitere Informationen finden Sie unter Oracle Native Network Encryption und Oracle Transparent Data Encryption

• Verwenden Sie die Sicherheitsfunktionen Ihrer DB-Engine, um zu steuern, wer sich bei Ihren Datenbanken in einer DB-Instance anmelden kann. Diese Funktionen arbeiten genauso, als würden sich die Datenbanken in Ihrem lokalen Netzwerk befinden.

Anmerkung

Sie müssen die Sicherheit nur für Ihre Anwendungsfälle konfigurieren. Sie müssen den Sicherheitszugriff für Prozesse, die Amazon RDS verwaltet, nicht konfigurieren. Dazu gehört das Erstellen von Backups, das Replizieren von Daten zwischen einer primären DB-Instance und einem Lesereplikat und andere Prozesse.

Weitere Informationen zum Verwalten des Zugriffs auf Amazon-RDS-Ressourcen und Ihre Datenbanken in einer DB-Instance finden Sie unter den folgenden Themen.

Themen

• Datenbankauthentifizierung mit Amazon RDS
• Passwortverwaltung mit Amazon RDS und AWS Secrets Manager
• Datenschutz in Amazon RDS
• Identity and Access Management für Amazon RDS
• Protokollieren und Überwachen in Amazon RDS
• Compliance-Validierung für Amazon RDS
• Ausfallsicherheit in Amazon RDS
• Sicherheit der Infrastruktur in Amazon RDS
• Amazon-RDS-API und Schnittstellen-VPC-Endpunkte (AWS PrivateLink)
• Bewährte Methoden für die Sicherheit in Amazon RDS
• Zugriffskontrolle mit Sicherheitsgruppen
• Berechtigungen von Hauptbenutzerkonten
• Verwenden von serviceverknüpften Rollen für Amazon RDS
• Amazon VPC VPCs und Amazon RDS