Bewährte Methoden zur Verschlüsselung für Amazon DynamoDB - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden zur Verschlüsselung für Amazon DynamoDB

Amazon DynamoDB ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt. Die gespeicherte DynamoDB-Verschlüsselung bietet eine zusätzliche Datenschutzebene, indem Ihre Daten in einer verschlüsselten Tabelle gesichert werden. Dazu gehören Primärschlüssel, lokale und globale sekundäre Indexe, Streams, globale Tabellen, Backups und DynamoDB-Accelerator-(DAX)-Cluster, wann immer die Daten auf dauerhaften Datenträgern gespeichert werden.

Gemäß den Anforderungen an die Datenklassifizierung können die Vertraulichkeit und Integrität der Daten durch die Implementierung einer server- oder clientseitigen Verschlüsselung gewährleistet werden:

Für die serverseitige Verschlüsselung können Sie beim Erstellen einer neuen Tabelle AWS KMS keys verwenden, um die Tabelle zu verschlüsseln. Sie können AWS eigene Schlüssel, AWS verwaltete Schlüssel oder vom Kunden verwaltete Schlüssel verwenden. Wir empfehlen die Verwendung kundenverwalteten Schlüssel, da Ihre Organisation die volle Kontrolle über den Schlüssel hat und weil bei Verwendung dieses Schlüsseltyps der Verschlüsselungsschlüssel auf Tabellenebene, die DynamoDB-Tabelle, die lokalen und globalen sekundären Indizes und Streams alle mit demselben Schlüssel verschlüsselt werden. Weitere Informationen zu diesen Schlüsseltypen finden Sie unter Kundenschlüssel und AWS Schlüssel.

Anmerkung

Sie können jederzeit zwischen einem AWS eigenen Schlüssel, einem AWS verwalteten Schlüssel und einem vom Kunden verwalteten Schlüssel wechseln.

Für die clientseitige Verschlüsselung und den end-to-end Schutz von Daten sowohl im Ruhezustand als auch bei der Übertragung können Sie den Amazon DynamoDB Encryption Client verwenden. Zusätzlich zur Verschlüsselung, die die Vertraulichkeit des Elementattributwerts schützt, signiert der DynamoDB-Encryption-Client das Element. Das ermöglicht Ihnen, nicht autorisierte Änderungen am gesamten Element zu erkennen, einschließlich des Hinzufügens oder Löschens von Attributen oder des Ersetzens eines verschlüsselten Werts durch einen anderen.

Bedenken Sie die folgenden bewährten Verschlüsselungsmethoden für diesen Service:

  • Beschränken Sie die Berechtigungen zur Deaktivierung oder zum geplanten Löschen des Schlüssels auf diejenigen Personen, die diese Aufgaben ausführen müssen. Diese Zustände verhindern, dass alle Benutzer und der DynamoDB-Service Daten ver- oder entschlüsseln und Lese- und Schreibvorgänge in der Tabelle durchführen können.

  • DynamoDB verschlüsselt Daten während der Übertragung standardmäßig mit HTTPS, es werden jedoch zusätzliche Sicherheitskontrollen empfohlen. Sie können alle der folgenden Optionen verwenden:

    • AWS Site-to-Site VPN Verbindung, die zur Verschlüsselung verwendet wird. IPsec

    • AWS Direct Connect Verbindung, um eine private Verbindung herzustellen.

    • AWS Direct Connect Verbindung mit AWS Site-to-Site VPN Verbindung für eine IPsec -verschlüsselte private Verbindung.

    • Wenn Sie nur innerhalb einer Virtual Private Cloud (VPC) Zugriff auf DynamoDB benötigen, können Sie einen VPC-Gateway-Endpunkt verwenden, um den Zugriff nur von der erforderlichen VPC aus zu beschränken. Dadurch wird verhindert, dass der Verkehr das öffentliche Internet durchquert.

  • Wenn Sie VPC-Endpunkte verwenden, beschränken Sie die Endpunktrichtlinien und IAM-Richtlinien, die dem Endpunkt zugeordnet sind, auf autorisierte Benutzer, Ressourcen und Services. Weitere Informationen finden Sie unter Steuern Sie den Zugriff auf DynamoDB-Endpunkte mithilfe von IAM-Richtlinien und Steuern des Zugriffs auf Services mit Endpunktrichtlinien.

  • Sie können die Datenverschlüsselung auf Spaltenebene auf Anwendungsebene für Daten implementieren, die gemäß Ihrer Verschlüsselungsrichtlinie verschlüsselt werden müssen.

  • Konfigurieren Sie DAX-Cluster so, dass Daten im Ruhezustand, z. B. Daten im Cache, Konfigurationsdaten und Protokolldateien, bei der Einrichtung des Clusters verschlüsselt werden. Sie können Verschlüsselung von Daten im Ruhezustand in einem vorhandenen Cluster nicht aktivieren. Diese serverseitige Verschlüsselung trägt dazu bei, Daten vor unbefugtem Zugriff durch den zugrunde liegenden Speicher zu schützen. Die DAX-Verschlüsselung im Ruhezustand wird automatisch in AWS KMS integriert, um den Single-Service-Standardschlüssel zu verwalten, der zur Verschlüsselung der Cluster verwendet wird. Wenn bei der Erstellung eines verschlüsselten DAX-Clusters kein Service-Standardschlüssel vorhanden ist, wird AWS KMS automatisch ein neuer AWS verwalteter Schlüssel erstellt. Weitere Informationen finden Sie unter DAX-Verschlüsselung im Ruhezustand.

    Anmerkung

    Vom Kunden verwaltete Schlüssel können nicht mit DAX-Clustern verwendet werden.

  • Konfigurieren Sie DAX-Cluster so, dass bei der Einrichtung des Clusters Daten während der Übertragung verschlüsselt werden. Sie können Verschlüsselung von Daten während der Übertragung in einem vorhandenen Cluster nicht aktivieren. DAX verwendet TLS, um Anfragen und Antworten zwischen der Anwendung und dem Cluster zu verschlüsseln, und es verwendet das x509-Zertifikat des Clusters, um die Identität des Clusters zu authentifizieren. Weitere Informationen finden Sie unter DAX-Verschlüsselung von Daten während der Übertragung.

  • Implementieren Sie in die dax-encryption-enabled AWS verwaltete Regel AWS Config, um die Verschlüsselung von DAX-Clustern zu validieren und aufrechtzuerhalten.