Bewährte Methoden zur Verschlüsselung für Amazon RDS - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden zur Verschlüsselung für Amazon RDS

Amazon Relational Database Service (Amazon RDS) hilft Ihnen beim Einrichten, Betreiben und Skalieren einer relationalen Datenbank (DB) in der AWS Cloud. Daten, die im Ruhezustand verschlüsselt werden, umfassen den zugehörigen Speicherplatz für DB-Instances, deren automatisierte Backups, Lesereplikate und Snapshots.

Mit den folgenden Ansätzen können Sie Daten im Ruhezustand in RDS-DB-Instances verschlüsseln:

  • Sie können Amazon RDS-DB-Instances entweder mit AWS KMS keys einem AWS verwalteten Schlüssel oder einem vom Kunden verwalteten Schlüssel verschlüsseln. Weitere Informationen finden Sie unter AWS Key Management Service in diesem Handbuch.

  • Amazon RDS für Oracle und Amazon RDS für SQL Server unterstützen auch die Verschlüsselung von DB-Instances mit Transparent Data Encryption (TDE). Weitere Informationen finden Sie unter Oracle Transparent Data Encryption oder Unterstützung für Transparent Data Encryption in SQL Server.

    Sie können sowohl TDE- als auch KMS-Schlüssel verwenden, um DB-Instances zu verschlüsseln. Dies kann jedoch die Leistung Ihrer Datenbank geringfügig beeinträchtigen, und Sie müssen diese Schlüssel separat verwalten.

Mit den folgenden Ansätzen können Sie Daten während der Übertragung zu oder von RDS-DB-Instances verschlüsseln:

  • Für eine Amazon-RDS-DB-Instance, auf der MariaDB, Microsoft SQL Server, MySQL, Oracle oder PostgreSQL ausgeführt wird, können Sie SSL verwenden, um die Verbindung zu verschlüsseln. Weitere Informationen finden Sie unter Verwenden, SSL/TLS um eine Verbindung zu einer DB-Instance zu verschlüsseln.

  • Amazon RDS für Oracle unterstützt auch die native Netzwerkverschlüsselung von Oracle (NNE), die Daten verschlüsselt, während sie zu und von einer DB-Instance übertragen werden. NNE- und SSL-Verschlüsselung können nicht gleichzeitig verwendet werden. Weitere Informationen finden Sie unter Oracle native Netzwerkverschlüsselung.

Bedenken Sie die folgenden bewährten Verschlüsselungsmethoden für diesen Service:

  • Wenn Sie eine Verbindung zu DB-Instances von Amazon RDS für SQL Server oder Amazon RDS für PostgreSQL herstellen, um Daten zu verarbeiten, zu speichern oder zu übertragen, die eine Verschlüsselung erfordern, verwenden Sie das RDS-Transportverschlüsselungsfeature, um die Verbindung zu verschlüsseln. Sie können diese implementieren, indem Sie die rds.force_ssl-Parameter in der Parametergruppe auf 1 setzen. Weitere Informationen finden Sie unter Arbeiten mit Parametergruppen. Amazon RDS für Oracle verwendet die native Netzwerkverschlüsselung der Oracle-Datenbank.

  • Vom Kunden verwaltete Schlüssel für die Verschlüsselung von RDS-DB-Instances sollten ausschließlich für diesen Zweck und nicht zusammen mit anderen AWS-Services verwendet werden.

  • Bevor Sie eine RDS-DB-Instance verschlüsseln, legen Sie die KMS-Schlüsselanforderungen fest. Der von der Instance verwendete Schlüssel kann später nicht mehr geändert werden. Definieren Sie in Ihrer Verschlüsselungsrichtlinie beispielsweise Nutzungs- und Verwaltungsstandards für AWS verwaltete Schlüssel oder vom Kunden verwaltete Schlüssel auf der Grundlage Ihrer Geschäftsanforderungen.

  • Beachten Sie bei der Autorisierung des Zugriffs auf einen vom Kunden verwalteten KMS-Schlüssel das Prinzip der geringsten Rechte, indem Sie Bedingungsschlüssel in IAM-Richtlinien verwenden. Um beispielsweise zu ermöglichen, dass ein vom Kunden verwalteter Schlüssel nur für Anfragen verwendet wird, die ihren Ursprung in Amazon RDS haben, verwenden Sie den ViaService Bedingungsschlüssel kms: mit dem rds.<region>.amazonaws.com Wert. Darüber hinaus können Sie Schlüssel oder Werte im Amazon RDS-Verschlüsselungskontext als Voraussetzung für die Verwendung des vom Kunden verwalteten Schlüssels verwenden.

  • Es wird dringend empfohlen, Backups für verschlüsselte RDS-DB-Instances zu aktivieren. Amazon RDS kann den Zugriff auf den KMS-Schlüssel für eine DB-Instance verlieren, wenn der KMS-Schlüssel nicht aktiviert ist oder wenn der RDS-Zugriff auf einen KMS-Schlüssel gesperrt wird. Wenn das auftritt, geht die verschlüsselte DB-Instance für sieben Tage in einen wiederherstellbaren Zustand. Wenn die DB-Instance nach sieben Tagen nicht wieder auf den Schlüssel zugreifen kann, ist der Zugriff auf die Datenbank endgültig unmöglich und sie muss aus einem Backup wiederhergestellt werden. Weitere Informationen finden Sie unter Verschlüsselung einer DB-Instance.

  • Wenn sich eine Read Replica und ihre verschlüsselte DB-Instance in derselben befinden AWS-Region, müssen Sie denselben KMS-Schlüssel verwenden, um beide zu verschlüsseln.

  • Implementieren Sie in AWS Config die rds-storage-encrypted AWS verwaltete Regel zur Validierung und Durchsetzung der Verschlüsselung für RDS-DB-Instances und die rds-snapshots-encryptedRegel zur Validierung und Durchsetzung der Verschlüsselung für RDS-Datenbanksnapshots.

  • Verwenden Sie AWS Security Hub es, um zu bewerten, ob Ihre Amazon RDS-Ressourcen den bewährten Sicherheitsmethoden entsprechen. Weitere Informationen finden Sie unter Security Hub-Steuerelemente für Amazon RDS.