Seguridad en Amazon RDS

La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de una arquitectura de red y un centro de datos que están diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y el usuario. El modelo de responsabilidad compartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta los servicios de AWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS. Para obtener más información acerca de los programas de conformidad que se aplican a Amazon RDS, consulte los servicios de AWS en el ámbito del programa de conformidad.

• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. Usted también es responsable de otros factores incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Amazon RDS. En los siguientes temas, se le mostrará cómo configurar Amazon RDS para satisfacer sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS que ayuden a monitorear y proteger los recursos de Amazon RDS.

Es posible controlar el acceso a los recursos de Amazon RDS y sus bases de datos en una instancia. El método que se utiliza para controlar el acceso depende del tipo de tarea que el usuario necesite realizar con Amazon RDS:

• Ejecute su instancia en una nube privada virtual (VPC) basándose en el servicio de Amazon VPC para el posible control de acceso de red más grande. Para obtener más información acerca de la creación de una instancia en una VPC, consulte VPC de Amazon y Amazon RDS.

• Utilice políticas de AWS Identity and Access Management (IAM) para asignar permisos que determinen quién puede administrar los recursos de Amazon RDS. Por ejemplo, puede utilizar IAM para determinar quién tiene permiso para crear, describir, modificar y eliminar instancias de bases de datos, etiquetar recursos o modificar grupos de seguridad.

• Utilice grupos de seguridad para controlar las direcciones IP o instancias Amazon EC2 que pueden conectarse a las bases de datos de una instancia. Cuando se crea una instancia por primera vez, su firewall impide cualquier acceso a las bases de datos, salvo si se cumplen las reglas especificadas por un grupo de seguridad asociado.

• Utilice la capa de conexión segura (SSL) o la seguridad de la capa de transporte (TLS) con las instancias de base de datos que ejecuten los motores de base de datos Db2, MySQL, MariaDB, PostgreSQL, Oracle o Microsoft SQL Server. Para obtener más información sobre el uso de SSL/TLS con una instancia, consulte Uso de SSL/TLS para cifrar una conexión a una instancia o clúster de base de datos.

• Utilice el cifrado de Amazon RDS para proteger sus instancias de base de datos y las instantáneas en reposo. El cifrado de Amazon RDS utiliza el algoritmo de cifrado AES-256 estándar del sector para cifrar los datos en el servidor que aloja instancias de bases de datos. Para obtener más información, consulte Cifrado de recursos de Amazon RDS.

• Utilice el cifrado de red y el cifrado de datos transparente con las instancias de bases de datos de Oracle; para obtener más información, consulte Oracle Native Network Encryption y Cifrado de datos transparente de Oracle

• Utilice las características de seguridad del motor de base de datos para controlar quién puede iniciar sesión en las bases de datos de una instancia. Estas características funcionas de igual forma que si la base de datos estuviera en su red local.

nota

Solo tiene que configurar la seguridad para sus casos de uso. No tiene que configurar el acceso de seguridad para procesos que Amazon RDS administra. Estos incluyen la creación de copias de seguridad, la replicación de datos entre una instancia de base de datos primaria y una réplica de lectura, y otros procesos.

Para obtener más información acerca de la administración del acceso a los recursos de Amazon RDS y las bases de datos de una instancia, consulte los siguientes temas.

Temas

• Autenticación de bases de datos con Amazon RDS
• Administración de contraseñas con Amazon RDS y AWS Secrets Manager
• Protección de datos en Amazon RDS
• Administración de la identidad y el acceso en Amazon RDS
• Registro y monitoreo en Amazon RDS
• Validación de la conformidad en Amazon RDS
• Resiliencia en Amazon RDS
• Seguridad de la infraestructura en Amazon RDS
• La API de Amazon RDS y los puntos de enlace de la VPC de tipo interfaz (AWS PrivateLink)
• Prácticas recomendadas de seguridad para Amazon RDS
• Control de acceso con grupos de seguridad
• Privilegios de la cuenta de usuario maestro
• Uso de roles vinculados a servicios de Amazon RDS
• VPC de Amazon y Amazon RDS