Seguridad en AWS Database Migration Service

La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de una arquitectura de red y un centro de datos que están diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y el usuario. El modelo de responsabilidad compartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta los servicios de AWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS. Para obtener más información acerca de los programas de conformidad que se aplican a AWS DMS, consulte Servicios de AWS en el ámbito del programa de conformidad.

• Seguridad en la nube: su responsabilidad se determina según el servicio de AWS que utilice. Usted también es responsable de otros factores incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida a la hora de utilizar AWS DMS. Los siguientes temas le mostrarán cómo configurar AWS DMS para satisfacer sus objetivos de seguridad y de conformidad. También puede aprender a utilizar otros servicios de AWS que ayuden a monitorear y proteger los recursos de AWS DMS

Puede administrar el acceso a sus recursos y bases AWS DMS (BD). El método que utilice para administrar el acceso depende de la tarea de replicación que necesite realizar con AWS DMS:

• Utilice políticas de AWS Identity and Access Management (IAM) para asignar permisos que determinan quién puede administrar recursos de AWS DMS. AWS DMS requiere que tenga los permisos adecuados si inicia sesión como un usuario de IAM. Por ejemplo, puede utilizar IAM para determinar quién tiene permiso para crear, describir, modificar y eliminar instancias y clústeres de bases de datos, etiquetar recursos o modificar grupos de seguridad. Para obtener más información acerca de IAM y su uso con AWS DMS, consulte Gestión de identidad y acceso para AWS Database Migration Service.

• AWS DMS utiliza Secure Sockets Layer (SSL) para las conexiones de punto de enlace con Transport Layer Security (TLS). Para obtener más información sobre el uso de SAML con AWS DMS, consulte Uso de SSL con AWS Database Migration Service.

• AWS DMS utiliza claves de cifrado de AWS Key Management Service (AWS KMS) para cifrar el almacenamiento utilizado por la instancia de replicación y la información de conexión de punto de conexión. AWS DMS también utiliza claves de cifrado de AWS KMS para proteger los datos en reposo de destino para los puntos de conexión de destino de Amazon S3 y Amazon Redshift. Para obtener más información, consulte Configuración de una clave de cifrado y especificación de permisos de AWS KMS.

• AWS DMS siempre crea la instancia de replicación en una nube privada virtual (VPC) basada en el servicio de Amazon VPC para obtener el mayor control posible de acceso a la red. Para las instancias de base de datos y los clústeres de instancias, utilice la misma VPC que la instancia de replicación, o VPC adicionales para que coincidan con este nivel de control de acceso. Cada Amazon VPC que utilice debe estar asociada a un grupo de seguridad que tenga reglas que permitan que todo el tráfico de todos los puertos salga de la VPC. Este enfoque permite la comunicación entre la instancia de replicación y los puntos de enlace de su base de datos de origen y de destino, siempre que en dichos puntos de enlace se haya activado la entrada correcta.

  Para obtener más información acerca de las configuraciones de red disponibles para AWS DMS, consulte Configuración de una red para una instancia de replicación. Para obtener más información sobre la creación de una instancia de base de datos o un clúster de instancias en una VPC, consulte la documentación de seguridad y administración de clústeres para las bases de datos de Amazon en Documentación de AWS. Para obtener más información acerca de las configuraciones de red AWS DMS compatibles, consulte Configuración de una red para una instancia de replicación.

• Para consultar los registros de migración de la base de datos, necesita los permisos de registros de Amazon CloudWatch adecuados para el rol de IAM que está utilizando. Para obtener más información acerca del registro para AWS DMS, consulte Uso de Amazon CloudWatch para el monitoreo de tareas de replicación.

Temas

• Protección de los datos en AWS Database Migration Service
• Gestión de identidad y acceso para AWS Database Migration Service
• Validación de la conformidad en AWS Database Migration Service
• Resiliencia en AWS Database Migration Service
• Seguridad de la infraestructura en AWS Database Migration Service
• Control de acceso detallado mediante nombres de recursos y etiquetas
• Configuración de una clave de cifrado y especificación de permisos de AWS KMS
• Seguridad de la red para AWS Database Migration Service
• Uso de SSL con AWS Database Migration Service
• Cambio de la contraseña de la base de datos

Configuración de una clave de cifrado y especificación de permisos de AWS KMS

AWS DMS cifra el almacenamiento utilizado por una instancia de replicación y la información de conexión del punto de enlace. Para cifrar el almacenamiento que utiliza una instancia de replicación, AWS DMS usa una clave de AWS Key Management Service (AWS KMS) que es exclusiva en la cuenta de AWS. Puede ver y administrar esta clave con AWS KMS. Puede utilizar la clave KMS predeterminada en su cuenta (aws/dms) o crear una clave KMS personalizada. Si ya posee una clave KMS, también la puede utilizar para el cifrado.

nota

Cualquier clave de AWS KMS personalizada o existente que utilice como clave de cifrado debe ser una clave simétrica. AWS DMS no admite el uso de claves de cifrado asimétricas. Para obtener más información sobre claves de cifrado simétricas y asimétricas, consulte https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html en la Guía para desarrolladores de AWS Key Management Service.

La clave KMS predeterminada (aws/dms) se crea la primera vez que lanza una instancia de replicación, si no ha seleccionado ninguna clave KMS personalizada en la sección Opciones avanzadas de la página Crear instancia de replicación. Si utiliza la clave KMS predeterminada, los únicos permisos que debe otorgar a la cuenta de usuario de IAM que utilice para la migración son kms:ListAliases y kms:DescribeKey. Para obtener más información sobre el uso de la clave KMS predeterminada, consulte Permisos de IAM necesarios para utilizar AWS DMS.

Para utilizar una clave KMS personalizada, asigne permisos a la clave KMS personalizada utilizando una de las siguientes opciones:

• Agregue la cuenta de usuario de IAM utilizada para la migración como administrador de claves o usuario de clave a la clave de AWS KMS personalizada. Esto le permitirá que se concedan los permisos de AWS KMS necesarios a la cuenta de usuario de IAM. Esta acción se suma a los permisos de IAM que otorga a la cuenta de usuario de IAM para utilizar AWS DMS. Para obtener más información sobre la concesión de permisos a un usuario de claves, consulte Permite a los usuarios de claves utilizar la clave de KMS en la Guía para desarrolladores de AWS Key Management Service.

• Si no desea añadir la cuenta de usuario de IAM como administrador de claves o usuario de claves a su clave KMS personalizada, añada los siguientes permisos adicionales a los permisos de IAM que debe conceder a la cuenta de usuario de IAM para utilizar AWS DMS.

  
  {
              "Effect": "Allow",
              "Action": [
                  "kms:ListAliases",
                  "kms:DescribeKey",
                  "kms:CreateGrant",
                  "kms:Encrypt",
                  "kms:ReEncrypt*"
              ],
              "Resource": "*"
          },
              

AWS DMS también funciona con alias de clave KMS. Para obtener más información sobre cómo crear sus propias claves de AWS KMS y dar a los usuarios acceso a una clave de KMS, consulte la Guía para desarrolladores de AWS KMS.

Si no especifica un identificador de clave de KMS, entonces AWS DMS utiliza la clave de cifrado predeterminada. AWS KMS crea la clave de cifrado predeterminada para AWS DMS para la cuenta de AWS. La cuenta de AWS tiene una clave de cifrado predeterminada diferente para cada región de AWS.

Para administrar las claves de AWS KMS que se usan para cifrar y descifrar los recursos de AWS DMS, se utiliza AWS Key Management Service. AWS KMS combina hardware y software seguros y altamente disponibles para ofrecer un sistema de administración de claves escalado para la nube. Si utiliza AWS KMS, puede crear claves de cifrado y definir las políticas que controlan cómo se pueden utilizar dichas claves.

Puede encontrar AWS KMS en la AWS Management Console

1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

3. Elija una de las opciones siguientes para trabajar con claves de AWS KMS:

   • Si desea ver las claves de su cuenta que AWS crea y administra, en el panel de navegación, elija claves administradas por AWS.

   • Si desea ver las claves de la cuenta que usted crea y administra, en el panel de navegación, elija Customer managed keys (Claves administradas por el cliente).

AWS KMS es compatible con AWS CloudTrail, lo que permite auditar el uso de claves para comprobar que estas se utilizan de forma adecuada. Las claves de AWS KMS se pueden usar junto con AWS DMS y servicios compatibles con AWS como Amazon RDS, Amazon S3, Amazon Redshift y Amazon EBS.

También puede crear claves de AWS KMS personalizadas específicamente para cifrar datos de destino para los siguientes puntos de enlace de AWS DMS:

• Amazon Redshift: para obtener más información, consulte Creación y uso de claves de AWS KMS para cifrar datos de destino de Amazon Redshift.

• Amazon S3: para obtener más información, consulte Creación de claves de AWS KMS para cifrar objetos de destino de Amazon S3.

Una vez que haya creado sus recursos de AWS DMS con una clave KMS, ya no podrá cambiar la clave de cifrado de dichos recursos. Asegúrese de determinar los requisitos de clave de cifrado antes de crear sus recursos de AWS DMS.

Seguridad de la red para AWS Database Migration Service

Los requisitos de seguridad de la red que crea al utilizar AWS Database Migration Service dependerán de cómo configure la red. Las reglas generales para la seguridad de la red para AWS DMS son las siguientes:

• La instancia de replicación debe tener acceso a los puntos de enlace de origen y de destino. El grupo de seguridad para la instancia de replicación debe tener las ACL de red o las reglas que permiten dar salida desde la instancia del puerto de la base de datos a los puntos de enlace de la base de datos.

• Los puntos de enlace de la base de datos deben incluir las ACL de red y las reglas del grupo de seguridad que permiten el acceso entrante de la instancia de replicación. Puede hacerlo utilizando el grupo de seguridad de la instancia de replicación, la dirección IP privada, la dirección IP pública o la dirección pública de la gateway NAT, en función de su configuración.

• Si la red utiliza un túnel de VPN, la instancia de Amazon EC2, que actúa como la puerta de enlace NAT, debe utilizar un grupo de seguridad que disponga de reglas que permitan a la instancia de replicación enviar tráfico a través de dicho túnel.

De forma predeterminada, el grupo de seguridad de VPC que utiliza la instancia de replicación AWS DMS dispone de reglas que permiten salir a 0.0.0.0/0 en todos los puertos. Si modifica este grupo de seguridad o utiliza su propio grupo de seguridad, la salida debe estar permitida al menos a los puntos de enlace de origen y de destino en los puertos de la base de datos respectivos.

Las configuraciones de red que puede utilizar para la migración de bases de datos requieren consideraciones de seguridad específicas:

• Configuración con todos los componentes de migración de bases de datos en una VPC: el grupo de seguridad utilizado por los puntos de conexión debe permitir el ingreso al puerto de la base de datos desde la instancia de replicación. Asegúrese de que el grupo de seguridad utilizado por la instancia de replicación entra a los puntos de enlace. Otra opción es crear una regla en el grupo de seguridad que utilizan los puntos de enlace que otorgue acceso a la dirección IP privada de la instancia de replicación.

• Configuración con varias VPC: el grupo de seguridad utilizado por la instancia de replicación debe tener una regla para el rango de VPC y el puerto de la base de datos en la base de datos.

• Configuración de una red a una VPC mediante una AWS Direct Connect VPN: es un túnel de VPN que permite el tráfico a través del túnel desde la VPC a una VPN en las instalaciones. En esta configuración, la VPC incluye una regla de direccionamiento que envía el tráfico destinado a una dirección IP o a un rango específico a un host que puede conectar el tráfico de la VPC con la VPN local. En este caso, el host de NAT incluye su propia configuración del grupo de seguridad que debe permitir el tráfico desde la dirección IP privada o el grupo de seguridad de la instancia de replicación a la instancia NAT.

• Configuración de una red a una VPC mediante Internet: el grupo de seguridad de la VPC debe incluir reglas de enrutamiento que envíen el tráfico no destinado a la VPC a la puerta de enlace de Internet. En esta configuración, la conexión con el punto de enlace parece provenir de la dirección IP pública de la instancia de replicación.

• Configuración con una instancia de base de datos de RDS que no está en una VPC a una instancia de base de datos en una VPC mediante ClassicLink: cuando la instancia de base de datos de Amazon RDS de origen o destino no está en una VPC y no comparte un grupo de seguridad con la VPC en la que se encuentra la instancia de replicación, puede configurar un servidor proxy y utilizar ClassicLink para conectar las bases de datos de origen y destino.

• El punto de conexión de origen está fuera de la VPC que utiliza la instancia de replicación y usa una puerta de enlace NAT: puede configurar una puerta de enlace de traducción de las direcciones de red (NAT) mediante una única dirección IP elástica asociada a una única interfaz de red elástica. Esta interfaz de red elástica después recibe un identificador NAT (nat- #####). Si la VPC incluye una ruta predeterminada a dicho NAT en lugar de la gateway de Internet, la instancia de replicación aparece para ponerse en contacto con el punto de enlace de la base de datos mediante la dirección IP pública de la gateway de Internet. En este caso, la entrada al punto de enlace de la base de datos fuera de la VPC debe permitir la entrada de la dirección NAT en lugar de la dirección IP pública de la instancia de replicación.

• Puntos de conexión de VPC para motores que no sean de RDBMS: AWS DMS no es compatible con puntos de conexión de VPC para motores que no sean de RDBMS.

Cambio de la contraseña de la base de datos

En la mayoría de casos, cambiar la contraseña de la base de datos del punto de enlace de origen o de destino es un paso sencillo. Pero si necesita cambiar la contraseña de la base de datos de un punto de enlace que utiliza actualmente en una tarea de replicación o de migración, el proceso es algo más complejo. El procedimiento siguiente muestra cómo hacerlo.

Para cambiar la contraseña de la base de datos de un punto de enlace en una tarea de replicación o de migración

1. Inicie sesión en la AWS Management Console y abra la consola de AWS DMS en https://console.aws.amazon.com/dms/v2/.

   Si ha iniciado sesión como usuario de IAM, asegúrese de que dispone de los permisos adecuados para acceder a AWS DMS. Para obtener más información sobre los permisos que se necesitan, consulte Permisos de IAM necesarios para utilizar AWS DMS.

2. En el panel de navegación, elija Tareas de migración de base de datos.

3. Elija la tarea que utiliza el punto de enlace cuya contraseña de la base de datos desea cambiar y, a continuación, elija Stop.

4. Mientras la tarea está parada, puede cambiar la contraseña de la base de datos del punto de enlace utilizando las herramientas nativas que utiliza para trabajar con la base de datos.

5. Vuelva a la consola de administración de DMS y elija Endpoints en el panel de navegación.

6. Elija el punto de enlace de la base de datos del que ha cambiado la contraseña y, luego, elija Modify.

7. Escriba la nueva contraseña en la casilla Contraseña y, a continuación, elija Guardar.

8. En el panel de navegación, elija Tareas de migración de base de datos.

9. Elija la tarea que ha detenido anteriormente y elija Reiniciar/Reanudar.

10. Elija Reiniciar o Reanudar, en función de cómo desee continuar la tarea y, a continuación, elija Iniciar tarea.