Prácticas recomendadas de cifrado para Amazon RDS - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de cifrado para Amazon RDS

Amazon Relational Database Service (Amazon RDS) lo ayuda a configurar, utilizar y escalar una base de datos (DB) relacional en la Nube de AWS. Los datos cifrados en reposo incluyen el almacenamiento subyacente de las instancias de base de datos, sus copias de seguridad automatizadas, sus réplicas de lectura y sus instantáneas.

Los siguientes son los enfoques que puede utilizar para cifrar los datos en reposo en las instancias de base de datos de RDS:

  • Puede cifrar las instancias de base de datos de Amazon RDS con AWS KMS keys una clave gestionada o una clave AWS gestionada por el cliente. Para obtener más información, consulte la sección AWS Key Management Service de esta guía.

  • Amazon RDS para Oracle y Amazon RDS para SQL Server admiten el cifrado de instancias de base de datos con el cifrado de datos transparente (TDE). Para obtener más información, consulte el Cifrado de datos transparente de Oracle o la compatibilidad con el Cifrado de datos transparente en SQL Server.

    Puede utilizar las claves de TDE y KMS para cifrar las instancias de base de datos. Sin embargo, esto puede afectar levemente al rendimiento de la base de datos y debe administrar estas claves por separado.

Los siguientes son los enfoques que puede utilizar para cifrar los datos en tránsito hacia o desde las instancias de base de datos de RDS:

  • En el caso de una instancia de base de datos de Amazon RDS que ejecuta MariaDB, Microsoft SQL Server, MySQL, Oracle o PostgreSQL, se puede utilizar SSL para cifrar la conexión. Para obtener más información, consulte Cómo cifrar una conexión SSL/TLS a una instancia de base de datos.

  • Amazon RDS para Oracle también admite el cifrado de red nativo (NNE) de Oracle, que cifra datos durante su tránsito hacia y desde una instancia de base de datos. El cifrado de NNE y SSL no se puede utilizar en simultáneo. Para obtener más información, consulte Oracle Native Network Encryption.

Tenga en cuenta las siguientes prácticas recomendadas de cifrado para este servicio:

  • Al conectarse a instancias de base de datos de Amazon RDS para SQL Server o Amazon RDS para PostgreSQL a fin de procesar, almacenar o transmitir datos que requieren cifrado, utilice la característica Transport Encryption de RDS para cifrar la conexión. Puede implementarlo al establecer el parámetro rds.force_ssl en 1 en el grupo de parámetros. Para obtener más información, consulte Trabajo con los grupos de parámetros. Amazon RDS para Oracle utiliza el cifrado de red nativo de las bases de datos de Oracle.

  • Las claves administradas por el cliente para el cifrado de instancias de base de datos de RDS se deben utilizar solo con ese propósito y no con ningún otro Servicios de AWS.

  • Antes de cifrar una instancia de base de datos de RDS, establezca los requisitos clave de KMS. La clave que se utiliza en la instancia no se puede cambiar más adelante. Por ejemplo, en su política de cifrado, defina los estándares de uso y administración para las claves AWS administradas o las claves administradas por el cliente, en función de los requisitos de su empresa.

  • Al autorizar el acceso a una clave KMS gestionada por el cliente, siga el principio del mínimo privilegio mediante el uso de claves de condición en las políticas de IAM. Por ejemplo, para permitir que una clave gestionada por el cliente se utilice únicamente para solicitudes que se originen en Amazon RDS, utilice la clave de ViaService condición kms: con el rds.<region>.amazonaws.com valor. Además, puede utilizar claves o valores en el contexto de cifrado de Amazon RDS como condición para utilizar la clave gestionada por el cliente.

  • Se recomienda encarecidamente habilitar las copias de seguridad de las instancias de base de datos de RDS cifradas. Amazon RDS puede perder el acceso a la clave de KMS de una instancia de base de datos, por ejemplo, cuando la clave de KMS no se encuentra habilitada o cuando se revoca el acceso de RDS a una clave de KMS. Si esto ocurre, la instancia de base de datos cifrada pasa a un estado de recuperación durante siete días. Si la instancia de base de datos no recupera el acceso a la clave después de siete días, la base de datos pasa a ser inaccesible desde el punto de vista de terminal y se debe restaurar a partir de una copia de seguridad. Para obtener más información, consulte Cifrado de una instancia de base de datos.

  • Si una réplica de lectura y su instancia de base de datos cifrada se encuentran en la misma ubicación Región de AWS, debe utilizar la misma clave de KMS para cifrar ambas.

  • En AWS Config, implemente la regla rds-storage-encrypted AWS administrada para validar y aplicar el cifrado para las instancias de base de datos de RDS y la rds-snapshots-encryptedregla para validar y aplicar el cifrado para las instantáneas de bases de datos de RDS.

  • Úselo AWS Security Hub para evaluar si sus recursos de Amazon RDS siguen las prácticas recomendadas de seguridad. Para obtener más información, consulte Controles de Security Hub para Amazon RDS.