Praktik terbaik enkripsi untuk Amazon RDS - AWS Panduan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik enkripsi untuk Amazon RDS

Amazon Relational Database Service (Amazon RDS) membantu Anda menyiapkan, mengoperasikan, dan menskalakan database relasional (DB) di file. AWS Cloud Data yang dienkripsi saat istirahat mencakup penyimpanan yang mendasari untuk instans DB, pencadangan otomatisnya, replika baca, dan snapshot.

Berikut ini adalah pendekatan yang dapat Anda gunakan untuk mengenkripsi data saat istirahat dalam instance RDS DB:

  • Anda dapat mengenkripsi instans Amazon RDS DB dengan kunci AWS KMS keys terkelola atau kunci yang AWS dikelola pelanggan. Untuk informasi selengkapnya, lihat AWS Key Management Service dalam panduan ini.

  • Amazon RDS for Oracle dan Amazon RDS untuk SQL Server mendukung enkripsi instans DB dengan Transparent Data Encryption (TDE). Untuk informasi selengkapnya, lihat Oracle Transparent Data Encryption atau Support for Transparent Data Encryption di SQL Server.

    Anda dapat menggunakan kunci TDE dan KMS untuk mengenkripsi instance DB. Namun, ini dapat sedikit mempengaruhi kinerja database Anda, dan Anda harus mengelola kunci ini secara terpisah.

Berikut ini adalah pendekatan yang dapat Anda gunakan untuk mengenkripsi data dalam perjalanan ke atau dari instans RDS DB:

  • Untuk instans Amazon RDS DB yang menjalankan MariaDB, Microsoft SQL Server, MySQL, Oracle, atau PostgreSQL, Anda dapat menggunakan SSL untuk mengenkripsi koneksi. Untuk informasi selengkapnya, lihat Menggunakan SSL/TLS untuk mengenkripsi koneksi ke instans DB.

  • Amazon RDS for Oracle juga mendukung enkripsi jaringan asli Oracle (NNE), yang mengenkripsi data saat bergerak ke dan dari instance DB. Enkripsi NNE dan SSL tidak dapat digunakan secara bersamaan. Untuk informasi selengkapnya, lihat Enkripsi jaringan native Oracle.

Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini:

  • Saat menghubungkan ke Amazon RDS for SQL Server atau Amazon RDS untuk instans DB Amazon RDS for PostgreSQL untuk memproses, menyimpan, atau mengirimkan data yang memerlukan enkripsi, gunakan fitur Enkripsi Transportasi RDS untuk mengenkripsi koneksi. Anda dapat menerapkan ini dengan mengatur rds.force_ssl parameter ke 1 dalam grup parameter. Untuk informasi selengkapnya, lihat Bekerja dengan grup parameter. Amazon RDS for Oracle menggunakan enkripsi jaringan asli database Oracle.

  • Kunci terkelola pelanggan untuk enkripsi instans RDS DB harus digunakan semata-mata untuk tujuan itu dan tidak digunakan dengan yang lain Layanan AWS.

  • Sebelum mengenkripsi instans RDS DB, buat persyaratan kunci KMS. Kunci yang digunakan oleh instance tidak dapat diubah nanti. Misalnya, dalam kebijakan enkripsi Anda, tentukan standar penggunaan dan manajemen untuk kunci AWS terkelola atau kunci yang dikelola pelanggan, berdasarkan persyaratan bisnis Anda.

  • Saat mengotorisasi akses ke kunci KMS yang dikelola pelanggan, ikuti prinsip hak istimewa paling sedikit dengan menggunakan kunci kondisi dalam kebijakan IAM. Misalnya, untuk mengizinkan kunci terkelola pelanggan hanya digunakan untuk permintaan yang berasal dari Amazon RDS, gunakan kunci ViaService kondisi kms: dengan nilainya. rds.<region>.amazonaws.com Selain itu, Anda dapat menggunakan kunci atau nilai dalam konteks enkripsi Amazon RDS sebagai syarat untuk menggunakan kunci yang dikelola pelanggan.

  • Sangat disarankan agar Anda mengaktifkan cadangan untuk instans RDS DB terenkripsi. Amazon RDS dapat kehilangan akses ke kunci KMS untuk instans DB, seperti ketika kunci KMS tidak diaktifkan atau ketika akses RDS ke kunci KMS dicabut. Jika ini terjadi, instans DB terenkripsi masuk ke keadaan yang dapat dipulihkan selama tujuh hari. Jika instans DB tidak mendapatkan kembali akses ke kunci setelah tujuh hari, database menjadi tidak dapat diakses secara terminal dan harus dipulihkan dari cadangan. Untuk informasi selengkapnya, lihat Mengenkripsi instans DB.

  • Jika replika baca dan instans DB terenkripsi sama Wilayah AWS, Anda harus menggunakan kunci KMS yang sama untuk mengenkripsi keduanya.

  • Di AWS Config, terapkan aturan rds-storage-encrypted AWS terkelola untuk memvalidasi dan menegakkan enkripsi untuk instans RDS DB dan rds-snapshots-encryptedaturan untuk memvalidasi dan menegakkan enkripsi untuk snapshot database RDS.

  • Gunakan AWS Security Hub untuk mengevaluasi apakah sumber daya Amazon RDS Anda mengikuti praktik terbaik keamanan. Untuk informasi selengkapnya, lihat Kontrol Security Hub untuk Amazon RDS.