Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dei protocolli di protezione e dei cifrari
È possibile attivare e disattivare determinati protocolli di sicurezza e cifrari utilizzando i parametri DB. I parametri di protezione che è possibile configurare (ad eccezione della versione 1.2 di TLS) sono riportati nella tabella seguente.
Per parametri diversi da rds.fips
, un valore di default
indica che viene utilizzato il valore predefinito del sistema operativo, sia esso enabled
o disabled
.
Nota
Non è possibile disabilitare TLS 1.2, perché Amazon RDS lo utilizza internamente.
Parametro DB | Valori consentiti (impostazione predefinita in grassetto) | Descrizione |
---|---|---|
rds.tls10 | Impostazione predefinita, abilitato, disabilitato | TLS 1.0. |
rds.tls11 | Impostazione predefinita, abilitato, disabilitato | TLS 1.1. |
rds.tls12 | default | TLS 1.2. Non è possibile modificare questo valore. |
rds.fips | 0, 1 |
Quando si imposta il parametro su 1, RDS impone l'uso di moduli conformi allo standard Federal Information Processing Standard (FIPS) 140-2. Per ulteriori informazioni, consulta Use SQL Server 2016 in FIPS 140-2-compliant mode (Utilizza SQL Server 2016 in modalità conforme a FIPS 140-2) NotaÈ necessario riavviare l'istanza database dopo la modifica per renderla efficace. |
rds.rc4 | Impostazione predefinita, abilitato, disabilitato | Cifratura flusso RC4. |
rds.diffie-hellman | Impostazione predefinita, abilitato, disabilitato | Crittografia dello scambio chiavi Diffie-Hellman. |
rossi. diffie-hellman-min-key-lunghezza del bit | Impostazione predefinita, 1024, 2048, 4096 | Lunghezza minima del bit per le chiavi Diffie-Hellman. |
rds.curve25519 | Impostazione predefinita, abilitato, disabilitato | Crittografia Curve25519 a curva ellittica. Questo parametro non è supportato per tutte le versioni del motore. |
rds.3des168 | Impostazione predefinita, abilitato, disabilitato | Crittografia DES (Triple Data Encryption Standard) con una lunghezza di chiave a 168 bit. |
Nota
Per ulteriori informazioni sui valori predefiniti per i protocolli di sicurezza e le cifrature di SQL Server, consulta Protocolli in TLS/SSL (Schannel SSP)
Per configurare i protocolli e i cifrari di sicurezza, attenersi alla procedura descritta di seguito.
-
Creare un gruppo di parametri DB personalizzato.
-
Modificare i parametri nel gruppo di parametri.
-
Associare il gruppo di parametri DB all'istanza database.
Per ulteriori informazioni sui gruppi di parametri database, consulta Utilizzo di gruppi di parametri.
Creazione del gruppo di parametri relativi alla sicurezza
Creare un gruppo di parametri per i parametri relativi alla sicurezza che corrisponde all'edizione di SQL Server e alla versione dell'istanza database.
Nella procedura seguente viene creato un gruppo di parametri per SQL Server Standard Edition 2016.
Per creare il gruppo di parametri
Accedi alla AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/
. -
Nel pannello di navigazione, scegli Parameter groups (Gruppi di parametri).
-
Scegliere Create parameter group (Crea gruppo di parametri).
-
Nel riquadro Create parameter group (Crea gruppi di parametri), procedi nel modo seguente:
-
Per Famiglia del gruppo di parametri, scegliere sqlserver-se-13.0.
-
Per Group name (Nome gruppo), immettere un identificatore per il gruppo di parametri, ad esempio
sqlserver-ciphers-se-13
. -
Per Description (Descrizione), immettere
Parameter group for security protocols and ciphers
.
-
-
Scegliere Create (Crea).
Nella procedura seguente viene creato un gruppo di parametri per SQL Server Standard Edition 2016.
Per creare il gruppo di parametri
-
Eseguire uno dei seguenti comandi.
PerLinux, o: macOS Unix
aws rds create-db-parameter-group \ --db-parameter-group-name
sqlserver-ciphers-se-13
\ --db-parameter-group-family "sqlserver-se-13.0
" \ --description "Parameter group for security protocols and ciphers
"Per Windows:
aws rds create-db-parameter-group ^ --db-parameter-group-name
sqlserver-ciphers-se-13
^ --db-parameter-group-family "sqlserver-se-13.0
" ^ --description "Parameter group for security protocols and ciphers
"
Modifica dei parametri relativi alla sicurezza
Modificare i parametri relativi alla sicurezza nel gruppo di parametri che corrisponde all'edizione di SQL Server e alla versione dell'istanza database.
Nella procedura seguente, il gruppo di parametri creato per SQL Server Standard Edition 2016 viene modificato. In questo esempio viene disattivata la versione 1.0 di TLS.
Per modificare il gruppo di parametri
Accedi alla AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/
. -
Nel riquadro di navigazione scegliere Parameter groups (Gruppi di parametri).
-
Scegliete il gruppo di parametri, ad esempio sqlserver-ciphers-se-13.
-
In Parameters (Parametri), filtrare l'elenco dei parametri per
rds
. -
Scegliere Edit parameters (Modifica parametri).
-
Scegliere rds.tls10.
-
Per Values (Valori), scegliere Disabled (Disabilitato).
-
Seleziona Save changes (Salva modifiche).
Nella procedura seguente, il gruppo di parametri creato per SQL Server Standard Edition 2016 viene modificato. In questo esempio viene disattivata la versione 1.0 di TLS.
Per modificare il gruppo di parametri
-
Eseguire uno dei seguenti comandi.
Per LinuxmacOS, oUnix:
aws rds modify-db-parameter-group \ --db-parameter-group-name
sqlserver-ciphers-se-13
\ --parameters "ParameterName='rds.tls10
',ParameterValue='disabled
',ApplyMethod=pending-reboot"Per Windows:
aws rds modify-db-parameter-group ^ --db-parameter-group-name
sqlserver-ciphers-se-13
^ --parameters "ParameterName='rds.tls10
',ParameterValue='disabled
',ApplyMethod=pending-reboot"
Associazione del gruppo di parametri relativi alla sicurezza all'istanza database
Per associare il gruppo di parametri all'istanza database, utilizzare AWS Management Console o AWS CLI.
È possibile associare il gruppo di parametri a un'istanza database nuova o esistente:
-
Per una nuova istanza database, associarli all'avvio dell'istanza. Per ulteriori informazioni, consulta Creazione di un'istanza database Amazon RDS.
-
Per un'istanza database esistente, associarli modificando l'istanza. Per ulteriori informazioni, consulta Modifica di un'istanza database Amazon RDS.
È possibile associare il gruppo di parametri a un'istanza database nuova o esistente:
Per creare un'istanza database con il gruppo di parametri
-
Specificare lo stesso tipo di motore di database e la versione principale utilizzati durante la creazione del gruppo di parametri.
Per LinuxmacOS, oUnix:
aws rds create-db-instance \ --db-instance-identifier
mydbinstance
\ --db-instance-classdb.m5.2xlarge
\ --enginesqlserver-se
\ --engine-version13.00.5426.0.v1
\ --allocated-storage100
\ --master-user-passwordsecret123
\ --master-usernameadmin
\ --storage-typegp2
\ --license-modelli
\ --db-parameter-group-namesqlserver-ciphers-se-13
Per Windows:
aws rds create-db-instance ^ --db-instance-identifier
mydbinstance
^ --db-instance-classdb.m5.2xlarge
^ --enginesqlserver-se
^ --engine-version13.00.5426.0.v1
^ --allocated-storage100
^ --master-user-passwordsecret123
^ --master-usernameadmin
^ --storage-typegp2
^ --license-modelli
^ --db-parameter-group-namesqlserver-ciphers-se-13
Nota
Specifica una password diversa dal prompt mostrato qui come best practice per la sicurezza.
Per modificare un'istanza database e associare il gruppo di parametri
-
Eseguire uno dei seguenti comandi.
Per LinuxmacOS, oUnix:
aws rds modify-db-instance \ --db-instance-identifier
mydbinstance
\ --db-parameter-group-namesqlserver-ciphers-se-13
\ --apply-immediatelyPer Windows:
aws rds modify-db-instance ^ --db-instance-identifier
mydbinstance
^ --db-parameter-group-namesqlserver-ciphers-se-13
^ --apply-immediately