Sicurezza in AWS Database Migration Service

La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

La sicurezza è una responsabilità condivisa tra AWS te e te. Il modello di responsabilità condivisa descrive questo come sicurezza del cloud e sicurezza nel cloud:

• Sicurezza del cloud: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei programmi di conformitàAWS. Per maggiori informazioni sui programmi di conformità applicabili AWS DMS, consulta la sezione AWS Servizi rientranti nell'ambito del programma di conformità.

• Sicurezza nel cloud: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda, nonché le leggi e le normative applicabili.

Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS DMS. I seguenti argomenti mostrano come eseguire la configurazione AWS DMS per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere AWS DMS le tue risorse.

Puoi gestire l'accesso alle tue AWS DMS risorse e ai tuoi database (DBs). Il metodo utilizzato per gestire l'accesso dipende dall'attività di replica da eseguire con AWS DMS:

• Utilizzate le politiche AWS Identity and Access Management (IAM) per assegnare le autorizzazioni che determinano chi è autorizzato a gestire le risorse. AWS DMS AWS DMS richiede che tu disponga delle autorizzazioni appropriate se accedi come utente. IAM Ad esempio, puoi utilizzare IAM per determinare chi è autorizzato a creare, descrivere, modificare ed eliminare cluster e istanze database, applicare tag alle risorse oppure modificare i gruppi di sicurezza. Per ulteriori informazioni IAM e per utilizzarlo con AWS DMS, consultaGestione delle identità e degli accessi per AWS Database Migration Service.

• AWS DMS utilizza Secure Sockets Layer (SSL) per le connessioni degli endpoint con Transport Layer Security ()TLS. Per ulteriori informazioni sull'utilizzo diSSL/TLSwith AWS DMS, vedere. Utilizzo con SSL AWS Database Migration Service

• AWS DMS utilizza le chiavi di crittografia AWS Key Management Service (AWS KMS) per crittografare lo storage utilizzato dall'istanza di replica e le relative informazioni di connessione all'endpoint. AWS DMS utilizza anche chiavi di AWS KMS crittografia per proteggere i dati di destinazione inattivi per gli endpoint di destinazione Amazon S3 e Amazon Redshift. Per ulteriori informazioni, consulta Impostazione di una chiave di crittografia e specificazione delle autorizzazioni AWS KMS.

• AWS DMS crea sempre la tua istanza di replica in un cloud privato virtuale (VPC) basato sul VPC servizio Amazon per il massimo controllo possibile degli accessi alla rete. Per le istanze DB e i cluster di istanze, utilizza la stessa VPC istanza di replica o un'altra istanza VPCs per soddisfare questo livello di controllo degli accessi. Ogni Amazon VPC che utilizzi deve essere associato a un gruppo di sicurezza con regole che consentano a tutto il traffico su tutte le porte di uscire (uscire) dalVPC. Questo approccio consente la comunicazione dall'istanza di replica agli endpoint dei database di origine e di destinazione, purché su tali endpoint sia abilitato l'ingresso corretto.

  Per ulteriori informazioni sulle configurazioni di rete disponibili per AWS DMS, consulta. Configurazione di una rete per un'istanza di replica Per ulteriori informazioni sulla creazione di un'istanza DB o di un cluster di istanze in aVPC, consulta la documentazione sulla sicurezza e la gestione dei cluster per i tuoi database Amazon nella AWS documentazione. Per ulteriori informazioni sulle configurazioni di rete supportate da AWS DMS , consulta Configurazione di una rete per un'istanza di replica.

• Per visualizzare i log di migrazione del database, sono necessarie le autorizzazioni Amazon CloudWatch Logs appropriate per il IAM ruolo che stai utilizzando. Per ulteriori informazioni sulla registrazione per AWS DMS, consulta Monitoraggio delle attività di replica tramite Amazon CloudWatch.

Argomenti

• Protezione dei dati in AWS Database Migration Service

• Gestione delle identità e degli accessi per AWS Database Migration Service

• Convalida della conformità per AWS Database Migration Service

• Resilienza in AWS Database Migration Service

• Sicurezza dell'infrastruttura nell' AWS Database Migration Service

• Controllo granulare degli accessi tramite i nomi e i tag delle risorse

• Impostazione di una chiave di crittografia e specificazione delle autorizzazioni AWS KMS

• Sicurezza di rete per AWS Database Migration Service

• Utilizzo con SSL AWS Database Migration Service

• Modifica della password del database

• Utilizzo dell'autenticazione Kerberos con AWS Database Migration Service

Impostazione di una chiave di crittografia e specificazione delle autorizzazioni AWS KMS

AWS DMS crittografa lo storage utilizzato da un'istanza di replica e le informazioni di connessione all'endpoint. Per crittografare lo storage utilizzato da un'istanza di replica, AWS DMS utilizza una chiave AWS Key Management Service (AWS KMS) univoca per l'account. AWS È possibile visualizzare e gestire questa chiave con. AWS KMS Puoi utilizzare la chiave KMS predefinita nel tuo account (aws/dms) o puoi creare una chiave KMS personalizzata. Per la crittografia, puoi anche utilizzare un'eventuale chiave KMS esistente.

Nota

Qualsiasi chiave personalizzata o esistente utilizzata come AWS KMS chiave di crittografia deve essere una chiave simmetrica. AWS DMS non supporta l'uso di chiavi di crittografia asimmetriche. Per ulteriori informazioni sulle chiavi di crittografia simmetriche e asimmetriche, consulta https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html nella Guida per gli sviluppatori di AWS Key Management Service .

La KMS chiave predefinita (aws/dms) viene creata al primo avvio di un'istanza di replica, se non è stata selezionata una KMS chiave personalizzata dalla sezione Avanzate della pagina Crea istanza di replica. Se utilizzi la KMS chiave predefinita, le uniche autorizzazioni che devi concedere all'account IAM utente che stai utilizzando per la migrazione sono e. kms:ListAliases kms:DescribeKey Per ulteriori informazioni su come utilizzare la chiave KMS predefinita, consulta IAMautorizzazioni necessarie per l'uso AWS DMS.

Per usare una chiave KMS personalizzata, assegna le autorizzazioni per la chiave KMS personalizzata utilizzando una delle opzioni riportate di seguito:

• Aggiungi l'account IAM utente utilizzato per la migrazione come amministratore chiave o utente chiave per la chiave AWS KMS personalizzata. In questo modo si garantisce che all'account IAM utente vengano concesse le AWS KMS autorizzazioni necessarie. Questa azione si aggiunge alle IAM autorizzazioni che concedi all'account IAM utente da utilizzare. AWS DMSPer ulteriori informazioni sulla concessione delle autorizzazioni a un utente chiave, consulta Permette agli utenti chiave di utilizzare la KMS chiave nella Guida per gli AWS Key Management Service sviluppatori.

• Se non desideri aggiungere l'account IAM utente come amministratore chiave o utente chiave per la tua KMS chiave personalizzata, aggiungi le seguenti autorizzazioni aggiuntive alle autorizzazioni che devi concedere all'account IAM utente da utilizzare. IAM AWS DMS

  
  {
              "Effect": "Allow",
              "Action": [
                  "kms:ListAliases",
                  "kms:DescribeKey",
                  "kms:CreateGrant",
                  "kms:Encrypt",
                  "kms:ReEncrypt*"
              ],
              "Resource": "*"
          },
              

AWS DMS funziona anche con gli alias KMS chiave. Per ulteriori informazioni sulla creazione di AWS KMS chiavi personalizzate e sulla concessione agli utenti di accedere a una KMS chiave, consulta la Guida per gli AWS KMS sviluppatori.

Se non specifichi un identificatore di KMS chiave, AWS DMS utilizza la chiave di crittografia predefinita. AWS KMS crea la chiave di crittografia predefinita AWS DMS per il tuo AWS account. Il tuo AWS account ha una chiave di crittografia predefinita diversa per ogni AWS regione.

Per gestire le AWS KMS chiavi utilizzate per crittografare le AWS DMS risorse, utilizza il AWS Key Management Service. AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Utilizzando AWS KMS, è possibile creare chiavi di crittografia e definire le politiche che controllano il modo in cui tali chiavi possono essere utilizzate.

È possibile trovare AWS KMS nel AWS Management Console

1. Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

3. Scegliete una delle seguenti opzioni per lavorare con i tasti: AWS KMS

   • Per visualizzare le chiavi dell'account che AWS crea e gestisce per te, nel riquadro di navigazione, scegli chiavi AWS gestite.

   • Per visualizzare le chiavi nell'account creato e gestito dall'utente, nel riquadro di navigazione, seleziona Chiavi gestite dal cliente.

AWS KMS supporta AWS CloudTrail, in modo da poter controllare l'utilizzo delle chiavi per verificare che le chiavi vengano utilizzate in modo appropriato. AWS KMS Le tue chiavi possono essere utilizzate in combinazione con AWS DMS AWS servizi supportati come AmazonRDS, Amazon S3, Amazon Redshift e Amazon. EBS

Puoi anche creare AWS KMS chiavi personalizzate specificamente per crittografare i dati di destinazione per i seguenti endpoint: AWS DMS

• Amazon Redshift: per ulteriori informazioni, consulta Creazione e utilizzo di AWS KMS chiavi per crittografare i dati di destinazione di Amazon Redshift.

• Amazon S3: per ulteriori informazioni, consulta Creazione di AWS KMS chiavi per crittografare gli oggetti di destinazione di Amazon S3.

Dopo aver creato le AWS DMS risorse con una KMS chiave, non è possibile modificare la chiave di crittografia per tali risorse. Assicurati di determinare i requisiti della chiave di crittografia prima di creare AWS DMS le tue risorse.

Sicurezza di rete per AWS Database Migration Service

I requisiti di sicurezza per la rete che crei durante l'utilizzo AWS Database Migration Service dipendono da come configuri la rete. Le regole generali per la sicurezza della rete per AWS DMS sono le seguenti:

• L'istanza di replica deve avere accesso agli endpoint di origine e di destinazione. Il gruppo di sicurezza per l'istanza di replica deve disporre di una rete ACLs o di regole che consentano l'uscita dall'istanza dalla porta del database verso gli endpoint del database.

• Gli endpoint del database devono includere regole di rete ACLs e di gruppo di sicurezza che consentano l'accesso in entrata dall'istanza di replica. È possibile ottenere ciò utilizzando il gruppo di sicurezza dell'istanza di replica, l'indirizzo IP privato, l'indirizzo IP pubblico o l'indirizzo pubblico del NAT gateway, a seconda della configurazione.

• Se la rete utilizza un VPN tunnel, l'EC2istanza Amazon che funge da NAT gateway deve utilizzare un gruppo di sicurezza con regole che consentano all'istanza di replica di inviare traffico attraverso di essa.

Per impostazione predefinita, il gruppo VPC di sicurezza utilizzato dall'istanza di AWS DMS replica dispone di regole che consentono l'uscita fino a 0.0.0.0/0 su tutte le porte. Se modifichi il gruppo di sicurezza o utilizzi il tuo gruppo di sicurezza, l'uscita deve quantomeno essere consentita verso gli endpoint di origine e di destinazione sulle rispettive porte del database.

Ogni configurazione di rete che puoi utilizzare per la migrazione del database richiede considerazioni di sicurezza specifiche:

• Configurazione con tutti i componenti di migrazione del database in un VPC: il gruppo di sicurezza utilizzato dagli endpoint deve consentire l'ingresso sulla porta del database dall'istanza di replica. Assicurati che il gruppo di sicurezza utilizzato dall'istanza di replica abbia ingresso agli endpoint; in caso contrario, puoi creare una regola nel gruppo di sicurezza utilizzato dagli endpoint, che autorizzi l'indirizzo IP privato dell'accesso all'istanza di replica.

• Configurazione con più VPCs— Il gruppo di sicurezza utilizzato dall'istanza di replica deve avere una regola per l'VPCintervallo e la porta DB sul database.

• Configurazione per una rete verso un VPC utilizzando AWS Direct Connect o una VPN— un VPN tunnel che consente al traffico di transitare dall'VPCinterno a un localeVPN. In questa configurazione, VPC include una regola di routing che invia il traffico destinato a un indirizzo o intervallo IP specifico a un host VPC in grado di collegare il traffico dall'ambiente locale a quello locale. VPN In questo caso, l'NAThost include le proprie impostazioni del gruppo di sicurezza che devono consentire il traffico dall'indirizzo IP privato o dal gruppo di sicurezza dell'istanza di replica all'istanza. NAT

• Configurazione di una rete per un VPC mediante Internet— Il gruppo VPC di sicurezza deve includere regole di routing che inviano il traffico non destinato VPC al gateway Internet. In questa configurazione, la connessione all'endpoint viene eseguita dall'indirizzo IP pubblico sull'istanza di replica.

• Configurazione con un'istanza DB RDS non in un VPC su un'istanza DB in un VPC utilizzando ClassicLink— Quando l'istanza Amazon RDS DB di origine o di destinazione non fa parte di un gruppo di sicurezza VPC e non condivide un gruppo di sicurezza con quello VPC in cui si trova l'istanza di replica, è possibile configurare un server proxy e utilizzarlo ClassicLink per connettere i database di origine e di destinazione.

• L'endpoint di origine è esterno a quello VPC utilizzato dall'istanza di replica e utilizza un NAT gateway: puoi configurare un gateway di traduzione degli indirizzi di rete (NAT) utilizzando un singolo indirizzo IP elastico associato a una singola interfaccia di rete elastica. Questa interfaccia di rete elastica riceve quindi un NAT identificatore (nat-#####). Se VPC include una route predefinita verso quel NAT gateway anziché il gateway Internet, sembra invece che l'istanza di replica contatti l'endpoint del database utilizzando l'indirizzo IP pubblico del gateway Internet. In questo caso, l'accesso all'endpoint del database dall'esterno VPC deve consentire l'ingresso dall'NATindirizzo anziché dall'indirizzo IP pubblico dell'istanza di replica.

• VPCendpoint per non RDBMS motori: non supporta VPC endpoint per dispositivi AWS DMS non motori. RDBMS

Modifica della password del database

Nella maggior parte dei casi, la modifica della password del database per l'endpoint di origine o di destinazione è semplice. Se è necessario modificare la password del database per un endpoint che si sta attualmente utilizzando per un'attività di migrazione o replica, il processo richiede alcuni passaggi aggiuntivi. La procedura seguente descrive come farlo.

Per modificare la password del database per un endpoint in un'attività di migrazione o replica

1. Accedi a AWS Management Console e apri la AWS DMS console alla https://console.aws.amazon.com/dms/ versione v2/.

   Se hai effettuato l'accesso come IAM utente, assicurati di disporre delle autorizzazioni di accesso appropriate. AWS DMS Per ulteriori informazioni sulle autorizzazioni richieste, consulta IAMautorizzazioni necessarie per l'uso AWS DMS.

2. Dal riquadro di navigazione, scegli Attività di migrazione del database.

3. Scegliere l'attività che utilizza l'endpoint di cui modificare la password, quindi scegliere Stop (Interrompi).

4. Mentre l'attività è interrotta, è possibile modificare la password del database dell'endpoint utilizzando gli strumenti nativi utilizzati per gestire il database.

5. Torna alla Console DMS di gestione e scegli Endpoints dal pannello di navigazione.

6. Scegliere l'endpoint del database di cui è stata modificata la password, quindi scegliere Modify (Modifica).

7. Digita la nuova password nel riquadro Password, quindi scegli Salva.

8. Dal riquadro di navigazione, scegli Attività di migrazione del database.

9. Scegli l'attività precedentemente interrotta, quindi seleziona Riavvia/Riprendi.

10. Scegli Riavvia o Riprendi, a seconda di come vuoi continuare l'attività, quindi seleziona Avvia attività.