Best practice di crittografia per Amazon DynamoDB - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di crittografia per Amazon DynamoDB

Amazon DynamoDB è un servizio di database NoSQL interamente gestito che offre prestazioni elevate, prevedibili e scalabili. La crittografia a riposo di DynamoDB protegge i dati nella tabella crittografata che include chiave primaria, indici secondari locali e globali, flussi, tabelle globali, backup e cluster DynamoDB Accelerator (DAX), ogni volta che i dati vengono archiviati in supporti fisici.

In conformità ai requisiti di classificazione dei dati, è possibile mantenere la riservatezza e l'integrità dei dati implementando la crittografia lato server o lato client:

Per la crittografia lato server, quando si crea una nuova tabella, è possibile utilizzare AWS KMS keys per crittografare la tabella. Puoi utilizzare chiavi AWS di proprietà, chiavi AWS gestite o chiavi gestite dal cliente. Ti consigliamo di utilizzare le chiavi gestite dal cliente perché la tua organizzazione ha il pieno controllo della chiave e perché quando si utilizza questo tipo di chiave, la chiave di crittografia a livello di tabella, la tabella DynamoDB, gli indici secondari locale e globale e i flussi vengono crittografati con la stessa chiave. Per ulteriori informazioni su questi tipi di chiavi, consulta Customer keys and AWS keys.

Nota

Puoi passare da una chiave AWS proprietaria, una chiave AWS gestita e una chiave gestita dal cliente in qualsiasi momento.

Per la crittografia e la end-to-end protezione dei dati lato client, sia a riposo che in transito, puoi utilizzare Amazon DynamoDB Encryption Client. Oltre alla crittografia, che protegge la riservatezza del valore dell'attributo dell'elemento, la crittografia lato client DynamoDB firma l'elemento. Ciò garantisce la protezione dell'integrità abilitando il rilevamento delle modifiche non autorizzate all'elemento, come l'aggiunta o l'eliminazione di attributi o la sostituzione di un valore crittografato con un altro.

Prendi in considerazione le seguenti best practice di crittografia per questo servizio:

  • Limita le autorizzazioni per disabilitare o pianificare l'eliminazione della chiave solo a coloro che devono eseguire queste attività. Questi stati impediscono a tutti gli utenti e al servizio DynamoDB di criptare o decriptare i dati e di eseguire operazioni di lettura e scrittura sulla tabella.

  • Sebbene DynamoDB crittografi i dati in transito utilizzando HTTPS per impostazione predefinita, sono consigliati controlli di sicurezza aggiuntivi. È possibile utilizzare una qualsiasi delle seguenti opzioni:

    • AWS Site-to-Site VPN connessione utilizzata per la crittografia. IPsec

    • AWS Direct Connect connessione per stabilire una connessione privata.

    • AWS Direct Connect connessione con AWS Site-to-Site VPN connessione per una connessione privata IPsec crittografata.

    • Se è richiesto l'accesso a DynamoDB solo da un cloud privato virtuale (VPC), è necessario utilizzare un endpoint gateway VPC e consentire l'accesso solo alle risorse nel VPC. Ciò impedisce al traffico di attraversare la rete Internet pubblica.

  • Se utilizzi endpoint VPC, limita le policy degli endpoint e le policy IAM associate all'endpoint ai soli utenti, risorse e servizi autorizzati. Per ulteriori informazioni, consulta la sezione Controllo dell'accesso agli endpoint DynamoDB utilizzando le policy IAM e Controllo dell'accesso ai servizi utilizzando le policy di endpoint.

  • È possibile implementare la crittografia dei dati a livello di colonna a livello di applicazione per i dati che richiedono la crittografia, in base alla policy di crittografia.

  • Configura i cluster DAX per crittografare i dati a riposo, come i dati nella cache, i dati di configurazione e i file di log, al momento della configurazione del cluster. Non è possibile abilitare la crittografia a riposo su un cluster esistente. Questa crittografia lato server aiuta a proteggere i dati dall'accesso non autorizzato attraverso l'archiviazione sottostante. La crittografia DAX at rest si integra automaticamente con AWS KMS per la gestione della chiave predefinita a servizio singolo utilizzata per crittografare i cluster. Se non esiste una chiave predefinita del servizio quando viene creato un cluster DAX crittografato, AWS KMS crea automaticamente una nuova chiave gestita. AWS Per ulteriori informazioni, consulta la sezione sulla crittografia DAX a riposo.

    Nota

    Le chiavi gestite dal cliente non possono essere utilizzate con i cluster DAX.

  • Configura i cluster DAX per crittografare i dati in transito al momento della configurazione del cluster. Non è possibile abilitare la crittografia in transito su un cluster esistente. DAX utilizza TLS per crittografare le richieste e le risposte tra l'applicazione e il cluster e il certificato x509 del cluster per autenticare l'identità del cluster. Per maggiori informazioni, consulta la sezione sulla crittografia DAX in transito.

  • Nel AWS Config, implementa la regola dax-encryption-enabled AWS gestita per convalidare e mantenere la crittografia dei cluster DAX.