Procedure consigliate di crittografia per Amazon RDS - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Procedure consigliate di crittografia per Amazon RDS

Amazon Relational Database Service (Amazon RDS) ti aiuta a configurare, utilizzare e dimensionare un database relazionale (DB) nel Cloud AWS. I dati che vengono crittografati quando sono inattivi includono lo storage sottostante per le istanze database, i backup automatici, le repliche di lettura e gli snapshot.

Di seguito sono riportati gli approcci che puoi utilizzare per crittografare i dati a riposo nelle istanze database RDS:

  • Puoi crittografare le istanze DB di Amazon RDS con AWS KMS keys una chiave gestita o una chiave AWS gestita dal cliente. Per ulteriori informazioni sul tagging, consulta AWS Key Management Servicein questa guida.

  • Amazon RDS per Oracle e Amazon RDS per SQL Server supportano la crittografia di istanze database con Transparent Data Encryption (TDE). Per ulteriori informazioni consulta la sezione Oracle Transparent Data Encryption o Supporto per Transparent Data Encryption in SQL Server.

    Puoi utilizzare le chiavi TDE e KMS per crittografare le istanze database. Tuttavia, ciò può influire leggermente sulle prestazioni del database ed è necessario gestire queste chiavi separatamente.

Di seguito sono riportati gli approcci che puoi utilizzare per crittografare i dati in transito verso o dalle istanze database RDS:

  • Per un'istanza database Amazon RDS che esegue MariaDB, Microsoft SQL Server, MySQL, Oracle o PostgreSQL, puoi utilizzare SSL per crittografare la connessione. Per ulteriori informazioni, consulta Utilizzare SSL/TLS per crittografare una connessione a un'istanza DB.

  • Amazon RDS per Oracle supporta anche Native Network Encryption (NNE) di Oracle, che crittografa i dati quando si spostano verso e da un'istanza database. La crittografia NNE e SSL non può essere utilizzata contemporaneamente. Per ulteriori informazioni, consulta Native Network Encryption di Oracle.

Prendi in considerazione le seguenti best practice di crittografia per questo servizio:

  • Quando ti connetti alle istanze database di Amazon RDS per SQL Server o Amazon RDS per PostgreSQL per elaborare, archiviare o trasmettere dati che richiedono la crittografia, utilizza la funzionalità RDS Transport Encryption per crittografare la connessione. Puoi implementarla impostando il parametro rds.force_ssl su 1 nel gruppo di parametri. Per ulteriori informazioni, consulta la sezione Uso di gruppi di parametri. Amazon RDS per Oracle utilizza Native Network Encryption del database di Oracle.

  • Le chiavi gestite dal cliente per la crittografia delle istanze database RDS devono essere utilizzate esclusivamente per tale scopo e non utilizzate con nessun altro Servizi AWS.

  • Prima di crittografare un'istanza database RDS, stabilisci i requisiti della chiave KMS. La chiave utilizzata dall'istanza non può essere modificata in un secondo momento. Ad esempio, nella politica di crittografia, definisci gli standard di utilizzo e gestione delle chiavi AWS gestite o delle chiavi gestite dal cliente, in base ai requisiti aziendali.

  • Quando autorizzi l'accesso a una chiave KMS gestita dal cliente, segui il principio del privilegio minimo utilizzando le chiavi condizionali nelle politiche IAM. Ad esempio, per consentire l'utilizzo di una chiave gestita dal cliente solo per le richieste che provengono da Amazon RDS, utilizza la chiave kms: ViaService condition con il rds.<region>.amazonaws.com valore. Inoltre, puoi utilizzare chiavi o valori nel contesto di crittografia Amazon RDS come condizione per l'utilizzo della chiave gestita dal cliente.

  • Ti consigliamo vivamente di abilitare i backup per le istanze database RDS crittografate. Amazon RDS può perdere l'accesso alla chiave KMS per un'istanza database, ad esempio quando la chiave KMS non è abilitata o quando l'accesso RDS a una chiave KMS viene revocato. In tal caso, l'istanza database crittografata entra in uno stato ripristinabile per sette giorni. Se l'istanza database non riottiene l'accesso alla chiave dopo sette giorni, il database diventa inaccessibile dal punto di vista terminale e deve essere ripristinato da un backup. Per ulteriori informazioni, consulta la sezione relativa alla crittografia di un'istanza database.

  • Se una replica di lettura e la relativa istanza DB crittografata si trovano nella stessa istanza Regione AWS, è necessario utilizzare la stessa chiave KMS per crittografare entrambe.

  • In AWS Config, implementa la regola rds-storage-encrypted AWS gestita per convalidare e applicare la crittografia per le istanze DB RDS e la rds-snapshots-encryptedregola per convalidare e applicare la crittografia per le istantanee del database RDS.

  • Utilizzalo AWS Security Hub per valutare se le tue risorse Amazon RDS seguono le best practice di sicurezza. Per ulteriori informazioni, consulta i controlli del Security Hub per Amazon RDS.