Configurar cifras e protocolos de segurança
É possível ativar e desativar determinadas cifras e protocolos de segurança usando parâmetros de banco de dados. Os parâmetros de segurança que podem ser configurados (exceto para TLS versão 1.2) são mostrados na tabela a seguir.
Para parâmetros diferentes de rds.fips
, o valor de default
significa que o valor padrão do sistema operacional é usado, seja enabled
ou disabled
.
nota
Não é possível desabilitar o TLS 1.2, porque o Amazon RDS usa-o internamente.
Parâmetro de banco de dados | Valores permitidos (padrão em negrito) | Descrição |
---|---|---|
rds.tls10 | padrão, habilitado, desabilitado | TLS 1.0. |
rds.tls11 | padrão, habilitado, desabilitado | TLS 1.1. |
rds.tls12 | padrão | TLS 1.2. Não é possível modificar esse valor. |
rds.fips | 0, 1 |
Quando você define o parâmetro como 1, o RDS força o uso de módulos compatíveis com o padrão Federal Information Processing Standard (FIPS) 140-2. Para obter mais informações, consulte Use SQL Server 2016 in FIPS 140-2-compliant mode (Usar o SQL Server 2016 no modo compatível com FIPS 140-2) notaVocê deve reinicializar a instância de banco de dados após a modificação para torná-la efetiva. |
rds.rc4 | padrão, habilitado, desabilitado | Cifra de stream RC4. |
rds.diffie-hellman | padrão, habilitado, desabilitado | Criptografia de troca de chaves de Diffie-Hellman. |
rds.diffie-hellman-min-key-bit-length | padrão, 1024, 2048, 4096 | Tamanho mínimo de bits para chaves de Diffie-Hellman. |
rds.curve25519 | padrão, habilitado, desabilitado | Cifra de criptografia de curva elíptica Curve25519. Este parâmetro é compatível com todas as versões do mecanismo. |
rds.3des168 | padrão, habilitado, desabilitado | Cifra de criptografia de Triplo DES (Triple Data Encryption Standard) com um tamanho de chave de 168 bits. |
nota
Para obter mais informações sobre os valores padrão para protocolos de segurança e criptografias do SQL Server, consulte Protocols in TLS/SSL (Schannel SSP)
Use o seguinte processo para configurar as cifras e os protocolos de segurança:
-
Crie um grupo de parâmetros de banco de dados personalizado.
-
Modifique os parâmetros no grupo de parâmetros.
-
Associe o novo grupo de parâmetros de banco de dados à sua instância de banco de dados.
Para obter mais informações sobre parameter groups de banco de dados, consulte Trabalhar com grupos de parâmetros.
Criar o grupo de parâmetros relacionados à segurança
Crie um grupo de parâmetros para parâmetros relacionados à segurança que corresponde à edição e à versão do SQL Server da instância de banco de dados.
O procedimento a seguir cria um grupo de parâmetros para o SQL Server Standard Edition 2016.
Como criar o grupo de parâmetros
Faça login no AWS Management Console e abra o console do Amazon RDS em https://console.aws.amazon.com/rds/
. -
No painel de navegação, selecione Parameter groups.
-
Escolha Create parameter group (Criar parameter group).
-
No painelCreate parameter group (Criar parameter group), faça o seguinte:
-
Em Família de grupos de parâmetros, escolha sqlserver-se-13.0.
-
Em Nome do grupo, insira um identificador para o grupo de parâmetros, como
sqlserver-ciphers-se-13
. -
Em Descrição, insira
Parameter group for security protocols and ciphers
.
-
-
Escolha Criar.
O procedimento a seguir cria um grupo de parâmetros para o SQL Server Standard Edition 2016.
Como criar o grupo de parâmetros
-
Execute um dos seguintes comandos:
Para Linux, macOS ou Unix:
aws rds create-db-parameter-group \ --db-parameter-group-name
sqlserver-ciphers-se-13
\ --db-parameter-group-family "sqlserver-se-13.0
" \ --description "Parameter group for security protocols and ciphers
"Para Windows:
aws rds create-db-parameter-group ^ --db-parameter-group-name
sqlserver-ciphers-se-13
^ --db-parameter-group-family "sqlserver-se-13.0
" ^ --description "Parameter group for security protocols and ciphers
"
Modificar parâmetros relacionados à segurança
Modifique os parâmetros relacionados à segurança no grupo de parâmetros que corresponde à edição e à versão do SQL Server da instância de banco de dados.
O procedimento a seguir modifica o grupo de parâmetros que você criou para o SQL Server Standard Edition 2016. Este exemplo desativa o TLS versão 1.0.
Como modificar o grupo de parâmetros
Faça login no AWS Management Console e abra o console do Amazon RDS em https://console.aws.amazon.com/rds/
. -
No painel de navegação, selecione Parameter groups.
-
Escolha o grupo de parâmetros, como sqlserver-ciphers-se-13.
-
Em Parâmetros, filtre a lista de parâmetros para
rds
. -
Escolha Edit parameters.
-
Escolha rds.tls10.
-
Em Valores, escolha desativado.
-
Escolha Save changes (Salvar alterações).
O procedimento a seguir modifica o grupo de parâmetros que você criou para o SQL Server Standard Edition 2016. Este exemplo desativa o TLS versão 1.0.
Como modificar o grupo de parâmetros
-
Execute um dos seguintes comandos:
Para Linux, macOS ou Unix:
aws rds modify-db-parameter-group \ --db-parameter-group-name
sqlserver-ciphers-se-13
\ --parameters "ParameterName='rds.tls10
',ParameterValue='disabled
',ApplyMethod=pending-reboot"Para Windows:
aws rds modify-db-parameter-group ^ --db-parameter-group-name
sqlserver-ciphers-se-13
^ --parameters "ParameterName='rds.tls10
',ParameterValue='disabled
',ApplyMethod=pending-reboot"
Associar o grupo de parâmetros relacionados à segurança à sua instância de banco de dados
Para associar o grupo de parâmetros à sua instância de banco de dados, use o AWS Management Console ou a AWS CLI.
É possível associar o grupo de parâmetros a uma instância de banco de dados nova ou existente:
-
Para uma nova instância de banco de dados, associe-o ao executar a instância. Para ter mais informações, consulte Criar uma instância de banco de dados do Amazon RDS.
-
Para uma instância de banco de dados existente, associe-o modificando a instância. Para ter mais informações, consulte Modificar uma instância de banco de dados do Amazon RDS.
É possível associar o grupo de parâmetros a uma instância de banco de dados nova ou existente.
Como criar uma instância de banco de dados com o grupo de parâmetros
-
Especifique o mesmo tipo de mecanismo de banco de dados e a versão principal que você usou ao criar o grupo de parâmetros.
Para Linux, macOS ou Unix:
aws rds create-db-instance \ --db-instance-identifier
mydbinstance
\ --db-instance-classdb.m5.2xlarge
\ --enginesqlserver-se
\ --engine-version13.00.5426.0.v1
\ --allocated-storage100
\ --master-user-passwordsecret123
\ --master-usernameadmin
\ --storage-typegp2
\ --license-modelli
\ --db-parameter-group-namesqlserver-ciphers-se-13
Para Windows:
aws rds create-db-instance ^ --db-instance-identifier
mydbinstance
^ --db-instance-classdb.m5.2xlarge
^ --enginesqlserver-se
^ --engine-version13.00.5426.0.v1
^ --allocated-storage100
^ --master-user-passwordsecret123
^ --master-usernameadmin
^ --storage-typegp2
^ --license-modelli
^ --db-parameter-group-namesqlserver-ciphers-se-13
nota
Especifique uma senha diferente do prompt mostrado aqui como prática recomendada de segurança.
Como modificar uma instância de banco de dados e associar o grupo de parâmetros
-
Execute um dos seguintes comandos:
Para Linux, macOS ou Unix:
aws rds modify-db-instance \ --db-instance-identifier
mydbinstance
\ --db-parameter-group-namesqlserver-ciphers-se-13
\ --apply-immediatelyPara Windows:
aws rds modify-db-instance ^ --db-instance-identifier
mydbinstance
^ --db-parameter-group-namesqlserver-ciphers-se-13
^ --apply-immediately