Configurar cifras e protocolos de segurança - Amazon Relational Database Service
Criar o grupo de parâmetros relacionados à segurançaModificar parâmetros relacionados à segurançaAssociar o grupo de parâmetros relacionados à segurança à sua instância de banco de dados

Configurar cifras e protocolos de segurança

É possível ativar e desativar determinadas cifras e protocolos de segurança usando parâmetros de banco de dados. Os parâmetros de segurança que podem ser configurados (exceto para TLS versão 1.2) são mostrados na tabela a seguir.

Para parâmetros diferentes de rds.fips, o valor de default significa que o valor padrão do sistema operacional é usado, seja enabled ou disabled.

nota

Não é possível desabilitar o TLS 1.2, porque o Amazon RDS usa-o internamente.

Parâmetro de banco de dados Valores permitidos (padrão em negrito) Descrição
rds.tls10 padrão, habilitado, desabilitado TLS 1.0.
rds.tls11 padrão, habilitado, desabilitado TLS 1.1.
rds.tls12 padrão TLS 1.2. Não é possível modificar esse valor.
rds.fips 0, 1

Quando você define o parâmetro como 1, o RDS força o uso de módulos compatíveis com o padrão Federal Information Processing Standard (FIPS) 140-2.

Para obter mais informações, consulte Use SQL Server 2016 in FIPS 140-2-compliant mode (Usar o SQL Server 2016 no modo compatível com FIPS 140-2) na documentação da Microsoft.

nota

Você deve reinicializar a instância de banco de dados após a modificação para torná-la efetiva.
rds.rc4 padrão, habilitado, desabilitado Cifra de stream RC4.
rds.diffie-hellman padrão, habilitado, desabilitado Criptografia de troca de chaves de Diffie-Hellman.
rds.diffie-hellman-min-key-bit-length padrão, 1024, 2048, 4096 Tamanho mínimo de bits para chaves de Diffie-Hellman.
rds.curve25519 padrão, habilitado, desabilitado Cifra de criptografia de curva elíptica Curve25519. Este parâmetro é compatível com todas as versões do mecanismo.
rds.3des168 padrão, habilitado, desabilitado Cifra de criptografia de Triplo DES (Triple Data Encryption Standard) com um tamanho de chave de 168 bits.
nota

Para obter mais informações sobre os valores padrão para protocolos de segurança e criptografias do SQL Server, consulte Protocols in TLS/SSL (Schannel SSP) e Cipher Suites in TLS/SSL (Schannel SSP) na documentação da Microsoft.

Use o seguinte processo para configurar as cifras e os protocolos de segurança:

  1. Crie um grupo de parâmetros de banco de dados personalizado.

  2. Modifique os parâmetros no grupo de parâmetros.

  3. Associe o novo grupo de parâmetros de banco de dados à sua instância de banco de dados.

Para obter mais informações sobre parameter groups de banco de dados, consulte Trabalhar com grupos de parâmetros.

Criar o grupo de parâmetros relacionados à segurança

Crie um grupo de parâmetros para parâmetros relacionados à segurança que corresponde à edição e à versão do SQL Server da instância de banco de dados.

O procedimento a seguir cria um grupo de parâmetros para o SQL Server Standard Edition 2016.

Como criar o grupo de parâmetros

  1. Faça login no AWS Management Console e abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

  2. No painel de navegação, selecione Parameter groups.

  3. Escolha Create parameter group (Criar parameter group).

  4. No painelCreate parameter group (Criar parameter group), faça o seguinte:

    1. Em Família de grupos de parâmetros, escolha sqlserver-se-13.0.

    2. Em Nome do grupo, insira um identificador para o grupo de parâmetros, como sqlserver-ciphers-se-13.

    3. Em Descrição, insira Parameter group for security protocols and ciphers.

  5. Escolha Criar.

O procedimento a seguir cria um grupo de parâmetros para o SQL Server Standard Edition 2016.

Como criar o grupo de parâmetros

  • Execute um dos seguintes comandos:

    Para Linux, macOS ou Unix:

    aws rds create-db-parameter-group \
    --db-parameter-group-name sqlserver-ciphers-se-13 \
    --db-parameter-group-family "sqlserver-se-13.0" \
    --description "Parameter group for security protocols and ciphers"

    Para Windows:

    aws rds create-db-parameter-group ^
    --db-parameter-group-name sqlserver-ciphers-se-13 ^
    --db-parameter-group-family "sqlserver-se-13.0" ^
    --description "Parameter group for security protocols and ciphers"

Modificar parâmetros relacionados à segurança

Modifique os parâmetros relacionados à segurança no grupo de parâmetros que corresponde à edição e à versão do SQL Server da instância de banco de dados.

O procedimento a seguir modifica o grupo de parâmetros que você criou para o SQL Server Standard Edition 2016. Este exemplo desativa o TLS versão 1.0.

Como modificar o grupo de parâmetros

  1. Faça login no AWS Management Console e abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

  2. No painel de navegação, selecione Parameter groups.

  3. Escolha o grupo de parâmetros, como sqlserver-ciphers-se-13.

  4. Em Parâmetros, filtre a lista de parâmetros para rds.

  5. Escolha Edit parameters.

  6. Escolha rds.tls10.

  7. Em Valores, escolha desativado.

  8. Escolha Save changes (Salvar alterações).

O procedimento a seguir modifica o grupo de parâmetros que você criou para o SQL Server Standard Edition 2016. Este exemplo desativa o TLS versão 1.0.

Como modificar o grupo de parâmetros

  • Execute um dos seguintes comandos:

    Para Linux, macOS ou Unix:

    aws rds modify-db-parameter-group \
    --db-parameter-group-name sqlserver-ciphers-se-13 \
    --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

    Para Windows:

    aws rds modify-db-parameter-group ^
    --db-parameter-group-name sqlserver-ciphers-se-13 ^
    --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

Associar o grupo de parâmetros relacionados à segurança à sua instância de banco de dados

Para associar o grupo de parâmetros à sua instância de banco de dados, use o AWS Management Console ou a AWS CLI.

É possível associar o grupo de parâmetros a uma instância de banco de dados nova ou existente:

É possível associar o grupo de parâmetros a uma instância de banco de dados nova ou existente.

Como criar uma instância de banco de dados com o grupo de parâmetros

  • Especifique o mesmo tipo de mecanismo de banco de dados e a versão principal que você usou ao criar o grupo de parâmetros.

    Para Linux, macOS ou Unix:

    aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --db-instance-class db.m5.2xlarge \
    --engine sqlserver-se \
    --engine-version 13.00.5426.0.v1 \
    --allocated-storage 100 \
    --master-user-password secret123 \
    --master-username admin \
    --storage-type gp2 \
    --license-model li \
    --db-parameter-group-name sqlserver-ciphers-se-13

    Para Windows:

    aws rds create-db-instance ^
    --db-instance-identifier mydbinstance ^
    --db-instance-class db.m5.2xlarge ^
    --engine sqlserver-se ^
    --engine-version 13.00.5426.0.v1 ^
    --allocated-storage 100 ^
    --master-user-password secret123 ^
    --master-username admin ^
    --storage-type gp2 ^
    --license-model li ^
    --db-parameter-group-name sqlserver-ciphers-se-13
    nota

    Especifique uma senha diferente do prompt mostrado aqui como prática recomendada de segurança.

Como modificar uma instância de banco de dados e associar o grupo de parâmetros

  • Execute um dos seguintes comandos:

    Para Linux, macOS ou Unix:

    aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --db-parameter-group-name sqlserver-ciphers-se-13 \
    --apply-immediately

    Para Windows:

    aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --db-parameter-group-name sqlserver-ciphers-se-13 ^
    --apply-immediately