Segurança em AWS Database Migration Service

A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de um data center e de uma arquitetura de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.

A segurança é uma responsabilidade compartilhada entre você AWS e você. O modelo de responsabilidade compartilhada descreve isto como segurança da nuvem e segurança na nuvem.

• Segurança da nuvem — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos compliance programs AWS. Para saber mais sobre os programas de conformidade que se aplicam AWS DMS, consulte AWS serviços no escopo por programa de conformidade.

• Segurança na nuvem — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, inclusive a confidencialidade dos dados, os requisitos da organização, as leis e as regulamentações vigentes.

Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS DMS. Os tópicos a seguir mostram como configurar para atender AWS DMS aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus AWS DMS recursos.

Você pode gerenciar o acesso aos seus AWS DMS recursos e bancos de dados (DBs). O método usado para gerenciar o acesso depende da tarefa de replicação que você precisa executar com AWS DMS:

• Use políticas AWS Identity and Access Management (IAM) para atribuir permissões que determinam quem tem permissão para gerenciar AWS DMS recursos. AWS DMS exige que você tenha as permissões apropriadas se fizer login como usuário do IAM. Por exemplo, é possível utilizar o IAM para determinar quem tem permissão para criar, descrever, modificar e excluir instâncias e clusters de banco de dados, marcar recursos ou modificar grupos de segurança. Para obter mais informações sobre o IAM e como usá-lo com AWS DMS, consulteGerenciamento de identidade e acesso para AWS Database Migration Service.

• AWS DMS usa Secure Sockets Layer (SSL) para suas conexões de endpoint com Transport Layer Security (TLS). Para obter mais informações sobre como usar SSL/TLS com AWS DMS, consulte. Usando SSL com AWS Database Migration Service

• AWS DMS usa chaves de criptografia AWS Key Management Service (AWS KMS) para criptografar o armazenamento usado pela sua instância de replicação e suas informações de conexão de endpoint. AWS DMS também usa chaves de AWS KMS criptografia para proteger seus dados de destino em repouso para endpoints de destino do Amazon S3 e do Amazon Redshift. Para ter mais informações, consulte Configurando uma chave de criptografia e especificando permissões AWS KMS.

• AWS DMS sempre cria sua instância de replicação em uma nuvem privada virtual (VPC) com base no serviço Amazon VPC para o maior controle de acesso à rede possível. Para as instâncias de banco de dados e clusters de instância, utilize a mesma VPC que a instância de replicação ou VPCs adicionais para corresponder a esse nível de controle de acesso. Cada Amazon VPC utilizada deve estar associada a um grupo de segurança que tenha regras que permitem que todo o tráfego saia em todas as portas da VPC. Essa abordagem permite a comunicação da instância de replicação com os endpoints dos bancos de dados de origem e de destino, desde que a entrada correta esteja ativada nesses endpoints.

  Para obter mais informações sobre as configurações de rede disponíveis para AWS DMS, consulteConfigurar uma rede para uma instância de replicação. Para obter mais informações sobre como criar uma instância de banco de dados ou um cluster de instância em uma VPC, consulte a documentação de gerenciamento de cluster e segurança nos bancos de dados da Amazon na Documentação da AWS. Para obter mais informações sobre configurações de rede compatíveis com o AWS DMS , consulte Configurar uma rede para uma instância de replicação.

• Para visualizar os registros de migração do banco de dados, você precisa das permissões apropriadas do Amazon CloudWatch Logs para a função do IAM que você está usando. Para obter mais informações sobre registro em log do AWS DMS, consulte Monitoramento de tarefas de replicação utilizando o Amazon CloudWatch.

Tópicos

• Proteção de dados em AWS Database Migration Service
• Gerenciamento de identidade e acesso para AWS Database Migration Service
• Validação de conformidade do AWS Database Migration Service
• Resiliência no AWS Database Migration Service
• Segurança da infraestrutura no AWS Database Migration Service
• Controle de acesso minucioso com o uso de nomes de recursos e tags
• Configurando uma chave de criptografia e especificando permissões AWS KMS
• Segurança de rede para AWS Database Migration Service
• Usando SSL com AWS Database Migration Service
• Alterar a senha do banco de dados

Configurando uma chave de criptografia e especificando permissões AWS KMS

AWS DMS criptografa o armazenamento usado por uma instância de replicação e as informações de conexão do endpoint. Para criptografar o armazenamento usado por uma instância de replicação, AWS DMS use uma chave AWS Key Management Service (AWS KMS) exclusiva da sua AWS conta. Você pode visualizar e gerenciar essa chave com AWS KMS. Você pode usar a chave padrão do KMS na sua conta (aws/dms) ou criar uma chave personalizada do KMS. Se você tiver uma chave de criptografia existente do KMS, também será possível usá-la para criptografar.

nota

Qualquer AWS KMS chave personalizada ou existente que você usa como chave de criptografia deve ser uma chave simétrica. AWS DMS não suporta o uso de chaves de criptografia assimétricas. Para obter mais informações sobre as chaves de criptografia simétricas e assimétricas, consulte https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html no Guia do desenvolvedor do AWS Key Management Service .

A chave padrão do KMS (aws/dms) será criada ao executar uma instância de replicação pela primeira vez, se você não tiver selecionado uma chave personalizada do KMS na seção Avançado, na página Criar instância de replicação. Se você utilizar a chave padrão do KMS, as únicas permissões que deverão ser concedidas à conta de usuário do IAM que você está utilizando para a migração são kms:ListAliases e kms:DescribeKey. Para obter mais informações sobre o uso da chave padrão do KMS, consulte Permissões do IAM necessárias para utilizar o AWS DMS.

Para usar uma chave personalizada do KMS, atribua permissões a ela utilizando uma das seguintes opções:

• Adicione a conta de usuário do IAM usada para a migração como administrador da chave ou usuário da chave AWS KMS personalizada. Isso garantirá que as permissões necessárias do AWS KMS sejam concedidas à conta do usuário do IAM. Essa ação é uma adição às permissões do IAM que você concede à conta do usuário do IAM para usar o AWS DMS. Para obter mais informações sobre como conceder permissões a um usuário de chaves, consulte Permite que os usuários de chaves usem a chave do KMS no Guia do desenvolvedor do AWS Key Management Service .

• Se você não quiser adicionar a conta do usuário do IAM como um administrador de chaves ou usuário de chaves para a chave personalizada do KMS, adicione as seguintes permissões adicionais às permissões do IAM que devem ser concedidas à conta do usuário do IAM para usar o AWS DMS.

  
  {
              "Effect": "Allow",
              "Action": [
                  "kms:ListAliases",
                  "kms:DescribeKey",
                  "kms:CreateGrant",
                  "kms:Encrypt",
                  "kms:ReEncrypt*"
              ],
              "Resource": "*"
          },
              

AWS DMS também funciona com aliases de chave KMS. Para obter mais informações sobre como criar suas próprias chaves do AWS KMS e conceder acesso aos usuários a uma chave do KMS, consulte o Guia do desenvolvedor do AWS KMS.

Se você não especificar um identificador de chave KMS, AWS DMS usará sua chave de criptografia padrão. AWS KMS cria a chave de criptografia padrão AWS DMS para sua AWS conta. Sua AWS conta tem uma chave de criptografia padrão diferente para cada AWS região.

Para gerenciar as AWS KMS chaves usadas para criptografar seus AWS DMS recursos, use o. AWS Key Management Service AWS KMS combina hardware e software seguros e de alta disponibilidade para fornecer um sistema de gerenciamento de chaves dimensionado para a nuvem. Usando AWS KMS, você pode criar chaves de criptografia e definir as políticas que controlam como essas chaves podem ser usadas.

Você pode encontrar AWS KMS no AWS Management Console

1. Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

3. Escolha uma das seguintes opções para trabalhar com AWS KMS teclas:

   • Para ver as chaves em sua conta que AWS cria e gerencia para você, no painel de navegação, escolha chaves AWS gerenciadas.

   • Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

AWS KMS suporta AWS CloudTrail, para que você possa auditar o uso das chaves para verificar se as chaves estão sendo usadas adequadamente. Suas AWS KMS chaves podem ser usadas em combinação com AWS DMS AWS serviços compatíveis, como Amazon RDS, Amazon S3, Amazon Redshift e Amazon EBS.

Você também pode criar AWS KMS chaves personalizadas especificamente para criptografar dados de destino para os seguintes AWS DMS endpoints:

• Amazon Redshift: para obter mais informações, consulte Criar e utilizar as chaves do AWS KMS para criptografar os dados de destino do Amazon Redshift.

• Amazon S3: para obter mais informações, consulte Criar chaves do AWS KMS para criptografar objetos de destino do Amazon S3.

Depois de criar seus AWS DMS recursos com uma chave KMS, você não poderá alterar a chave de criptografia desses recursos. Certifique-se de determinar seus requisitos de chave de criptografia antes de criar seus AWS DMS recursos.

Segurança de rede para AWS Database Migration Service

Os requisitos de segurança para a rede que você cria ao usar AWS Database Migration Service dependem de como você configura a rede. As regras gerais de segurança de rede para AWS DMS são as seguintes:

• A instância de replicação deve ter acesso aos endpoints de origem e de destino. O security group da instância de replicação deve ter Network ACL ou regras que permitam a saída da instância da porta do banco de dados para os endpoints do banco de dados.

• Os endpoints de banco de dados devem incluir regras de Network ACLs e security group que permitam o acesso de entrada a partir da instância de replicação. Isso pode ser feito utilizando o grupo de segurança da instância de replicação, o endereço IP privado, o endereço IP público ou o endereço público do gateway NAT, dependendo da sua configuração.

• Se a rede utilizar um túnel de VPN, a instância do Amazon EC2 que atua como o gateway NAT deve utilizar um grupo de segurança que tenha regras que permitam que a instância de replicação envie tráfego por meio dele.

Por padrão, o security group da VPC usado pela instância de AWS DMS replicação tem regras que permitem a saída para 0.0.0.0/0 em todas as portas. Se você modificá-lo ou usar o seu próprio, a saída deverá, no mínimo, ser permitida para os endpoints de origem e de destino nas respectivas portas de banco de dados.

As configurações de rede que podem ser usadas para migrar bancos de dados exigem considerações específicas de segurança:

• Configuração com todos os componentes de migração de banco de dados em uma VPC: o grupo de segurança utilizado pelos endpoints deve permitir a entrada na porta do banco de dados da instância de replicação. Confirme se o security group usado pela instância de replicação tem entrada para os endpoints ou crie uma regra no security group usado pelos endpoints que permita ao endereço IP privado acessar a instância de replicação.

• Configuração com várias VPCs: o grupo de segurança utilizado pela instância de replicação deve ter uma regra para o intervalo da VPC e a porta do banco de dados no banco de dados.

• Configuração de uma rede para uma VPC usando AWS Direct Connect ou uma VPN: um túnel da VPN que permite o tráfego para o túnel da VPC em uma VPN on-premises. Nessa configuração, o VPC inclui uma regra de roteamento que envia o tráfego destinado a um endereço IP ou intervalo específico para um host que pode conectar o tráfego do VPC com a VPN local. Nesse caso, o host NAT inclui suas próprias configurações de grupo de segurança, que devem permitir o tráfego do endereço IP privado da instância de replicação ou do grupo de segurança para a instância NAT.

• Configuração de uma rede para uma VPC utilizando a internet: o grupo de segurança da VPC deve incluir regras de roteamento que enviem o tráfego não destinado à VPC para o gateway da Internet. Nessa configuração, a conexão ao endpoint parecerá vir do endereço IP público na instância de replicação.

• Configuração com uma instância de banco de dados RDS fora de uma VPC para uma instância de banco de dados em uma VPC usando ClassicLink— Quando a instância de banco de dados Amazon RDS de origem ou de destino não está em uma VPC e não compartilha um grupo de segurança com a VPC em que a instância de replicação está localizada, você pode configurar um servidor proxy e ClassicLink usá-lo para conectar os bancos de dados de origem e de destino.

• O endpoint de origem está fora da VPC utilizada pela instância de replicação e utiliza um gateway NAT: é possível configurar um gateway de conversão de endereços de rede (NAT) utilizando um único endereço IP elástico associado a uma única interface de rede elástica. Essa interface de rede elástica recebe um identificador NAT (nat-#####). Se a VPC incluir uma rota padrão para o gateway NAT em vez do gateway da internet, a instância de replicação parecerá entrar em contato com o endpoint do banco de dados utilizando o endereço IP público do gateway da internet. Nesse caso, a entrada no endpoint do banco de dados fora da VPC precisa permitir a entrada do endereço NAT em vez do endereço IP público da instância de replicação.

• Endpoints da VPC para mecanismos não RDBMS: o AWS DMS não é compatível com endpoints da VPC para mecanismos não RDBMS.

Alterar a senha do banco de dados

Na maioria das situações, alterar a senha do banco de dados do endpoint de origem ou de destino é simples. Se você precisar alterar a senha do banco de dados de um endpoint que está usando atualmente em uma tarefa de migração ou replicação, o processo precisará de algumas etapas adicionais. O procedimento a seguir mostra como fazer isso.

Como alterar a senha do banco de dados de um endpoint em uma tarefa de migração ou de replicação

1. Faça login no AWS Management Console e abra o AWS DMS console em https://console.aws.amazon.com/dms/v2/.

   Se estiver conectado como um usuário do IAM, verifique se você possui as permissões necessárias para acessar o AWS DMS. Para obter mais informações sobre as permissões necessárias, consulte Permissões do IAM necessárias para utilizar o AWS DMS.

2. No painel de navegação, escolha Tarefas de migração de banco de dados.

3. Escolha a tarefa que utiliza o endpoint cuja senha do banco de dados você deseja alterar e selecione Stop.

4. Enquanto a tarefa está interrompida, é possível alterar a senha do banco de dados do endpoint utilizando as ferramentas nativas usadas para trabalhar com o banco de dados.

5. Retorne ao DMS Management Console e selecione Endpoints no painel de navegação.

6. Escolha o endpoint do banco de dados cuja senha você modificou e selecione Modify.

7. Digite a nova senha na caixa Senha e selecione Modificar.

8. Escolha Tarefas de migração de banco de dados no painel de navegação.

9. Escolha a tarefa interrompida anteriormente e selecione Iniciar/retomar.

10. Selecione Reiniciar ou Retomar, dependendo de como você deseja continuar a tarefa, e escolha Iniciar tarefa.