Melhores práticas de criptografia para o Amazon DynamoDB - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas de criptografia para o Amazon DynamoDB

O Amazon DynamoDB é um serviço de banco de dados NoSQL totalmente gerenciado que fornece performance rápida, previsível e escalável. A criptografia em repouso do DynamoDB protege os dados em uma tabela criptografada, incluindo a chave primária, os índices secundários local e global, os fluxos, as tabelas globais, os backups e os clusters do DynamoDB Accelerator (DAX) sempre que os dados são armazenados em mídia durável.

De acordo com os requisitos de classificação de dados, a confidencialidade e a integridade dos dados podem ser mantidas implementando a criptografia do lado do servidor ou do lado do cliente:

Para criptografia do lado do servidor, ao criar uma nova tabela, você pode usar o AWS KMS keys para criptografar a tabela. Você pode usar chaves AWS próprias, chaves AWS gerenciadas ou chaves gerenciadas pelo cliente. Recomendamos usar chaves gerenciadas pelo cliente porque sua organização tem controle total da chave e porque, quando você usa esse tipo de chave, a chave de criptografia em nível de tabela, a tabela, os índices secundários local e global e os fluxos do DynamoDB são criptografados com a mesma chave. Para obter mais informações sobre esses tipos de chave, consulte Chaves e AWS chaves do cliente.

nota

Você pode alternar entre uma AWS chave própria, uma chave AWS gerenciada e uma chave gerenciada pelo cliente a qualquer momento.

Para criptografia do lado do cliente e end-to-end proteção de dados, tanto em repouso quanto em trânsito, você pode usar o Amazon DynamoDB Encryption Client. Além da criptografia, que protege a confidencialidade do valor do atributo do item, o DynamoDB Encryption Client assina o item. Ele fornece proteção de integridade habilitando a detecção de alterações não autorizadas no item, incluindo a adição ou a exclusão de atributos ou a substituição de um valor criptografado por outro.

Considere as seguintes práticas recomendadas de criptografia para esse serviço:

  • Limite as permissões para desabilitar ou programar a exclusão da chave somente para quem realmente precisa realizar essas tarefas. Esses estados impedem que todos os usuários e o serviço DynamoDB possam criptografar ou descriptografar dados e realizar operações de leitura e gravação~na tabela.

  • Embora o DynamoDB criptografe dados em trânsito usando HTTPS por padrão, controles de segurança adicionais são recomendados. Você pode usar qualquer uma das opções a seguir:

    • AWS Site-to-Site VPN conexão usando IPsec para criptografia.

    • AWS Direct Connect conexão para estabelecer uma conexão privada.

    • AWS Direct Connect conexão com AWS Site-to-Site VPN conexão para uma IPsec conexão privada criptografada.

    • Se o acesso ao DynamoDB for necessário apenas por meio de uma nuvem privada virtual (VPC), use um endpoint de gateway da VPC e permita acesso somente pelos recursos dentro da VPC. Isso evita que o tráfego atravesse a Internet pública.

  • Se você estiver usando endpoints da VPC, restrinja as políticas de endpoint e as políticas do IAM associadas ao endpoint somente a usuários, recursos e serviços autorizados. Para obter mais informações, consulte Controlar o acesso a endpoints do DynamoDB usando políticas do IAM e Controlar o acesso a serviços usando políticas de endpoint.

  • Você pode implementar a criptografia de dados em nível de coluna no nível de aplicação para dados que exigem criptografia, de acordo com sua política de criptografia.

  • Configure clusters DAX para criptografar dados em repouso, como dados em cache, dados de configuração e arquivos de log, no momento da configuração do cluster. Não é possível ativar a criptografia em repouso em um cluster existente. Essa criptografia do lado do servidor ajuda a proteger os dados contra acesso não autorizado por meio do armazenamento subjacente. A criptografia do DAX em repouso se integra automaticamente ao AWS KMS para gerenciar a chave padrão de serviço único que é usada para criptografar os clusters. Se uma chave padrão de serviço não existir quando um cluster DAX criptografado for criado, AWS KMS criará automaticamente uma nova chave AWS gerenciada. Para obter mais informações, consulte Criptografia de DAX em repouso.

    nota

    Não é possível usar chaves gerenciadas pelo cliente com clusters do DAX.

  • Configure clusters DAX para criptografar dados em trânsito no momento da configuração do cluster. Não é possível ativar a criptografia em trânsito em um cluster existente. O DAX usa TLS para criptografar as solicitações e as respostas entre a aplicação e o cluster e usa o certificado x509 do cluster para autenticar a identidade do cluster. Para obter mais informações, consulte Criptografia do DAX em trânsito.

  • Em AWS Config, implemente a regra dax-encryption-enabled AWS gerenciada para validar e manter a criptografia dos clusters DAX.