Melhores práticas de criptografia para o Amazon RDS - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas de criptografia para o Amazon RDS

O Amazon Relational Database Service (Amazon RDS) ajuda você a configurar, operar e escalar um banco de dados (DB) relacional na Nuvem AWS. Os dados criptografados em repouso incluem o armazenamento subjacente para instâncias de banco de dados, seus backups automatizados, réplicas de leitura e snapshots.

As abordagens que podem ser usadas para criptografar dados em repouso em instâncias de banco de dados do RDS são:

  • Você pode criptografar instâncias de banco de dados do Amazon RDS com AWS KMS keys uma chave AWS gerenciada ou uma chave gerenciada pelo cliente. Para obter mais informações, consulte AWS Key Management Service neste guia.

  • O Amazon RDS para Oracle e o Amazon RDS para SQL Server oferecem suporte à criptografia de instâncias de banco de dados com o Transparent Data Encryption (TDE). Para obter mais informações, consulte Oracle Transparent Data Encryption ou Suporte ao Transparent Data Encryption no SQL Server.

    É possível usar chaves do TDE e do KMS para criptografar instâncias de banco de dados. No entanto, isso pode afetar um pouco a performance do banco de dados. Por isso, essas chaves devem ser gerenciadas separadamente.

As abordagens que podem ser usadas para criptografar dados em trânsito de ou para instâncias de banco de dados do RDS são:

  • Para uma instância de banco de dados do Amazon RDS com MariaDB, Microsoft SQL Server, MySQL, Oracle ou PostgreSQL, é possível usar SSL para criptografar a conexão. Para obter mais informações, consulte Como usar SSL/TLS para criptografar uma conexão com uma instância de banco de dados.

  • O Amazon RDS para Oracle também oferece suporte à criptografia de rede nativa (NNE) da Oracle, a qual criptografa os dados enquanto ele é transferido de/para uma instância de banco de dados. Não é possível usar criptografia NNE e SSL ao mesmo tempo. Para ter mais informações, consulte Oracle Native Network Encryption.

Considere as seguintes práticas recomendadas de criptografia para esse serviço:

  • Ao se conectar a instâncias de banco de dados Amazon RDS para SQL Server ou Amazon RDS para PostgreSQL para processar, armazenar ou transmitir dados que exijam criptografia, use o recurso RDS Transport Encryption para criptografar a conexão. Para isso, defina o parâmetro rds.force_ssl como 1 no grupo de parâmetros. Para obter mais informações, consulte Trabalhar com grupos de parâmetros. O Amazon RDS para Oracle usa criptografia de rede nativa do banco de dados Oracle.

  • As chaves gerenciadas pelo cliente para criptografia de instâncias de banco de dados do RDS devem ser usadas somente para essa finalidade, e não com outros Serviços da AWS.

  • Antes de criptografar uma instância de banco de dados do RDS, estabeleça os requisitos da chave do KMS. A chave usada pela instância não poderá ser alterada posteriormente. Por exemplo, em sua política de criptografia, defina padrões de uso e gerenciamento para chaves AWS gerenciadas ou chaves gerenciadas pelo cliente, com base nos requisitos da sua empresa.

  • Ao autorizar o acesso a uma chave KMS gerenciada pelo cliente, siga o princípio do privilégio mínimo usando chaves de condição nas políticas do IAM. Por exemplo, para permitir que uma chave gerenciada pelo cliente seja usada somente para solicitações originadas no Amazon RDS, use a chave de ViaService condição kms: com o valor. rds.<region>.amazonaws.com Além disso, você pode usar chaves ou valores no contexto de criptografia do Amazon RDS como condição para usar a chave gerenciada pelo cliente.

  • É altamente recomendável habilitar backups para instâncias de banco de dados do RDS criptografadas. O Amazon RDS pode perder o acesso à chave do KMS para uma instância de banco de dados, como quando a chave do KMS não está habilitada ou quando o acesso do RDS a uma chave do KMS é revogado. Se isso ocorrer, a instância de banco de dados criptografada entrará em um estado recuperável por sete dias. Se a instância de banco de dados não recuperar o acesso à chave após sete dias, o banco de dados se tornará totalmente inacessível e deverá ser restaurado a partir de um backup. Para obter mais informações, consulte Criptografar uma instância de banco de dados.

  • Se uma réplica de leitura e sua instância de banco de dados criptografada estiverem na mesma Região da AWS, você deverá usar a mesma chave KMS para criptografar ambas.

  • Em AWS Config, implemente a regra rds-storage-encrypted AWS gerenciada para validar e aplicar a criptografia para instâncias de banco de dados do RDS e a rds-snapshots-encryptedregra para validar e aplicar a criptografia para instantâneos do banco de dados do RDS.

  • Use AWS Security Hub para avaliar se seus recursos do Amazon RDS seguem as melhores práticas de segurança. Para obter mais informações, consulte Controles do Security Hub para Amazon RDS.