Habilite conexões criptografadas para instâncias de banco de dados PostgreSQL no Amazon RDS

Criado por Rohit Kapoor (AWS)

Ambiente: PoC ou piloto	Tecnologias: bancos de dados; redes; segurança, identidade, conformidade	Workload: código aberto
Serviços da AWS: Amazon RDS; Amazon Aurora

Resumo

O Amazon Relational Database Service (Amazon RDS) é compatível com a criptografia SSL para instâncias de banco de dados PostgreQL. Por meio do SSL, você pode criptografar uma conexão do PostgreSQL entre seus aplicativos e suas instâncias de banco de dados do Amazon RDS para PostgreSQL. Por padrão, o Amazon RDS para PostgreSQL usa SSL/TLS e espera que todos os clientes se conectem usando a criptografia SSL/TLS. O Amazon RDS para PostgreSQL oferece suporte às versões 1.1, e 1.2 do TLS.

Esse padrão descreve como você pode habilitar conexões criptografadas para uma instância de banco de dados do Amazon RDS para PostgreSQL. Você pode usar o mesmo processo para habilitar conexões criptografadas para o Amazon Aurora Edição Compatível com PostgreSQL.

Pré-requisitos e limitações

• Uma conta AWS ativa

• Uma instância de banco de dados Amazon RDS para PostgreSQL

• Um pacote SSL

Arquitetura

Ferramentas

• O pgAdmin é uma plataforma de administração e desenvolvimento de código aberto para o PostgreSQL. Você pode usar o pgAdmin no Linux, Unix, macOS e Windows para gerenciar seus objetos de banco de dados no PostgreSQL 10 e versões posteriores.

• Os editores do PostgreSQL fornecem uma interface mais fácil de usar para ajudá-lo a criar, desenvolver e executar consultas e a editar o código de acordo com seus requisitos.

Práticas recomendadas

• Monitore conexões de banco de dados não seguras.

• Audite direitos de acesso ao banco de dados.

• Garanta que os backups e os instantâneos sejam criptografados em repouso.

• Monitore o acesso ao banco de dados.

• Evite grupos de acesso irrestrito.

• Melhore suas notificações com a Amazon GuardDuty.

• Monitore a adesão à política regularmente.

Épicos

Baixe um certificado confiável e importe-o para sua loja confiável

Tarefa	Descrição	Habilidades necessárias
Carregue um certificado confiável no seu computador.	Para adicionar certificados ao armazenamento das Autoridades de Certificação Raiz Confiáveis do seu computador, siga estas etapas. (Essas instruções usam o Windows Server como exemplo.) No Windows Server, escolha Iniciar, Executar e digite mmc. No console, escolha Arquivo, Adicionar/remover snap-in. Em Snap-ins disponíveis, escolha Certificados e, em seguida, escolha Adicionar. Em Este snap-in sempre gerenciará certificados para, escolha Conta de computador, Avançar. Escolha Computador local, Concluir. Se você não tiver mais snap-ins para adicionar ao console, escolha OK. Na árvore do console, clique duas vezes em Certificados. Clique com o botão direito do mouse em Autoridades de certificação raiz confiáveis. Escolha Todas as tarefas, Importar para importar os certificados baixados. Siga as etapas no Assistente de importação de certificados.	DevOps engenheiro, engenheiro de migração, DBA

Forçar conexões SSL

Tarefa	Descrição	Habilidades necessárias
Crie um grupo de parâmetros e defina o parâmetro rds.force_ssl.	Se a instância de banco de dados PostgreSQL tiver um grupo de parâmetros personalizado, edite o grupo de parâmetros e altere rds.force_ssl para 1. Se a instância de banco de dados usar o grupo de parâmetros padrão que não tem rds.force_ssl habilitado, crie um novo grupo de parâmetros. Você pode modificar o novo grupo de parâmetros usando a API do Amazon RDS ou manualmente, conforme as instruções a seguir. para criar um novo grupo de parâmetros: Faça login no console de gerenciamento da AWS e abra o console do Amazon RDS para a região da AWS que hospeda a instância de banco de dados. No painel de navegação, escolha Grupos de parâmetros. Escolha Criar grupo de parâmetros e defina os seguintes valores:  Para Parameter group family (Família de grupos de parâmetros), escolha postgres14 ou superior. Em Nome do grupo, digite pgsql-<database_instance>-ssl. Em Descrição, insira uma descrição em formato livre para o grupo de parâmetros que você está adicionando. Escolha Criar. Escolha o grupo de parâmetros que criou anteriormente. Em Parameter group actions (Ações do grupo de parâmetros), escolha Edit (Editar). Encontre rds.force_ssl e altere sua configuração para 1. Observação: realize testes do lado do cliente antes de alterar esse parâmetro. Escolha Salvar alterações. Para associar o novo grupo de parâmetros de banco de dados à sua instância de banco de dados: No console do Amazon RDS, no painel de navegação, selecione Bancos de dados e escolha a instância de banco de dados PostgreSQL. Escolha Modificar. Em Configuração adicional, escolha o novo grupo de parâmetros e, em seguida, escolha Continuar. Em Schedule modifications (Programar modificações), escolha Apply immediately (Aplicar imediatamente). Selecione Modify DB instance (Modificar instância de banco de dados). Para obter mais informações, consulte a documentação do Amazon RDS.	DevOps engenheiro, engenheiro de migração, DBA
Força conexões SSL.	Conecte-se à sua instância de banco de dados do Amazon RDS para PostgreSQL de origem. As tentativas de conexão que não usam SSL são rejeitadas com uma mensagem de erro. Para obter mais informações, consulte a documentação do Amazon RDS.	DevOps engenheiro, engenheiro de migração, DBA

Instalar extensão SSL

Tarefa	Descrição	Habilidades necessárias
Instale a extensão SSL.	Inicie uma conexão psql ou pgAdmin como DBA. Chame a função ssl_is_used () para determinar se o SSL está sendo usado. select ssl_is_used(); A função retornará t se a conexão estiver usando o SSL; caso contrário, retornará f. Instale a extensão SSL. create extension sslinfo; show ssl; select ssl_cipher(); Para obter mais informações, consulte a documentação do Amazon RDS.	DevOps engenheiro, engenheiro de migração, DBA

Configure seu cliente PostgreSQL para SSL

Tarefa	Descrição	Habilidades necessárias
Configure um cliente para SSL.	Usando SSL, você pode iniciar o servidor PostgreSQL com suporte para conexões criptografadas que usam protocolos TLS. O servidor recebe as conexões padrão e SSL na mesma porta TCP e negocia com qualquer cliente conectado se deve usar SSL ou não. Por padrão, essa é uma opção cliente. Se estiver usando o cliente psql: Garanta que o certificado Amazon RDS tenha sido carregado em seu computador local. Inicie uma conexão de cliente SSL adicionando o seguinte: psql postgres -h SOMEHOST.amazonaws.com -p 8192 -U someuser sslmode=verify-full sslrootcert=rds-ssl-ca-cert.pem select ssl_cipher(); Para outros clientes do PostgreSQL: Modifique o respectivo parâmetro da chave pública do aplicativo. Isso pode estar disponível como uma opção ou como uma propriedade na página de conexão nas ferramentas de GUI.  Examine as páginas a seguir para esses clientes: Documentação do pgAdmin Documentação do JDBC	DevOps engenheiro, engenheiro de migração, DBA

Solução de problemas

Problema	Solução
Não é possível baixar o certificado SSL.	Verifique sua conexão com o site e tente baixar novamente o certificado em seu computador local.

Recursos relacionados

• Documentação do Amazon RDS para PostgreSQL

• Usando SSL com uma instância de banco de dados PostgreSQL (documentação do Amazon RDS)

• Conexões TCP/IP seguras com SSL (documentação do PostgreSQL)

• Usando SSL (documentação do JDBC)