Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Рекомендации по защите AWS RDS и других облачных баз данных
Служба реляционных баз данных от AWS может помочь оптимизировать множество операций облачного хранилища, но обеспечение безопасности требует определенного внимания со стороны пользователя. Вот некоторые рекомендации по использованию RDS.
Неудивительно, что организации все чаще используют облачные сервисы, в том числе для хранения данных. Облачное хранилище предлагает огромные преимущества, такие как репликация, географическая устойчивость, а также возможность снижения затрат и повышения эффективности.
Служба реляционных баз данных (RDS) Amazon Web Services (AWS) — одна из самых популярных облачных служб баз данных и хранилищ. На высоком уровне RDS упрощает настройку, эксплуатацию и масштабирование реляционных баз данных в AWS, таких как MariaDB, Microsoft SQL Server, MySQL и других. RDS, как и любое другое предложение AWS или облачных сервисов, использует модель общей ответственности. Это означает, что поставщик облачных услуг (CSP) — в данном случае AWS — несет ответственность за защиту базовой инфраструктуры и сред хостинга, а потребители несут ответственность за свою долю RDS, которая включает в себя операционную систему, конфигурации и архитектуру.
Неспособность учесть долю потребителей в обязанностях RDS может привести к утечкам облачных данных, которых мы видели множество. Ключевые области включают настройку доступа к виртуальному частному облаку (VPC), в котором будет находиться экземпляр базы данных, политики управления идентификацией и доступом приложений (IAM), а также группы безопасности для управления сетевым трафиком и шифрованием. Ниже мы обсудим некоторые из этих областей, а также другие, такие как соблюдение требований.
Одним из первых ключевых вопросов является аутентификация, или то, как пользователи подтверждают свою личность для доступа к экземплярам базы данных RDS. Среди опций — пароли, Kerberos и аутентификация базы данных IAM. Потребителям необходимо определить, какой маршрут аутентификации они выберут, а затем реализовать соответствующие элементы управления, такие как сложность пароля, политики MFA и IAM.
В области защиты данных ключевые соображения включают использование многофакторной аутентификации, а также использование SSL/TLS для связи с другими ресурсами и обеспечение использования соответствующей версии TLS, например 1.2. Другие рекомендации AWS включают использование их сервиса Macie, который может помочь обнаружить и защитить конфиденциальные данные, хранящиеся в S3. Macie использует машинное обучение (ML) для обнаружения конфиденциальных данных, создания интерактивной карты и даже автоматического генерирования результатов и отправки их в сервисы AWS, такие как AWS Security Hub, чтобы можно было исправить уязвимые конфигурации или открытые данные.
AWS предоставляет различные методы шифрования ресурсов AWS RDS, включая шифрование хранящихся данных в базовых экземплярах БД, автоматическое резервное копирование, реплики чтения и снимки. Для облегчения этого AWS использует свою службу управления ключами (KMS). Здесь существуют различные варианты в зависимости от того, хотите ли вы взять на себя ответственность за управление ключами или использовать ключи, управляемые AWS. При использовании ключей, управляемых клиентом, вы можете изменить такие вещи, как политики ключей и политики IAM, чтобы реализовать более детальный контроль доступа и ограничения использования ключей, например ограничение того, где могут исходить запросы на доступ к экземпляру RDS.
Клиенты также могут использовать AWS CloudTrail для аудита использования ключей KMS и выявления потенциально вредоносного поведения или неправильного использования разрешений и доступа к данным. Для более глубокого ознакомления с шифрованием AWS и использованием KMS AWS предлагает технический документ «Лучшие практики службы управления ключами».
Тем не менее, есть несколько ключевых моментов, которые следует учитывать при шифровании экземпляров базы данных AWS RDS. Вы должны зашифровать экземпляр базы данных во время создания; вы не сможете вернуться и зашифровать его позже. Вы также не можете отключить шифрование после его включения.
Организациям также следует принять во внимание безопасность трафика между службой RDS и локальными клиентами и приложениями, например, используя AWS Site-to-Site VPN или AWS Direct Connect, чтобы гарантировать, что трафик не будет доступен неавторизованным лицам.