確保AWS關(guān)系數(shù)據(jù)庫服務(wù)安全性關(guān)鍵4步

責(zé)任編輯:editor006

2015-03-30 14:47:59

摘自:TechTarget中國

AWS將安全性視為共同的責(zé)任,所以管理員必須采取所有必要的步驟來確保RDS內(nèi)數(shù)據(jù)的安全。CloudTrail可以為超過25個(gè)不同字段創(chuàng)建日志,能夠分析并產(chǎn)生有意義的報(bào)告來告知IT團(tuán)隊(duì)任何關(guān)于數(shù)據(jù)庫的行為。

AWS將安全性視為共同的責(zé)任,所以管理員必須采取所有必要的步驟來確保RDS內(nèi)數(shù)據(jù)的安全。

AWS提供了數(shù)種功能來保護(hù)它的關(guān)系數(shù)據(jù)庫服務(wù)。但就有如許多其他的Amazon Web服務(wù)產(chǎn)品一樣,RDS也歸類于“共同責(zé)任”的安全模型之下。在這個(gè)實(shí)例中,AWS管理著底層的基礎(chǔ)架構(gòu),包括RDS、客戶操作系統(tǒng)、AWS基礎(chǔ)架構(gòu)和AWS基礎(chǔ)服務(wù)等等,但I(xiàn)T團(tuán)隊(duì)仍然需要對(duì)自己的數(shù)據(jù)庫安全負(fù)責(zé)。

確保AWS關(guān)系數(shù)據(jù)庫服務(wù)安全性關(guān)鍵4步

管理員必須考慮以下四個(gè)方面,才能保持AWS RDS內(nèi)的安全性,隱私性及數(shù)據(jù)完整性。

1.訪問控制

管理員都想要確保只有授權(quán)用戶能夠訪問公司數(shù)據(jù)庫以及特定的數(shù)據(jù)塊。AWS的彈性計(jì)算云(EC2)安全組允許云管理員將連接限制在某個(gè)授權(quán)的特定IP地址范圍內(nèi)。經(jīng)由你的AWS帳戶,你可以定義安全組和額外的特定IP地址,只允許它們?cè)L問數(shù)據(jù)庫。這樣能夠在網(wǎng)絡(luò)層就保護(hù)好數(shù)據(jù)。但如果有未授權(quán)的用戶獲得在你允許IP范圍內(nèi)的某臺(tái)電腦的訪問權(quán)限怎么辦?

此外,授權(quán)用戶可能在無意間刪除了數(shù)據(jù)。在這些情形中,AWS身份及訪問管理(IAM)可以替用戶及用戶組定義定制的訪問政策。這對(duì)你的關(guān)系數(shù)據(jù)庫服務(wù)操作及資源提供了更細(xì)化的控制。IAM的多因素認(rèn)證支持則更進(jìn)一步,確保了認(rèn)證的安全性。

在將網(wǎng)絡(luò)限制在一個(gè)有限的IP地址段內(nèi)進(jìn)行安全保護(hù),以及確保只有授權(quán)用戶能夠訪問你的RDS之后,你可以微調(diào)用戶能夠訪問的數(shù)據(jù)表和對(duì)象組以及他們能夠執(zhí)行的操作。一個(gè)RDS帳戶一開始創(chuàng)建時(shí)有一組主用戶和密鑰。通常來說,數(shù)據(jù)庫管理員就是主用戶,但你也可以創(chuàng)建更多的主用戶并定義他們?cè)跀?shù)據(jù)庫里的訪問權(quán)限。你也可以從數(shù)據(jù)庫內(nèi)部來加強(qiáng)連接的安全性,通過使用SSL連接的方式。

2.防火墻

你需要一個(gè)防火墻來將數(shù)據(jù)庫隔離于未授權(quán)的連接之外,并且監(jiān)控和審計(jì)內(nèi)部的活動(dòng)。但是,你并沒有數(shù)據(jù)庫或是它所在的硬件的直接訪問權(quán)限。

這就是云服務(wù)的本質(zhì)。Amazon關(guān)系數(shù)據(jù)庫服務(wù)允許你在一個(gè)獨(dú)立的虛擬機(jī)里安裝第三方防火墻,來監(jiān)控和阻擋對(duì)你RDS實(shí)例的攻擊。在使用安全組及限制 IP范圍來阻擋不需要的訪問之外,AWS也提供虛擬私有云(VPC),一種存在于組織層,能夠隔離存放數(shù)據(jù)庫的基礎(chǔ)架構(gòu)的防火墻。VPC能夠限制云不能夠被互聯(lián)網(wǎng)直接訪問,最終給予企業(yè)更多的控制。

為了能監(jiān)控你的數(shù)據(jù)庫操作和性能,Amazon CloudWatch提供了各式各樣的指標(biāo),包括CPU的使用,連接的數(shù)量,硬盤的空間使用,內(nèi)存的使用等等。這些性能指標(biāo)可以幫助我們探測(cè)類似于分布式拒絕服務(wù)之類的惡意攻擊,管理員也可以設(shè)立各種不同的警報(bào)來通知他們使用的高峰期或者性能的衰竭。

3.加密

不同的訪問控制和防火墻機(jī)制對(duì)于預(yù)防未授權(quán)遠(yuǎn)程訪問你的數(shù)據(jù)庫是很有幫助的,但你必須謹(jǐn)記你的數(shù)據(jù)是存在真實(shí)的硬件上的。因此,你必須保證它的私密性和安全性,即便有未授權(quán)的人員獲得了物理上的對(duì)那臺(tái)機(jī)器的訪問并讀取了上面的數(shù)據(jù)。這就是數(shù)據(jù)加密派上用場的時(shí)候,不論是在數(shù)據(jù)從數(shù)據(jù)庫傳出還是傳入的時(shí)候,或者是當(dāng)它處于靜態(tài)的時(shí)候。

要達(dá)成傳輸間的加密,你必須確定所有對(duì)AWS RDS的訪問都是經(jīng)由安全的HTTP(HTTPS)。有幾種數(shù)據(jù)庫還支持從數(shù)據(jù)庫內(nèi)部禁用非安全的連接的功能。要注意的是,加密和解密數(shù)據(jù)可能會(huì)產(chǎn)生一些數(shù)據(jù)庫操作的延遲。

要完成對(duì)靜態(tài)數(shù)據(jù)的加密,Amazon RDS為Oracle和SQL Server提供了一個(gè)透明數(shù)據(jù)加密(TDE)設(shè)施。TDE允許管理員使用一個(gè)256位的AES主密鑰加密數(shù)據(jù)以及加密密鑰。除了這個(gè)方式,你唯一能達(dá)到靜態(tài)加密的選擇就只有使用標(biāo)準(zhǔn)加密庫,例如OpenSSL或Bouncy Castle來選擇性的替數(shù)據(jù)庫字段加密。

4. 審計(jì)和報(bào)告

要真的了解數(shù)據(jù)庫內(nèi)部發(fā)生的狀況,以及要遵循有關(guān)存儲(chǔ)數(shù)據(jù)的不同規(guī)則,管理員必須檢視所有數(shù)據(jù)庫內(nèi)部的活動(dòng),并生成有意義的報(bào)告。Amazon CloudTrail就是個(gè)能夠提供API調(diào)用及相關(guān)事件完整歷史的數(shù)據(jù)庫審計(jì)服務(wù)。

CloudTrail提供多種關(guān)于日志文件相關(guān)的功能,允許公司遵循大部分的法律法規(guī),包括使用IAM服務(wù)對(duì)日志文件進(jìn)行訪問控制,創(chuàng)建或配置錯(cuò)誤日志文件的警告,關(guān)于系統(tǒng)改動(dòng)事件的日志,日志文件存儲(chǔ)等等。CloudTrail可以為超過25個(gè)不同字段創(chuàng)建日志,能夠分析并產(chǎn)生有意義的報(bào)告來告知IT團(tuán)隊(duì)任何關(guān)于數(shù)據(jù)庫的行為。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)