AWS Advanced JDBC Wrapper теперь обеспечивает шифрование на стороне клиента
AWS Advanced JDBC Wrapper теперь обеспечивает шифрование на стороне клиента на уровне столбцов с помощью плагина для шифрования KMS. Оболочка предоставляет расширенные возможности, такие как обработка резервного переключения, интеграция с аутентификацией AWS и улучшенный мониторинг баз данных Amazon Aurora и Amazon RDS с открытым исходным кодом. Это позволяет приложениям Java шифровать конфиденциальные данные до их попадания в базу данных без изменения кода приложения.
Шифрование базы данных при хранении и применение протокола TLS при передаче являются базовыми средствами обеспечения безопасности. Однако они не ограничивают расшифровку данных в СУБД. Скомпрометированный мандат, предоставление избыточных привилегий администратору или атака с внедрением SQL-кода может привести к раскрытию конфиденциальных данных в открытом виде, что создает риск нарушения требований PCI DSS, HIPAA и GDPR. Плагин шифрования KMS устраняет этот пробел, работая на уровне драйвера JDBC. Когда ваше приложение записывает данные в зашифрованный столбец, плагин шифрует значение до того, как оно попадет в базу данных. При чтении он расшифровывает значение перед его возвратом. Обычный текст остается доступным только вашему приложению, а в базе данных значения будут зашифрованы. База данных может подтверждать целостность данных с помощью проверки HMAC без ключа шифрования. Плагин легко интегрируется с существующими конфигурациями SQL, Spring, Hibernate и пула соединений без изменения кода.
Плагин для шифрования KMS работает с базами данных Amazon RDS и Amazon Aurora, совместимыми с PostgreSQL и MySQL.
Плагин доступен в виде проекта с открытым исходным кодом под лицензией Apache 2.0. Подробнее см. в документации по AWS Advanced JDBC Wrapper.