การรักษาความปลอดภัยของ Amazon RDS
Amazon RDS เป็นบริการฐานข้อมูลแบบเชิงสัมพันธ์ที่มีการจัดการซึ่งมอบตัวเลือกกลไกฐานข้อมูลที่คุณคุ้นเคยแปดรายการให้คุณเลือก ได้แก่ Amazon Aurora รุ่นที่ใช้งานร่วมกับ PostgreSQL ได้ Amazon Aurora รุ่นที่ใช้งานร่วมกับ MySQL ได้ RDS สำหรับ PostgreSQL RDS สำหรับ MySQL RDS สำหรับ MariaDB RDS สำหรับเซิร์ฟเวอร์ SQL RDS สำหรับ Oracle และ RDS สำหรับ Db2
Amazon RDS และ Amazon Aurora มีชุดคุณสมบัติที่มอบความมั่นใจว่าข้อมูลของคุณจะได้รับการจัดเก็บและเข้าถึงอย่างปลอดภัย เรียกใช้ฐานข้อมูลของคุณใน Amazon Virtual Private Cloud (VPC) เพื่อแยกระดับเครือข่าย ใช้กลุ่มมาตรการรักษาความปลอดภัยเพื่อควบคุมว่าที่อยู่ IP หรืออินสแตนซ์ Amazon EC2 ใดที่สามารถเชื่อมต่อกับฐานข้อมูลของคุณได้ ไฟร์วอลล์ในนี้จะป้องกันการเข้าถึงฐานข้อมูลใดๆ ยกเว้นกฎที่คุณระบุ
ใช้นโยบาย AWS Identity and Access Management (IAM) เพื่อกําหนดสิทธิ์ว่าใครได้รับอนุญาตให้จัดการทรัพยากร Amazon RDS ใช้คุณสมบัติความปลอดภัยของกลไกจัดการฐานข้อมูลของคุณเพื่อควบคุมว่าใครสามารถเข้าสู่ระบบฐานข้อมูลได้บ้าง เหมือนกับที่คุณทําถ้าฐานข้อมูลอยู่บนเครือข่ายท้องถิ่นของคุณ คุณยังสามารถแมปผู้ใช้ฐานข้อมูลให้เข้ากับบทบาทใน IAM สําหรับการเข้าถึงแบบรวมศูนย์ได้อีกด้วย
ใช้การเชื่อมต่อ Secure Socket Layer / Transport Layer Security (SSL/TLS) เพื่อเข้ารหัสข้อมูลที่อยู่ระหว่างการโอนย้าย เข้ารหัสพื้นที่เก็บข้อมูลฐานข้อมูลและการสํารองข้อมูลของคุณเมื่อไม่ได้ใช้งานโดยใช้ Amazon Key Management Service (KMS) ตรวจสอบกิจกรรมฐานข้อมูลและผนวกเข้ากับแอปพลิเคชันความปลอดภัยของฐานข้อมูลพันธมิตรด้วยการสตรีมกิจกรรมฐานข้อมูล
การเข้ารหัสข้อมูลที่อยู่ในพื้นที่จัดเก็บ
Amazon RDS เข้ารหัสฐานข้อมูลของคุณโดยใช้คีย์ที่คุณจัดการด้วย AWS Key Management Service (KMS) บนอินสแตนซ์ฐานข้อมูลที่รันด้วยการเข้ารหัส Amazon RDS ข้อมูลที่เก็บพักไว้ในพื้นที่จัดเก็บข้อมูลพื้นฐานจะถูกเข้ารหัส เช่นเดียวกับข้อมูลสำรองอัตโนมัติ แบบจำลองการอ่าน และสแน็ปช็อต การเข้ารหัส Amazon RDS ใช้อัลกอริธึมการเข้ารหัส AES-256 มาตรฐานอุตสาหกรรมเพื่อเข้ารหัสข้อมูลของคุณบนเซิร์ฟเวอร์ที่โฮสต์อินสแตนซ์ Amazon RDS ของคุณ
นอกจากนี้ Amazon RDS ยังรองรับ การเข้ารหัสข้อมูลแบบโปร่งใส (TDE) สําหรับ SQL Server (SQL Server Enterprise Edition และ Standard Edition) และ Oracle (ตัวเลือก Oracle Advanced Security ใน Oracle Enterprise Edition) ด้วย TDE เซิร์ฟเวอร์ฐานข้อมูลจะเข้ารหัสข้อมูลโดยอัตโนมัติก่อนที่จะเขียนไปยังที่เก็บข้อมูลและถอดรหัสข้อมูลโดยอัตโนมัติเมื่ออ่านจากที่เก็บข้อมูล
Amazon RDS ให้ คำแนะนำแนวทางปฏิบัติที่ดีที่สุด โดยวิเคราะห์การกำหนดค่าและตัววัดการใช้งานจากอินสแตนซ์ฐานข้อมูลของคุณ คําแนะนําครอบคลุมด้านต่างๆ เช่น ความปลอดภัย การเข้ารหัส IAM และ VPC คุณสามารถเรียกดูคำแนะนำที่พร้อมใช้งานและดำเนินการตามที่แนะนำโดยทันที กำหนดระยะเวลาการบำรุงรักษาครั้งต่อไป หรือยกเลิกทั้งหมด
การเข้ารหัสข้อมูลที่อยู่ระหว่างการโอนย้าย
เข้ารหัสการสื่อสารระหว่างแอปพลิเคชันและอินสแตนซ์ฐานข้อมูล (DB) ของคุณโดยใช้ SSL/TLS Amazon RDS จะสร้างใบรับรอง SSL และติดตั้งใบรับรองนั้นบนอินสแตนซ์ฐานข้อมูล (DB) เมื่อมีการจัดเตรียมอินสแตนซ์ สําหรับ MySQL คุณเปิดไคลเอนต์ mysql โดยใช้พารามิเตอร์ --ssl_ca เพื่ออ้างอิงคีย์สาธารณะเพื่อเข้ารหัสการเชื่อมต่อ สําหรับ SQL Server ให้ดาวน์โหลดคีย์สาธารณะและนําเข้าใบรับรองลงในระบบปฏิบัติการ Windows ของคุณ RDS สําหรับ Oracle ใช้การเข้ารหัสเครือข่ายแบบเนทีฟของ Oracle กับอินสแตนซ์ DB คุณเพียงแค่เพิ่มตัวเลือกการเข้ารหัสเครือข่ายดั้งเดิมลงในกลุ่มตัวเลือกและเชื่อมโยงกลุ่มตัวเลือกนั้นกับอินสแตนซ์ DB เมื่อมีการเชื่อมต่อที่เข้ารหัสแล้ว ข้อมูลที่ถ่ายโอนระหว่างอินสแตนซ์ DB และแอปพลิเคชันของคุณจะได้รับการเข้ารหัสระหว่างการถ่ายโอน คุณยังสามารถกําหนดให้อินสแตนซ์ DB ของคุณยอมรับเฉพาะการเชื่อมต่อที่เข้ารหัสเท่านั้นได้อีกด้วย
การควบคุมการเข้าถึง
Amazon RDS ผสานรวมกับ AWS Identity and Access Management (IAM) และช่วยให้คุณสามารถควบคุมการกระทำที่ผู้ใช้ IAM และกลุ่ม AWS สามารถดำเนินการกับทรัพยากรเฉพาะ (เช่น อินสแตนซ์ DB, สแนปช็อต DB, กลุ่มพารามิเตอร์ DB, การสมัครรับข้อมูลกิจกรรม DB และ กลุ่มตัวเลือก DB) นอกจากนี้ คุณสามารถแท็กทรัพยากรของคุณและควบคุมการดำเนินการที่ผู้ใช้ IAM และกลุ่มของคุณสามารถดำเนินการกับกลุ่มทรัพยากรที่มีแท็กเดียวกัน (และค่าแท็ก) สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ การผสานการทำงาน IAM โปรดดูเอกสารประกอบการรับรองความถูกต้องของฐานข้อมูล IAM
นอกจากนี้ คุณยังสามารถติดแท็กทรัพยากร Amazon RDS ของคุณ และควบคุมการกระทำที่ผู้ใช้ IAM และกลุ่มของคุณสามารถทำได้กับกลุ่มของทรัพยากรที่มีแท็กเดียวกันและค่าที่เกี่ยวข้องได้ ตัวอย่างเช่น คุณสามารถกำหนดค่ากฎ IAM เพื่อให้มั่นใจว่า Developper สามารถแก้ไขอินสแตนซ์ฐานข้อมูล "การพัฒนา" ได้ แต่เฉพาะผู้ดูแลระบบฐานข้อมูลเท่านั้นที่สามารถทำการเปลี่ยนแปลงอินสแตนซ์ฐานข้อมูล "การผลิต" ได้
เมื่อคุณสร้างอินสแตนซ์ DB ภายใน Amazon RDS เป็นครั้งแรก คุณจะสร้างบัญชีผู้ใช้หลัก ซึ่งใช้เฉพาะภายใต้บริบทของ Amazon RDS เพื่อควบคุมการเข้าถึงอินสแตนซ์ DB ของคุณเท่านั้น บัญชีผู้ใช้หลักคือบัญชีผู้ใช้ฐานข้อมูลแบบเนทิฟที่อนุญาตให้คุณเข้าสู่ระบบอินสแตนซ์ DB ของคุณด้วยสิทธิ์ฐานข้อมูลทั้งหมด คุณสามารถระบุชื่อผู้ใช้หลักและรหัสผ่านที่คุณต้องการเชื่อมโยงกับอินสแตนซ์ DB แต่ละรายการเมื่อคุณสร้างอินสแตนซ์ DB ได้ เมื่อคุณสร้างอินสแตนซ์ DB ของคุณแล้ว คุณสามารถเชื่อมต่อกับฐานข้อมูลโดยใช้ข้อมูลประจำตัวของผู้ใช้หลัก จากนั้น คุณสามารถสร้างบัญชีผู้ใช้เพิ่มเติมเพื่อให้คุณสามารถจำกัดบุคคลที่สามารถเข้าถึงอินสแตนซ์ DB ของคุณได้อีกด้วย
การแยกเครือข่ายและไฟร์วอลล์ฐานข้อมูล
หากใช้ Amazon Virtual Private Cloud (VPC) คุณสามารถแยกอินสแตนซ์ DB ของคุณในเครือข่ายเสมือนของคุณเอง และเชื่อมต่อกับโครงสร้างพื้นฐาน IT โดยใช้ IPSec VPN ที่มีการเข้ารหัสตามมาตรฐานอุตสาหกรรม
Amazon VPC ช่วยให้คุณสามารถแยกอินสแตนซ์ DB ของคุณได้โดยระบุช่วง IP ที่คุณต้องการใช้และเชื่อมต่อกับโครงสร้างพื้นฐานไอทีที่มีอยู่ผ่าน IPsec VPN ที่เข้ารหัสตามมาตรฐานอุตสาหกรรม การเรียกใช้ Amazon RDS ใน VPC ช่วยให้คุณมีอินสแตนซ์ DB ภายในซับเน็ตส่วนตัวได้ คุณยังสามารถตั้งค่าเกตเวย์ส่วนตัวแบบเสมือนที่จะขยายเครือข่ายองค์กรของคุณไปยัง VPC ของคุณ และอนุญาตให้เข้าถึงอินสแตนซ์ Amazon RDS DB ใน VPC นั้นได้ โปรดดูคู่มือผู้ใช้ Amazon VPC สำหรับข้อมูลเพิ่มเติม อินสแตนซ์ DB ที่ปรับใช้ภายใน Amazon VPC สามารถเข้าถึงได้จากอินเทอร์เน็ตหรือจากอินสแตนซ์ Amazon EC2 ภายนอก VPC ผ่าน VPN หรือโฮสต์ Bastion ที่คุณสามารถเปิดใช้ในซับเน็ตสาธารณะของคุณ หากต้องการใช้โฮสต์ Bastion คุณจะต้องตั้งค่าซับเน็ตสาธารณะที่มีอินสแตนซ์ EC2 ที่ทำหน้าที่เป็น SSH Bastion ซับเน็ตสาธารณะนี้ต้องมีอินเทอร์เน็ตเกตเวย์และกฎการกำหนดเส้นทางที่อนุญาตให้มีการรับส่งข้อมูลผ่านโฮสต์ SSH ซึ่งจะต้องส่งต่อคำขอไปยังที่อยู่ IP ส่วนตัวของอินสแตนซ์ Amazon RDS DB ของคุณ คุณสามารถใช้กลุ่มมาตรการรักษาความปลอดภัย DB เพื่อช่วยรักษาความปลอดภัยอินสแตนซ์ DB ภายใน Amazon VPC ได้ นอกจากนี้ การรับส่งข้อมูลเครือข่ายเข้าและออกจากแต่ซับเน็ตสามารถอนุญาตหรือปฏิเสธผ่าน ACL เครือข่ายได้ การรับส่งข้อมูลเครือข่ายทั้งหมดที่เข้าหรือออกจาก Amazon VPC ของคุณผ่านการเชื่อมต่อ IPsec VPN ของคุณสามารถตรวจสอบได้โดยโครงสร้างพื้นฐานด้านความปลอดภัยในองค์กรของคุณ รวมถึงไฟร์วอลล์เครือข่ายและระบบตรวจจับการบุกรุก
สตรีมกิจกรรมฐานข้อมูล
นอกเหนือจากภัยคุกคามความปลอดภัยภายนอก การจัดการฐานข้อมูลจําเป็นต้องมีการป้องกันความเสี่ยงภายในจากผู้ดูแลระบบฐานข้อมูล (DBA) สตรีมกิจกรรมฐานข้อมูล ซึ่งปัจจุบันรองรับ Amazon Aurora และ Amazon RDS สำหรับ Oracle จะให้ Data Stream กิจกรรมฐานข้อมูลในฐานข้อมูลแบบเชิงสัมพันธ์ของคุณแบบเรียลไทม์ เมื่อรวมเข้ากับเครื่องมือตรวจสอบกิจกรรมฐานข้อมูลของบุคคลที่สาม คุณสามารถตรวจสอบกิจกรรมฐานข้อมูลเพื่อป้องกันฐานข้อมูลของคุณและเป็นไปตามข้อกําหนดและข้อบังคับที่วางไว้
สตรีมกิจกรรมฐานข้อมูลจะปกป้องฐานข้อมูลของคุณจากภัยคุกคามภายในโดยใช้รูปแบบการป้องกันที่ควบคุมการเข้าถึง DBA ไปยังสตรีมกิจกรรมฐานข้อมูล ดังนั้นการรวบรวม การส่งการจัดเก็บ และการประมวลผลที่ตามมาของสตรีมกิจกรรมฐานข้อมูลจึงอยู่นอกเหนือการเข้าถึง DBAs ที่จัดการฐานข้อมูล
สตรีมจะถูกพุชไปยัง Amazon Kinesis Data Stream ที่สร้างขึ้นในนามของฐานข้อมูลของคุณ สตรีมกิจกรรมฐานข้อมูลสามารถถูกใช้งานโดย Amazon CloudWatch หรือโดยแอปพลิเคชันคู่ค้าเพื่อจัดการให้การปฏิบัติเป็นตามข้อกําหนด เช่น IBM Security Guardium โดยผ่านทาง Kinesis Data Firehose แอปพลิเคชันคู่ค้าเหล่านี้สามารถใช้ข้อมูลสตรีมกิจกรรมฐานข้อมูลเพื่อสร้างการแจ้งเตือนและให้การตรวจสอบกิจกรรมทั้งหมดบนฐานข้อมูล Amazon Aurora ของคุณได้
คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับการใช้สตรีมกิจกรรมฐานข้อมูลสําหรับ Aurora รุ่นที่เข้ากันได้กับ PostgreSQL และ MySQL ได้ใน หน้าเอกสารประกอบ และสําหรับ Amazon RDS สำหรับ Oracle ใน หน้าเอกสารประกอบ
"การปกป้องข้อมูล Imperva ใช้ฟีดจากเหตุการณ์ AWS Database Activity Stream (DAS) (รวมถึงแหล่งข้อมูลอื่นๆ ของ AWS) โดยเพิ่มบริบทด้านความปลอดภัยผ่านการวิเคราะห์ที่มีประสิทธิภาพและสร้างขึ้นตามวัตถุประสงค์ Imperva ตรวจจับกิจกรรมที่เป็นอันตรายพฤติกรรมหลบเลี่ยงและการใช้สิทธิ์ในทางที่ผิดซึ่งอาจเป็นตัวบ่งชี้บัญชีที่ถูกบุกรุกและองค์ประกอบของภัยคุกคามจากภายใน ประโยชน์เพิ่มเติมก็คือ การสํารวจข้อมูลแบบโต้ตอบ ระบบอัตโนมัตินอกกรอบที่ชาญฉลาด และการตอบสนองในตัวผ่านคู่มือที่ลด TCO และลดช่องว่างทักษะที่บริษัทส่วนใหญ่ต้องเผชิญเมื่อย้ายไปยังระบบคลาวด์" - Dan Neault รองประธานอาวุโสและผู้จัดการทั่วไปหน่วยธุรกิจด้านการรักษาความปลอดภัยข้อมูลของ Imperva
หากต้องการเรียนรู้เพิ่มเติม โปรดไปที่ หน้าความปลอดภัยของข้อมูล Imperva
"IBM Security® Guardium® Data Protection ช่วยมอบความมั่นใจด้านความปลอดภัย ความเป็นส่วนตัว และความสมบูรณ์ของข้อมูลสําคัญในสภาพแวดล้อมที่หลากหลาย ตั้งแต่ฐานข้อมูลไปจนถึง Big Data ไฮบริด/คลาวด์ ระบบไฟล์ และอื่นๆ เรารู้สึกตื่นเต้นที่จะได้ผสานรวมกับ AWS Database Activity Streams (DAS) การผสานรวมนี้จะช่วยให้ลูกค้าร่วมของเราสามารถมองเห็นกิจกรรมฐานข้อมูลได้เกือบเรียลไทม์ และจะช่วยให้พวกเขาสามารถระบุภัยคุกคามได้อย่างรวดเร็วและใช้แนวทางเชิงกลยุทธ์ที่สอดคล้องกันในการปกป้องข้อมูลในสภาพแวดล้อมภายในองค์กรและระบบคลาวด์" – Benazeer Daruwalla, Offering Manager, Data Protection Portfolio, IBM Security
หากต้องการเรียนรู้เพิ่มเติม โปรดไปที่ หน้าความปลอดภัยของ IBM
การปฏิบัติตามข้อกำหนด
Amazon RDS มุ่งมั่นที่จะนําเสนอกรอบการปฏิบัติตามข้อกําหนดที่แข็งแกร่งรวมถึงเครื่องมือขั้นสูงและมาตรการรักษาความปลอดภัยที่ลูกค้าสามารถใช้เพื่อประเมิน ตอบสนอง และแสดงให้เห็นถึงการปฏิบัติตามข้อกําหนดทางกฎหมายและข้อบังคับที่บังคับใช้ ลูกค้าควรตรวจสอบรูปแบบความรับผิดชอบร่วมกันของ AWS และแมปความรับผิดชอบของ Amazon RDS และความรับผิดชอบของลูกค้า ลูกค้ายังสามารถใช้ AWS Artifact เพื่อเข้าถึงรายงานการตรวจสอบของ RDS และดําเนินการประเมินความรับผิดชอบในการควบคุม
โปรดดูข้อมูลเพิ่มเติมใน หน้าการปฏิบัติตามข้อกำหนดของ AWS
คำถามที่พบบ่อย
Amazon Virtual Private Cloud (VPC) คืออะไรและทำงานกับ Amazon RDS อย่างไร
Amazon VPC ช่วยให้คุณสามารถสร้างสภาพแวดล้อมของระบบเครือข่ายเสมือนในส่วนแบบส่วนตัวที่แยกกันของ AWS Cloud ได้ ซึ่งคุณสามารถใช้การควบคุมด้านต่างๆ เช่น ช่วงที่อยู่ IP ส่วนตัว ซับเน็ต ตารางเส้นทาง และเกตเวย์เครือข่าย Amazon VPC ช่วยให้คุณสามารถกำหนดโครงสร้างเครือข่ายเสมือนและปรับแต่งการกำหนดค่าเครือข่ายให้คล้ายกับเครือข่าย IP แบบเดิมที่คุณอาจใช้งานได้ในศูนย์ข้อมูลของคุณเอง
วิธีหนึ่งที่คุณสามารถใช้ประโยชน์จาก VPC ได้คือเมื่อคุณต้องการเรียกใช้เว็บแอปพลิเคชันแบบสาธารณะในขณะที่ยังคงรักษาเซิร์ฟเวอร์แบ็กเอนด์ที่ไม่สามารถเข้าถึงได้แบบสาธารณะในซับเน็ตส่วนตัว คุณสามารถสร้างซับเน็ตแบบสาธารณะสำหรับเว็บเซิร์ฟเวอร์ของคุณที่มีการเข้าถึงอินเทอร์เน็ต และวางอินสแตนซ์ Amazon RDS DB แบบแบ็กเอนด์ของคุณในซับเน็ตแบบส่วนตัวโดยไม่มีการเข้าถึงอินเทอร์เน็ต สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Amazon VPC โปรดดูคู่มือผู้ใช้ Amazon Virtual Private Cloud
การใช้ Amazon RDS ภายใน VPC แตกต่างจากการใช้บนแพลตฟอร์ม EC2-Classic (ไม่ใช่ VPC) อย่างไร
หากบัญชี AWS ของคุณถูกสร้างขึ้นก่อน 2013-12-04 คุณอาจใช้ Amazon RDS ในสภาพแวดล้อม Amazon Elastic Compute Cloud (EC2) Classic ได้ ฟังก์ชันการทำงานพื้นฐานของ Amazon RDS นั้นเหมือนกัน ไม่ว่าจะใช้ EC2-Classic หรือ EC2-VPC Amazon RDS จะจัดการกับการสำรองข้อมูล การแพตช์ซอฟต์แวร์ การตรวจหาความผิดพลาดโดยอัตโนมัติ แบบจำลองการอ่าน และการกู้คืน ไม่ว่าจะปรับใช้อินสแตนซ์ DB ของคุณภายในหรือภายนอก VPC สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความแตกต่างระหว่าง EC2-Classic และ EC2-VPC โปรดดู เอกสารประกอบ EC2
กลุ่มซับเน็ต DB คืออะไรและเหตุใดฉันจึงต้องการ
กลุ่มซับเน็ต DB คือชุดซับเน็ตที่คุณอาจต้องการกำหนดให้กับอินสแตนซ์ Amazon RDS DB ใน VPC กลุ่มซับเน็ต DB แต่ละกลุ่มควรมีซับเน็ตอย่างน้อยหนึ่งรายการสำหรับทุกๆ Availability Zone ในรีเจี้ยนที่กำหนด เมื่อสร้างอินสแตนซ์ DB ใน VPC คุณจะต้องเลือกกลุ่มเครือข่ายย่อย DB Amazon RDS ใช้กลุ่มเครือข่ายย่อย DB และ Availability Zone ที่คุณต้องการเพื่อเลือกกลุ่มเครือข่ายย่อยและที่อยู่ IP ภายในกลุ่มเครือข่ายย่อยนั้น Amazon RDS สร้างและเชื่อมโยง Elastic Network Interface เข้ากับอินสแตนซ์ DB ของคุณโดยใช้ที่อยู่ IP ดังกล่าว
โปรดทราบว่าเราขอแนะนำให้คุณใช้ชื่อ DNS เพื่อเชื่อมต่อกับอินสแตนซ์ DB ของคุณ เนื่องจากที่อยู่ IP พื้นฐานสามารถเปลี่ยนแปลงได้ (เช่น ระหว่างการใช้ระบบสำรองเพื่อกู้คืนข้อมูล)
สำหรับการใช้งานอินสแตนซ์แบบ Multi-AZ การกำหนดซับเน็ตสำหรับ Availability Zone ทั้งหมดในรีเจี้ยนจะช่วยให้ Amazon RDS สามารถสร้างสแตนด์บายใหม่ใน Availability Zone อื่นได้หากมีความจำเป็นเกิดขึ้น คุณต้องทำเช่นนี้แม้แต่สำหรับการนำ AZ เดียว ไปใช้จริง ในกรณีที่คุณต้องการแปลงเป็นการใช้งานอินสแตนซ์แบบ Multi-AZ ในบางจุด
ฉันจะสร้างอินสแตนซ์ Amazon RDS DB ใน VPC ได้อย่างไร
หากต้องการทราบขั้นตอนที่นำคุณมาสู่กระบวนการนี้ โปรดดูการสร้างอินสแตนซ์ DB ใน VPC ในคู่มือผู้ใช้ Amazon RDS
ฉันจะควบคุมการเข้าถึงเครือข่ายไปยังอินสแตนซ์ DB ของฉันได้อย่างไร
ไปที่ส่วน กลุ่มมาตรการรักษาความปลอดภัย ของคู่มือผู้ใช้ Amazon RDS เพื่อเรียนรู้เกี่ยวกับวิธีต่างๆ ในการควบคุมการเข้าถึงอินสแตนซ์ DB ของคุณ
ฉันจะเชื่อมต่ออินสแตนซ์ Amazon RDS DB ใน VPC ได้อย่างไร
อินสแตนซ์ DB ที่ปรับใช้ภายใน VPC สามารถเข้าถึงได้โดย EC2 instance ที่ใช้งานใน VPC เดียวกัน หากปรับใช้อินสแตนซ์ EC2 เหล่านี้ในซับเน็ตสาธารณะที่มี Elastic IP ที่เกี่ยวข้อง คุณจะสามารถเข้าถึง EC2 instance ผ่านทางอินเทอร์เน็ตได้ อินสแตนซ์ DB ที่ปรับใช้ภายใน VPC สามารถเข้าถึงได้จากอินเทอร์เน็ตหรือจากอินสแตนซ์ EC2 ภายนอก VPC ผ่าน VPN หรือโฮสต์ Bastion ที่คุณสามารถเปิดใช้ในซับเน็ตสาธารณะของคุณหรือใช้ตัวเลือกที่เข้าถึงได้แบบสาธารณะของ Amazon RDS:
- หากต้องการใช้โฮสต์ Bastion คุณจะต้องตั้งค่าเครือข่ายย่อยสาธารณะที่มีอินสแตนซ์ EC2 ที่ทําหน้าที่เป็น SSH Bastion ซับเน็ตสาธารณะนี้ต้องมีอินเทอร์เน็ตเกตเวย์และกฎการกำหนดเส้นทางที่อนุญาตให้มีการรับส่งข้อมูลผ่านโฮสต์ SSH ซึ่งจะต้องส่งต่อคำขอไปยังที่อยู่ IP ส่วนตัวของอินสแตนซ์ Amazon RDS DB ของคุณ
- หากต้องการใช้การเชื่อมต่อแบบสาธารณะ เพียงสร้างอินสแตนซ์ DB ของคุณโดยตั้งค่าตัวเลือก Publicly Accessible เป็น “ใช่” เมื่อเปิด Publicly Accessible แล้ว ระบบจะสามารถเข้าถึงอินสแตนซ์ DB ใน VPC ได้อย่างสมบูรณ์ภายนอก VPC ตามค่าเริ่มต้น ซึ่งหมายความว่าคุณไม่จำเป็นต้องกำหนดค่า VPN หรือโฮสต์ Bastion เพื่อให้สามารถเข้าถึงอินสแตนซ์ของคุณได้
คุณยังสามารถตั้งค่าเกตเวย์ VPN ที่จะขยายเครือข่ายองค์กรของคุณไปยัง VPC ของคุณ และอนุญาตให้เข้าถึงอินสแตนซ์ Amazon RDS DB ใน VPC นั้นได้ โปรดดูคู่มือผู้ใช้ Amazon VPC สำหรับข้อมูลเพิ่มเติม
เราขอแนะนำให้คุณใช้ชื่อ DNS เพื่อเชื่อมต่อกับอินสแตนซ์ DB ของคุณ เนื่องจากที่อยู่ IP พื้นฐานสามารถเปลี่ยนแปลงได้ (เช่น ระหว่างการใช้ระบบสำรองเพื่อกู้คืนข้อมูล)
ฉันสามารถย้ายอินสแตนซ์ DB ที่มีอยู่ภายนอก VPC ไปยัง VPC ได้หรือไม่
หากอินสแตนซ์ DB ของคุณไม่อยู่ใน VPC คุณสามารถใช้คอนโซลการจัดการของ AWS เพื่อย้ายอินสแตนซ์ DB ของคุณไปยัง VPC ได้อย่างง่ายดาย โปรดดูรายละเอียดเพิ่มเติมในคู่มือผู้ใช้ Amazon RDS นอกจากนี้คุณยังสามารถถ่ายภาพอินสแตนซ์ DB ของคุณภายนอก VPC และกู้คืนไปยัง VPC โดยระบุกลุ่มเครือข่ายย่อย DB ที่คุณต้องการใช้ หรือคุณสามารถดำเนินการ "กู้คืนไปยังจุดเวลาหนึ่ง" เช่นกัน
ฉันสามารถย้ายอินสแตนซ์ DB ที่มีอยู่จากภายใน VPC ไปยังภายนอก VPC ได้หรือไม่
ไม่รับรอง การย้ายอินสแตนซ์ DB จากภายในสู่ภายนอก VPC ด้วยเหตุผลด้านความปลอดภัย ไม่สามารถกู้คืน DB Snapshot ของอินสแตนซ์ DB ภายใน VPC ไปยัง VPC ภายนอกได้ เช่นเดียวกับฟังก์ชัน "กู้คืนไปยังจุดเวลาหนึ่ง"
ฉันควรใช้มาตรการป้องกันอะไรบ้างเพื่อให้แน่ใจว่าแอปพลิเคชันของฉันสามารถเข้าถึงอินสแตนซ์ DB ใน VPC ได้
คุณมีหน้าที่รับผิดชอบในการแก้ไขตารางเส้นทางและ ACL ของระบบเครือข่าย ใน VPC ของคุณเพื่อให้แน่ใจว่าอินสแตนซ์ DB ของคุณสามารถเข้าถึงได้จากอินสแตนซ์ไคลเอ็นต์ของคุณใน VPC หลังจากการการใช้ระบบสำรองเพื่อกู้คืนข้อมูล ไคลเอนต์ของคุณเปลี่ยนระบบอินสแตนซ์ EC2 และอินสแตนซ์ Amazon RDS DB อาจอยู่ใน Availability Zone ที่แตกต่างกันสำหรับการใช้งานอินสแตนซ์แบบ Multi-AZ คุณควรกำหนดค่า ACL ของระบบเครือข่าย เพื่อให้แน่ใจว่าจะสามารถสื่อสารข้าม AZ ได้
ฉันสามารถเปลี่ยนกลุ่มซับเน็ต DB ของอินสแตนซ์ DB ของฉันได้หรือไม่
คุณสามารถอัปเดตกลุ่มซับเน็ต DB ที่มีอยู่เพื่อเพิ่มเครือข่ายย่อยได้มากขึ้นสำหรับ Available Zone ที่มีอยู่หรือสำหรับ Availability Zone ใหม่ที่เพิ่มเข้ามาตั้งแต่สร้างอินสแตนซ์ DB การลบซับเน็ตจากกลุ่มซับเน็ต DB ที่มีอยู่อาจทำให้ไม่สามารถใช้อินสแตนซ์ได้ถ้าใช้งานอยู่ใน AZ เฉพาะที่ถูกลบออกจากกลุ่มซับเน็ต คุณสามารถดูข้อมูลเพิ่มเติมได้ในคู่มือผู้ใช้ Amazon RDS
บัญชีผู้ใช้หลักของ Amazon RDS คืออะไร และแตกต่างจากบัญชี AWS อย่างไร
หากต้องการเริ่มใช้ Amazon RDS คุณจะต้องมีบัญชีนักพัฒนา AWS หากคุณยังไม่มีบัญชีก่อนลงชื่อสมัครใช้ Amazon RDS คุณจะได้รับการแจ้งเตือนให้สร้างบัญชีดังกล่าวเมื่อคุณเริ่มขั้นตอนการลงชื่อสมัครใช้ บัญชีผู้ใช้หลักแตกต่างจากบัญชีนักพัฒนา AWS และใช้เฉพาะภายในบริบทของ Amazon RDS เพื่อควบคุมการเข้าถึงอินสแตนซ์ DB ของคุณเท่านั้น บัญชีผู้ใช้หลักคือบัญชีผู้ใช้ฐานข้อมูลภายในระบบที่คุณสามารถใช้เพื่อเชื่อมต่อกับอินสแตนซ์ DB ของคุณได้
คุณสามารถระบุชื่อผู้ใช้หลักและรหัสผ่านที่คุณต้องการเชื่อมโยงกับอินสแตนซ์ DB แต่ละรายการเมื่อคุณสร้างอินสแตนซ์ DB ได้ เมื่อคุณสร้างอินสแตนซ์ DB ของคุณแล้ว คุณสามารถเชื่อมต่อกับฐานข้อมูลโดยใช้ข้อมูลประจำตัวของผู้ใช้หลัก จากนั้น คุณยังอาจต้องการสร้างบัญชีผู้ใช้เพิ่มเติมเพื่อให้คุณสามารถจำกัดบุคคลที่สามารถเข้าถึงอินสแตนซ์ DB ของคุณได้อีกด้วย
ผู้ใช้หลักได้รับสิทธิ์อะไรบ้างสำหรับอินสแตนซ์ DB ของฉัน
สำหรับ MySQL สิทธิ์เริ่มต้นสำหรับผู้ใช้หลัก ได้แก่ สร้าง วาง อ้างอิง เหตุการณ์ เปลี่ยนแปลง ลบ ดัชนี แทรก เลือก อัปเดต สร้างตารางชั่วคราว ล็อกตาราง เรียกใช้ สร้างมุมมอง แสดงมุมมอง เปลี่ยนแปลงงานประจำ สร้างงานประจำ ดำเนินการ เรียกใช้ สร้างผู้ใช้ ประมวลผล แสดงฐานข้อมูล ให้ตัวเลือก
สำหรับ Oracle ผู้ใช้หลักจะได้รับบทบาท “dba” ผู้ใช้หลักจะรับช่วงสิทธิ์ส่วนใหญ่ที่เกี่ยวข้องกับบทบาท โปรดดูคู่มือผู้ใช้ Amazon RDS สำหรับรายการของสิทธิ์ที่จำกัดและทางเลือกที่สอดคล้องกันในการดำเนินงานด้านการดูแลระบบที่อาจต้องใช้สิทธิ์เหล่านี้
สำหรับ SQL Server ผู้ใช้ที่สร้างฐานข้อมูลจะได้รับบทบาท "db_owner" โปรดดูคู่มือผู้ใช้ Amazon RDS สำหรับรายการของสิทธิ์ที่จำกัดและทางเลือกที่สอดคล้องกันในการดำเนินงานด้านการดูแลระบบที่อาจต้องใช้สิทธิ์เหล่านี้
การจัดการผู้ใช้กับ Amazon RDS มีความแตกต่างกันหรือไม่
ไม่มี ทุกอย่างทำงานตามที่คุณคุ้นเคยเมื่อใช้ฐานข้อมูลแบบเชิงสัมพันธ์ที่คุณจัดการด้วยตนเอง
โปรแกรมที่ทำงานบนเซิร์ฟเวอร์ในศูนย์ข้อมูลของฉันสามารถเข้าถึงฐานข้อมูล Amazon RDS ได้หรือไม่
ได้ คุณต้องเปิดความสามารถในการเข้าถึงฐานข้อมูลของคุณทางอินเทอร์เน็ตโดยกำหนดค่ากลุ่มความปลอดภัย คุณสามารถอนุญาตการเข้าถึงเฉพาะ IP ที่ระบุ ช่วง IP หรือซับเน็ตที่ตรงกับเซิร์ฟเวอร์ในศูนย์ข้อมูลของคุณเองได้
ฉันสามารถเข้ารหัสการเชื่อมต่อระหว่างแอปพลิเคชันและอินสแตนซ์ DB โดยใช้ SSL/TLS ได้หรือไม่
ได้ ตัวเลือกนี้ได้รับการรองรับบนกลไก Amazon RDS ทั้งหมด Amazon RDS จะ สร้างใบรับรอง SSL/TLS สำหรับแต่ละอินสแตนซ์ เมื่อมีการเชื่อมต่อที่เข้ารหัสแล้ว ข้อมูลที่ถ่ายโอนระหว่างอินสแตนซ์ DB และแอปพลิเคชันของคุณจะได้รับการเข้ารหัสระหว่างการถ่ายโอน ในขณะที่ SSL มีประโยชน์ด้านความปลอดภัย โปรดทราบว่าการเข้ารหัส SSL/TLS คือการดำเนินงานที่ใช้การประมวลผลสูงและจะเพิ่มเวลาในการเชื่อมต่อฐานข้อมูลของคุณ การรองรับ SSL/TLS ใน Amazon RDS มีไว้สำหรับการเข้ารหัสการเชื่อมต่อระหว่างแอปพลิเคชันกับอินสแตนซ์ DB ของคุณ คุณไม่ควรใช้สำหรับการยืนยันความถูกต้องของอินสแตนซ์ DB
หากต้องการดูรายละเอียดเกี่ยวกับการสร้างการเชื่อมต่อที่เข้ารหัสด้วย Amazon RDS โปรดไปที่คู่มือผู้ใช้ MySQL คู่มือผู้ใช้ MariaDB คู่มือผู้ใช้ PostgreSQL หรือคู่มือผู้ใช้ Oracle
ฉันสามารถเข้ารหัสข้อมูลที่อยู่ในพื้นที่จัดเก็บบนฐานข้อมูล Amazon RDS ของฉันได้หรือไม่
Amazon RDS รองรับการเข้ารหัสขณะพักอยู่สำหรับเครื่องมือฐานข้อมูลทั้งหมดโดยใช้คีย์ที่คุณจัดการโดยใช้ AWS Key Management Service (KMS) ในอินสแตนซ์ฐานข้อมูลที่ใช้งานกับการเข้ารหัส Amazon RDS ข้อมูลที่จัดเก็บอยู่ในพื้นที่จัดเก็บข้อมูลพื้นฐานจะถูกเข้ารหัส เช่นเดียวกับข้อมูลสำรองอัตโนมัติ, Read Replica และ Snapshot การเข้ารหัสและถอดรหัสได้รับการจัดการอย่างโปร่งใส หากต้องการดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้ KMS กับ Amazon RDS โปรดดู คู่มือผู้ใช้ Amazon RDS
คุณยังสามารถเพิ่มการเข้ารหัสไปยังอินสแตนซ์ DB หรือคลัสเตอร์ DB ที่ไม่ได้เข้ารหัสก่อนหน้านี้ได้ด้วยการสร้างสแน็ปช็อต DB จากนั้นสร้างสำเนาของสแน็ปช็อตนั้นและระบุคีย์การเข้ารหัส KMS จากนั้นคุณสามารถกู้คืนอินสแตนซ์ DB หรือคลัสเตอร์ DB ที่เข้ารหัสจาก Snapshot ที่เข้ารหัส
Amazon RDS สำหรับ Oracle และ SQL Server รองรับเทคโนโลยี การเข้ารหัสข้อมูลที่โปร่งใส (TDE) ของกลไกเหล่านั้น หากต้องการดูข้อมูลเพิ่มเติม โปรดดูคู่มือผู้ใช้ Amazon RDS for Oracle และ SQL Server
ถาม: ฉันสามารถผสานรวมฐานข้อมูล Amazon RDS สำหรับ Oracle ของฉันกับ AWS CloudHSM ได้หรือไม่
ไม่ได้ อินสแตนซ์ Oracle บน Amazon RDS ไม่สามารถผสานรวมกับ AWS CloudHSM ได้ หากต้องการ ใช้การเข้ารหัสข้อมูลแบบโปร่งใส (TDE) กับ AWS CloudHSM คุณจําเป็นต้องติดตั้งฐานข้อมูล Oracle บน Amazon EC2
ฉันจะควบคุมการดำเนินการที่ระบบและผู้ใช้ของฉันสามารถดำเนินการกับทรัพยากร Amazon RDS ที่เฉพาะเจาะจงได้อย่างไร
คุณสามารถควบคุมการดำเนินการที่ผู้ใช้ IAM AWS และกลุ่มของคุณสามารถดำเนินการกับทรัพยากร Amazon RDS ได้ คุณสามารถทำเช่นนี้ได้โดยอ้างอิงแหล่งข้อมูล Amazon RDS ในนโยบาย IAM AWS ที่คุณปรับใช้กับผู้ใช้และกลุ่มของคุณ ทรัพยากร Amazon RDS ที่สามารถอ้างอิงได้ในนโยบาย AWS IAM ประกอบด้วยอินสแตนซ์ DB, DB Snapshot Read Replica กลุ่มมาตรการรักษาความปลอดภัย DB กลุ่มตัวเลือก DB กลุ่มพารามิเตอร์ DB การสมัครรับข้อมูลกิจกรรม และกลุ่มซับเน็ต DB
นอกจากนี้ คุณยังสามารถแท็กแหล่งข้อมูลเหล่านี้เพื่อเพิ่มเมตาดาต้าเพิ่มเติมลงในทรัพยากรของคุณ เมื่อใช้การแท็ก คุณสามารถจัดหมวดหมู่ทรัพยากรได้ (เช่น อินสแตนซ์ DB "การพัฒนา", อินสแตนซ์ DB "การผลิต" และอินสแตนซ์ DB "การทดสอบ") และเขียนนโยบาย AWS IAM ที่แสดงรายการสิทธิ์ (ซึ่งก็คือการดำเนินการ) ที่สามารถใช้ทรัพยากรที่มีแท็กเหมือนกันได้ สำหรับข้อมูลเพิ่มเติม โปรดดูที่ การติดแท็กทรัพยากร Amazon RDS
ฉันต้องการทำการวิเคราะห์ความปลอดภัยหรือการแก้ไขปัญหาการปฏิบัติงานในการนำ Amazon RDS ไปใช้จริงของฉัน ฉันขอประวัติการเรียกใช้ Amazon RDS API ทั้งหมดในบัญชีของฉันได้หรือไม่
ได้ AWS CloudTrail เป็นบริการทางเว็บที่จะบันทึกการเรียกใช้ AWS API ให้กับบัญชีของคุณและส่งไฟล์ข้อมูลบันทึกให้กับคุณ ประวัติการเรียกใช้ AWS API ที่สร้างโดย CloudTrail ช่วยให้สามารถดำเนินการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการตรวจสอบการปฏิบัติตามข้อกำหนดได้
ฉันสามารถใช้ Amazon RDS กับแอปพลิเคชันที่ต้องปฏิบัติตาม HIPAA ได้หรือไม่
ได้ กลไกฐานข้อมูล Amazon RDS ทั้งหมด มีคุณสมบัติตรงตาม HIPAA คุณจึงสามารถใช้สร้างแอปพลิเคชันที่ปฏิบัติตามข้อกำหนดของ HIPAA และจัดเก็บข้อมูลที่เกี่ยวข้องกับการดูแลสุขภาพได้ เช่น ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ภายใต้สัญญาผู้ร่วมธุรกิจ (BAA) ที่ดำเนินการกับ AWS
หากมี BAA ที่ทำงานอยู่ ไม่จำเป็นต้องเริ่มใช้บริการเหล่านี้ในบัญชีที่ได้รับการคุ้มครองโดย BAA หากคุณไม่มี BAA ที่ทำงานอยู่กับ AWS หรือมีคำถามอื่นๆ เกี่ยวกับแอปพลิเคชันที่เป็นไปตาม HIPAA ใน AWS โปรดติดต่อเรา
ตัวจัดการบัญชีของคุณ
