四种方式确保AWS关系数据库服务安全性

日期:2015-3-30作者:Ofir Nachmani翻译:谈翔 来源:TechTarget中国 英文

【TechTarget中国原创】

AWS将安全性视为共同的责任,所以管理员必须采取所有必要的步骤来确保RDS内数据的安全。

AWS提供了数种功能来保护它的关系数据库服务。但就有如许多其他的Amazon Web服务产品一样,RDS也归类于“共同责任”的安全模型之下。在这个实例中,AWS管理着底层的基础架构,包括RDS、客户操作系统、AWS基础架构和AWS基础服务等等,但IT团队仍然需要对自己的数据库安全负责。

管理员必须考虑以下四个方面,才能保持AWS RDS内的安全性,隐私性及数据完整性。

1.访问控制

管理员都想要确保只有授权用户能够访问公司数据库以及特定的数据块。AWS的弹性计算云(EC2)安全组允许云管理员将连接限制在某个授权的特定IP地址范围内。经由你的AWS帐户,你可以定义安全组和额外的特定IP地址,只允许它们访问数据库。这样能够在网络层就保护好数据。但如果有未授权的用户获得在你允许IP范围内的某台电脑的访问权限怎么办?

此外,授权用户可能在无意间删除了数据。在这些情形中,AWS身份及访问管理(IAM)可以替用户及用户组定义定制的访问政策。这对你的关系数据库服务操作及资源提供了更细化的控制。IAM的多因素认证支持则更进一步,确保了认证的安全性。

在将网络限制在一个有限的IP地址段内进行安全保护,以及确保只有授权用户能够访问你的RDS之后,你可以微调用户能够访问的数据表和对象组以及他们能够执行的操作。一个RDS帐户一开始创建时有一组主用户和密钥。通常来说,数据库管理员就是主用户,但你也可以创建更多的主用户并定义他们在数据库里的访问权限。你也可以从数据库内部来加强连接的安全性,通过使用SSL连接的方式。

2.防火墙

你需要一个防火墙来将数据库隔离于未授权的连接之外,并且监控和审计内部的活动。但是,你并没有数据库或是它所在的硬件的直接访问权限。

这就是云服务的本质。Amazon关系数据库服务允许你在一个独立的虚拟机里安装第三方防火墙,来监控和阻挡对你RDS实例的攻击。在使用安全组及限制IP范围来阻挡不需要的访问之外,AWS也提供虚拟私有云(VPC),一种存在于组织层,能够隔离存放数据库的基础架构的防火墙。VPC能够限制云不能够被互联网直接访问,最终给予企业更多的控制。

为了能监控你的数据库操作和性能,Amazon CloudWatch提供了各式各样的指标,包括CPU的使用,连接的数量,硬盘的空间使用,内存的使用等等。这些性能指标可以帮助我们探测类似于分布式拒绝服务之类的恶意攻击,管理员也可以设立各种不同的警报来通知他们使用的高峰期或者性能的衰竭。

3.加密

不同的访问控制和防火墙机制对于预防未授权远程访问你的数据库是很有帮助的,但你必须谨记你的数据是存在真实的硬件上的。因此,你必须保证它的私密性和安全性,即便有未授权的人员获得了物理上的对那台机器的访问并读取了上面的数据。这就是数据加密派上用场的时候,不论是在数据从数据库传出还是传入的时候,或者是当它处于静态的时候。

要达成传输间的加密,你必须确定所有对AWS RDS的访问都是经由安全的HTTP(HTTPS)。有几种数据库还支持从数据库内部禁用非安全的连接的功能。要注意的是,加密和解密数据可能会产生一些数据库操作的延迟。

要完成对静态数据的加密,Amazon RDS为Oracle和SQL Server提供了一个透明数据加密(TDE)设施。TDE允许管理员使用一个256位的AES主密钥加密数据以及加密密钥。除了这个方式,你唯一能达到静态加密的选择就只有使用标准加密库,例如OpenSSL或Bouncy Castle来选择性的替数据库字段加密。

4. 审计和报告

要真的了解数据库内部发生的状况,以及要遵循有关存储数据的不同规则,管理员必须检视所有数据库内部的活动,并生成有意义的报告。Amazon CloudTrail就是个能够提供API调用及相关事件完整历史的数据库审计服务。

CloudTrail提供多种关于日志文件相关的功能,允许公司遵循大部分的法律法规,包括使用IAM服务对日志文件进行访问控制,创建或配置错误日志文件的警告,关于系统改动事件的日志,日志文件存储等等。CloudTrail可以为超过25个不同字段创建日志,能够分析并产生有意义的报告来告知IT团队任何关于数据库的行为。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Ofir Nachmani
Ofir Nachmani

商业技术专家、IamOnDemand.com博主。

云的数据保护>更多

  • 企业须知:虚拟机隔离技术

    Joseph Lister是现代外科之父,他防腐手术方法方面做出的开创性贡献,使他为人们所熟知。自1865年开始,Lister开始将苯酚和石炭酸实践应用到伤口、器械以及外科医生的穿戴上。

  • 微软的Secure Data Exchange如何为云数据安全撑腰?

    微软的新服务——Secure Data Exchange,可以帮助企业在传输和休闲时期保护云数据。专家ob Shapland深入研究了这一服务,并解释了它是如何为企业服务的。

  • 公有云安全:多一重身份 多一份保障

    云是具有许多可独立工作的移动部件的分布式系统。包括存储和计算系统资源,以及更细粒度的服务,如API。

  • 公有云:如何实现多因素认证方法

    多因素认证(MFA)将传统的登录证书和授权用户持有的物理设备码结合起来。MFA也扩展到了公有云上,这里未授权用户可能会破坏重要的应用,并导致巨大的云上开支。

技术手册>更多

  • 开源云管理工具最佳实践

    一直以来,开源都被视为云计算的未来。除了明显的成本效益,开源云计算在扩展性能上极具优势,而且,一些开源项目和开源工具已经走在了云管理工具开发的前列。

  • 初识云计算

    云计算的概念越来越流行,Amazon、Google和IBM是第一批将云计算引入公众视线的公司。云计算就是新的Web2.0,一种既有技术上的市场绽放。

  • 云计算提供商OpenFlow指南

    软件定义网络(SDN)以及其最清晰可见的协议OpenFlow已经引发了热烈的讨论。几乎每一个主要的路由器和以太网交换机厂商都宣布“支持”OpenFlow,引出了数个会议的召开和初创公司的成立。作为主要的云运营商,比如谷歌和威瑞森(Verizon)已经测试和部署OpenFlow,其他的网络运营商和提供商急于知道在所有的兴奋点之下,是否有实体产生,尤其是这个实体有哪些本质的好处。在《云计算提供商OpenFlow指南》中,我们将简要介绍OpenFlow与SDN的关系,以及OpenFlow与云计算的关系,同时提供一些OpenFlow云提供商。

  • 私有云安全风险与部署技巧指导

    与传统数据中心相比,私有云架构的定义是什么呢?私有云环境的安全风险是什么?企业如何建立虚拟云环境虚拟服务器连接?本技术手册将为您一一讲解。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心