四种方式确保AWS关系数据库服务安全性

日期:2015-3-30作者:Ofir Nachmani翻译:谈翔 来源:TechTarget中国 英文

【TechTarget中国原创】

AWS将安全性视为共同的责任,所以管理员必须采取所有必要的步骤来确保RDS内数据的安全。

AWS提供了数种功能来保护它的关系数据库服务。但就有如许多其他的Amazon Web服务产品一样,RDS也归类于“共同责任”的安全模型之下。在这个实例中,AWS管理着底层的基础架构,包括RDS、客户操作系统、AWS基础架构和AWS基础服务等等,但IT团队仍然需要对自己的数据库安全负责。

管理员必须考虑以下四个方面,才能保持AWS RDS内的安全性,隐私性及数据完整性。

1.访问控制

管理员都想要确保只有授权用户能够访问公司数据库以及特定的数据块。AWS的弹性计算云(EC2)安全组允许云管理员将连接限制在某个授权的特定IP地址范围内。经由你的AWS帐户,你可以定义安全组和额外的特定IP地址,只允许它们访问数据库。这样能够在网络层就保护好数据。但如果有未授权的用户获得在你允许IP范围内的某台电脑的访问权限怎么办?

此外,授权用户可能在无意间删除了数据。在这些情形中,AWS身份及访问管理(IAM)可以替用户及用户组定义定制的访问政策。这对你的关系数据库服务操作及资源提供了更细化的控制。IAM的多因素认证支持则更进一步,确保了认证的安全性。

在将网络限制在一个有限的IP地址段内进行安全保护,以及确保只有授权用户能够访问你的RDS之后,你可以微调用户能够访问的数据表和对象组以及他们能够执行的操作。一个RDS帐户一开始创建时有一组主用户和密钥。通常来说,数据库管理员就是主用户,但你也可以创建更多的主用户并定义他们在数据库里的访问权限。你也可以从数据库内部来加强连接的安全性,通过使用SSL连接的方式。

2.防火墙

你需要一个防火墙来将数据库隔离于未授权的连接之外,并且监控和审计内部的活动。但是,你并没有数据库或是它所在的硬件的直接访问权限。

这就是云服务的本质。Amazon关系数据库服务允许你在一个独立的虚拟机里安装第三方防火墙,来监控和阻挡对你RDS实例的攻击。在使用安全组及限制IP范围来阻挡不需要的访问之外,AWS也提供虚拟私有云(VPC),一种存在于组织层,能够隔离存放数据库的基础架构的防火墙。VPC能够限制云不能够被互联网直接访问,最终给予企业更多的控制。

为了能监控你的数据库操作和性能,Amazon CloudWatch提供了各式各样的指标,包括CPU的使用,连接的数量,硬盘的空间使用,内存的使用等等。这些性能指标可以帮助我们探测类似于分布式拒绝服务之类的恶意攻击,管理员也可以设立各种不同的警报来通知他们使用的高峰期或者性能的衰竭。

3.加密

不同的访问控制和防火墙机制对于预防未授权远程访问你的数据库是很有帮助的,但你必须谨记你的数据是存在真实的硬件上的。因此,你必须保证它的私密性和安全性,即便有未授权的人员获得了物理上的对那台机器的访问并读取了上面的数据。这就是数据加密派上用场的时候,不论是在数据从数据库传出还是传入的时候,或者是当它处于静态的时候。

要达成传输间的加密,你必须确定所有对AWS RDS的访问都是经由安全的HTTP(HTTPS)。有几种数据库还支持从数据库内部禁用非安全的连接的功能。要注意的是,加密和解密数据可能会产生一些数据库操作的延迟。

要完成对静态数据的加密,Amazon RDS为Oracle和SQL Server提供了一个透明数据加密(TDE)设施。TDE允许管理员使用一个256位的AES主密钥加密数据以及加密密钥。除了这个方式,你唯一能达到静态加密的选择就只有使用标准加密库,例如OpenSSL或Bouncy Castle来选择性的替数据库字段加密。

4. 审计和报告

要真的了解数据库内部发生的状况,以及要遵循有关存储数据的不同规则,管理员必须检视所有数据库内部的活动,并生成有意义的报告。Amazon CloudTrail就是个能够提供API调用及相关事件完整历史的数据库审计服务。

CloudTrail提供多种关于日志文件相关的功能,允许公司遵循大部分的法律法规,包括使用IAM服务对日志文件进行访问控制,创建或配置错误日志文件的警告,关于系统改动事件的日志,日志文件存储等等。CloudTrail可以为超过25个不同字段创建日志,能够分析并产生有意义的报告来告知IT团队任何关于数据库的行为。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Ofir Nachmani
Ofir Nachmani

商业技术专家、IamOnDemand.com博主。

云的数据保护>更多

  • Cisco CloudCenter Orchestrator漏洞如何工作?

    业界有一个关键的安全公告,是 针对Cisco CloudCenter Orchestrator中的一个漏洞,该漏洞导致Docker Engine管理端口可以在Cloud Orchestrator系统之外访问。

  • 如何发现和预防man-in-the-cloud攻击

    多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。

  • 云日志安全事件如何高效管理?

    随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

  • 企业须知:虚拟机隔离技术

    Joseph Lister是现代外科之父,他防腐手术方法方面做出的开创性贡献,使他为人们所熟知。自1865年开始,Lister开始将苯酚和石炭酸实践应用到伤口、器械以及外科医生的穿戴上。

技术手册>更多

  • 云服务模式安全性评估手册

    2012年TechTarget中国云安全调查结果显示,目前已经有79.6%的企业正在进行或者考虑采用云服务,形式包括PaaS、Iaas、SaaS、云存储/备份、私有云和混合云。这也从一个侧面反映了企业对于云计算的认可已经逐渐加强,不再云里雾里。但是谈到云计算安全性的时候,认为云计算安全和不安全的受访者基本持平,分别为51.9%(安全)和48.1%(不安全)。本技术手册中,我们将从三个方面评估并实现云服务模式的安全性。

  • SDN技术特刊

    SDN是一种网络防御计划,它能够大大提高网络发现、预防和对抗安全威胁的能力,制定企业的整体安全策略,是建立"自防御网络"的基础。随着网络技术不断地发展,网络安全要从以前被动的方式有所转变,在以前,企业不断在已有的计算机网络上不断添加防火墙,网络入侵检测设备,主机防病毒产品,网络身份认证系统,网络管理系统等等,其目的就是要加强网络的安全性。

  • 网格计算入门指南

    业务周期的速度和不可预测性已经使很多企业的管理能力逼近了极限。企业需要更具适应性,但他们信息系统的响应速度往往较慢。同时,这些企业希望借助IT系统获得更高的效率,并降低计算成本。

      网格计算是一种新的IT体系结构,它能够适应不断变化的业务需求。网格计算还为IT经济带来了革命性的变化。通过企业网格计算,您可以使用可随需应变的灵活成本结构构建一个功能强大的数据中心。

      虚拟化是关于运行时部署的效率,注重提供方便。因为企业逐渐转向应用SOA,所以它们会寻求服务周期的管理方式,这其中可能就包括调用虚拟容器作为服务、数据、甚至SOA基础设施本身(如虚拟化软件产品)的运行时间。

  • 云平台选择与部署指南

    云计算应用落地是一个很漫长的过程。在部署云计算之前,用户必须认识各个平台供应商及其云平台,然后根据自身架构选择合适的云平台投入运营。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心