四种方式确保AWS关系数据库服务安全性

日期:2015-3-30作者:Ofir Nachmani翻译:谈翔 来源:TechTarget中国 英文

【TechTarget中国原创】

AWS将安全性视为共同的责任,所以管理员必须采取所有必要的步骤来确保RDS内数据的安全。

AWS提供了数种功能来保护它的关系数据库服务。但就有如许多其他的Amazon Web服务产品一样,RDS也归类于“共同责任”的安全模型之下。在这个实例中,AWS管理着底层的基础架构,包括RDS、客户操作系统、AWS基础架构和AWS基础服务等等,但IT团队仍然需要对自己的数据库安全负责。

管理员必须考虑以下四个方面,才能保持AWS RDS内的安全性,隐私性及数据完整性。

1.访问控制

管理员都想要确保只有授权用户能够访问公司数据库以及特定的数据块。AWS的弹性计算云(EC2)安全组允许云管理员将连接限制在某个授权的特定IP地址范围内。经由你的AWS帐户,你可以定义安全组和额外的特定IP地址,只允许它们访问数据库。这样能够在网络层就保护好数据。但如果有未授权的用户获得在你允许IP范围内的某台电脑的访问权限怎么办?

此外,授权用户可能在无意间删除了数据。在这些情形中,AWS身份及访问管理(IAM)可以替用户及用户组定义定制的访问政策。这对你的关系数据库服务操作及资源提供了更细化的控制。IAM的多因素认证支持则更进一步,确保了认证的安全性。

在将网络限制在一个有限的IP地址段内进行安全保护,以及确保只有授权用户能够访问你的RDS之后,你可以微调用户能够访问的数据表和对象组以及他们能够执行的操作。一个RDS帐户一开始创建时有一组主用户和密钥。通常来说,数据库管理员就是主用户,但你也可以创建更多的主用户并定义他们在数据库里的访问权限。你也可以从数据库内部来加强连接的安全性,通过使用SSL连接的方式。

2.防火墙

你需要一个防火墙来将数据库隔离于未授权的连接之外,并且监控和审计内部的活动。但是,你并没有数据库或是它所在的硬件的直接访问权限。

这就是云服务的本质。Amazon关系数据库服务允许你在一个独立的虚拟机里安装第三方防火墙,来监控和阻挡对你RDS实例的攻击。在使用安全组及限制IP范围来阻挡不需要的访问之外,AWS也提供虚拟私有云(VPC),一种存在于组织层,能够隔离存放数据库的基础架构的防火墙。VPC能够限制云不能够被互联网直接访问,最终给予企业更多的控制。

为了能监控你的数据库操作和性能,Amazon CloudWatch提供了各式各样的指标,包括CPU的使用,连接的数量,硬盘的空间使用,内存的使用等等。这些性能指标可以帮助我们探测类似于分布式拒绝服务之类的恶意攻击,管理员也可以设立各种不同的警报来通知他们使用的高峰期或者性能的衰竭。

3.加密

不同的访问控制和防火墙机制对于预防未授权远程访问你的数据库是很有帮助的,但你必须谨记你的数据是存在真实的硬件上的。因此,你必须保证它的私密性和安全性,即便有未授权的人员获得了物理上的对那台机器的访问并读取了上面的数据。这就是数据加密派上用场的时候,不论是在数据从数据库传出还是传入的时候,或者是当它处于静态的时候。

要达成传输间的加密,你必须确定所有对AWS RDS的访问都是经由安全的HTTP(HTTPS)。有几种数据库还支持从数据库内部禁用非安全的连接的功能。要注意的是,加密和解密数据可能会产生一些数据库操作的延迟。

要完成对静态数据的加密,Amazon RDS为Oracle和SQL Server提供了一个透明数据加密(TDE)设施。TDE允许管理员使用一个256位的AES主密钥加密数据以及加密密钥。除了这个方式,你唯一能达到静态加密的选择就只有使用标准加密库,例如OpenSSL或Bouncy Castle来选择性的替数据库字段加密。

4. 审计和报告

要真的了解数据库内部发生的状况,以及要遵循有关存储数据的不同规则,管理员必须检视所有数据库内部的活动,并生成有意义的报告。Amazon CloudTrail就是个能够提供API调用及相关事件完整历史的数据库审计服务。

CloudTrail提供多种关于日志文件相关的功能,允许公司遵循大部分的法律法规,包括使用IAM服务对日志文件进行访问控制,创建或配置错误日志文件的警告,关于系统改动事件的日志,日志文件存储等等。CloudTrail可以为超过25个不同字段创建日志,能够分析并产生有意义的报告来告知IT团队任何关于数据库的行为。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Ofir Nachmani
Ofir Nachmani

商业技术专家、IamOnDemand.com博主。

云的数据保护>更多

  • 云日志安全事件如何高效管理?

    随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

  • 企业须知:虚拟机隔离技术

    Joseph Lister是现代外科之父,他防腐手术方法方面做出的开创性贡献,使他为人们所熟知。自1865年开始,Lister开始将苯酚和石炭酸实践应用到伤口、器械以及外科医生的穿戴上。

  • 微软的Secure Data Exchange如何为云数据安全撑腰?

    微软的新服务——Secure Data Exchange,可以帮助企业在传输和休闲时期保护云数据。专家ob Shapland深入研究了这一服务,并解释了它是如何为企业服务的。

  • 公有云安全:多一重身份 多一份保障

    云是具有许多可独立工作的移动部件的分布式系统。包括存储和计算系统资源,以及更细粒度的服务,如API。

技术手册>更多

  • 特刊:Hadoop云服务之战

    尽管很多奇怪的梦是相反的,而我们的大多数童年的毛绒玩具不会变大,而且不会走到IT巨头那里,就像谷歌、IBM、微软和雅虎。Doug Cutting的毛绒玩具大象Hadoop却做到了。以一个孩童时期的玩具名来命名,Hadoop被构想成谷歌的MapReduce的一部分。免费的基于JAVA的编程框架已经相当成熟,正在获得大多数IT人士的认可,用其来为企业商业智能分析数据。

  • Windows Azure技巧集锦

    如今,微软已经视云计算为核心战略,该项业务的表现甚至将决定这家老牌IT巨头未来的走势,而且其云计算产品Windows Azure也占据微软云计算服务的半壁江山。

  • 云计算与数据保护:云计算加密教程

    云计算和数据保护是非常棘手的一项工作。当企业把服务迁移至云计算时,由于失去了对其敏感数据的控制而只能依赖于云计算服务供应商来确保数据的安全性,他们往往会为此担惊受怕。本云计算数据保护教程选自SearchCloudSecurity.com以及专家技术文章。它对如何在云计算中保护数据提出了建议,并可作为云计算加密技术的使用指南。在教程中,我们讨论了云计算加密的意义、介绍了实施云计算加密的挑战以及若干使用案例。

  • 电子书:十步构建私有云

    构建私有云并不是一项快速工程。始于理解企业环境对于云的期望和定义,继而在已经创建的模型上进行构架。要确保涵盖整个组织、其所有的流程以及构建云计算的技术。下面是构思、搭建和维护私有云的十大步骤。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心