Configurazione dei protocolli e SQL dei cifrari di sicurezza del server - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dei protocolli e SQL dei cifrari di sicurezza del server

È possibile attivare e disattivare determinati protocolli di sicurezza e cifrari utilizzando i parametri DB. I parametri di sicurezza che è possibile configurare (ad eccezione della TLS versione 1.2) sono riportati nella tabella seguente.

Parametro DB Valori consentiti (impostazione predefinita in grassetto) Descrizione
rds.tls10 Impostazione predefinita, abilitato, disabilitato TLS1.0.
rds.tls11 Impostazione predefinita, abilitato, disabilitato TLS1.1.
rds.tls12 default TLS1.2. Non è possibile modificare questo valore.
rds.fips 0, 1

Quando si imposta il parametro su 1, RDS impone l'uso di moduli conformi allo standard Federal Information Processing Standard (FIPS) 140-2.

Per ulteriori informazioni, consulta Utilizzare SQL Server 2016 in FIPS modalità conforme a 140-2 nella documentazione Microsoft.

rds.rc4 Impostazione predefinita, abilitato, disabilitato RC4cifrario a flusso.
rds.diffie-hellman Impostazione predefinita, abilitato, disabilitato Crittografia dello scambio chiavi Diffie-Hellman.
rds. diffie-hellman-min-key-lunghezza del bit impostazione predefinita, 1024, 2048, 3072, 4096 Lunghezza minima del bit per le chiavi Diffie-Hellman.
rds.curve25519 Impostazione predefinita, abilitato, disabilitato Crittografia Curve25519 a curva ellittica. Questo parametro non è supportato per tutte le versioni del motore.
rds.3des168 Impostazione predefinita, abilitato, disabilitato Cifrario di crittografia Triple Data Encryption Standard (DES) con una lunghezza della chiave di 168 bit.
Nota

Per le versioni minori del motore successive a 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 e 12.00.6449.1, l'impostazione predefinita per i parametri del DB,, ed è disabilitata. rds.tls10 rds.tls11 rds.rc4 rds.curve25519 rds.3des168 Altrimenti l'impostazione predefinita è abilitata.

Per le versioni minori del motore successive a 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 e 12.00.6449.1, l'impostazione predefinita per è 3072. rds.diffie-hellman-min-key-bit-length Altrimenti l'impostazione predefinita è 2048.

Per configurare i protocolli e i cifrari di sicurezza, attenersi alla procedura descritta di seguito.

  1. Creare un gruppo di parametri DB personalizzato.

  2. Modificare i parametri nel gruppo di parametri.

  3. Associare il gruppo di parametri DB all'istanza database.

Per ulteriori informazioni sui gruppi di parametri database, consulta Gruppi di parametri per RDS.

Creazione del gruppo di parametri relativi alla sicurezza

Crea un gruppo di parametri per i parametri relativi alla sicurezza che corrisponda all'edizione e alla versione SQL Server dell'istanza DB.

La procedura seguente crea un gruppo di parametri per SQL Server Standard Edition 2016.

Per creare il gruppo di parametri
  1. Accedi a AWS Management Console e apri la RDS console Amazon all'indirizzo https://console.aws.amazon.com/rds/.

  2. Nel pannello di navigazione, scegliParameter groups (Gruppi di parametri).

  3. Scegliere Create parameter group (Crea gruppo di parametri).

  4. Nel riquadro Create parameter group (Crea gruppi di parametri), procedi nel modo seguente:

    1. Per Famiglia del gruppo di parametri, scegliere sqlserver-se-13.0.

    2. Per Group name (Nome gruppo), immettere un identificatore per il gruppo di parametri, ad esempio sqlserver-ciphers-se-13.

    3. Per Description (Descrizione), immettere Parameter group for security protocols and ciphers.

  5. Scegli Create (Crea) .

La procedura seguente crea un gruppo di parametri per SQL Server Standard Edition 2016.

Per creare il gruppo di parametri
  • Eseguire uno dei seguenti comandi.

    In Linux, macOS, oppure Unix:

    aws rds create-db-parameter-group \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"

    In Windows:

    aws rds create-db-parameter-group ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"

Modifica dei parametri relativi alla sicurezza

Modifica i parametri relativi alla sicurezza nel gruppo di parametri corrispondente all'edizione e alla versione SQL Server dell'istanza DB.

La procedura seguente modifica il gruppo di parametri creato per SQL Server Standard Edition 2016. Questo esempio disattiva la TLS versione 1.0.

Per modificare il gruppo di parametri
  1. Accedi a AWS Management Console e apri la RDS console Amazon all'indirizzo https://console.aws.amazon.com/rds/.

  2. Nel riquadro di navigazione scegliere Parameter groups (Gruppi di parametri).

  3. Scegli il gruppo di parametri, ad esempio sqlserver-ciphers-se-13.

  4. In Parameters (Parametri), filtrare l'elenco dei parametri per rds.

  5. Scegliere Edit parameters (Modifica parametri).

  6. Scegliere rds.tls10.

  7. Per Values (Valori), scegliere Disabled (Disabilitato).

  8. Scegli Save changes (Salva modifiche).

La procedura seguente modifica il gruppo di parametri creato per SQL Server Standard Edition 2016. Questo esempio disattiva la TLS versione 1.0.

Per modificare il gruppo di parametri
  • Eseguire uno dei seguenti comandi.

    In Linux, macOS, oppure Unix:

    aws rds modify-db-parameter-group \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

    In Windows:

    aws rds modify-db-parameter-group ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"

Associazione del gruppo di parametri relativi alla sicurezza all'istanza database

Per associare il gruppo di parametri alla tua istanza DB, usa AWS Management Console o il AWS CLI.

È possibile associare il gruppo di parametri a un'istanza database nuova o esistente:

È possibile associare il gruppo di parametri a un'istanza database nuova o esistente:

Per creare un'istanza database con il gruppo di parametri
  • Specificare lo stesso tipo di motore di database e la versione principale utilizzati durante la creazione del gruppo di parametri.

    In Linux, macOS, oppure Unix:

    aws rds create-db-instance \ --db-instance-identifier mydbinstance \ --db-instance-class db.m5.2xlarge \ --engine sqlserver-se \ --engine-version 13.00.5426.0.v1 \ --allocated-storage 100 \ --master-user-password secret123 \ --master-username admin \ --storage-type gp2 \ --license-model li \ --db-parameter-group-name sqlserver-ciphers-se-13

    In Windows:

    aws rds create-db-instance ^ --db-instance-identifier mydbinstance ^ --db-instance-class db.m5.2xlarge ^ --engine sqlserver-se ^ --engine-version 13.00.5426.0.v1 ^ --allocated-storage 100 ^ --master-user-password secret123 ^ --master-username admin ^ --storage-type gp2 ^ --license-model li ^ --db-parameter-group-name sqlserver-ciphers-se-13
    Nota

    Specifica una password diversa dal prompt mostrato qui come best practice per la sicurezza.

Per modificare un'istanza database e associare il gruppo di parametri
  • Eseguire uno dei seguenti comandi.

    In Linux, macOS, oppure Unix:

    aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --db-parameter-group-name sqlserver-ciphers-se-13 \ --apply-immediately

    In Windows:

    aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --db-parameter-group-name sqlserver-ciphers-se-13 ^ --apply-immediately