Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Correggi automaticamente istanze e cluster Amazon RDS DB non crittografati
Creato da Ajay Rawat () e Josh Joy () AWS AWS
Ambiente: PoC o pilota | Tecnologie: sicurezza, identità, conformità; database | AWSservizi: AWS Config AWSKMS; AWS Identity and Access Management; AWS Systems Manager; Amazon RDS |
Riepilogo
Questo modello descrive come correggere automaticamente le istanze e i cluster DB di Amazon Relational Database Service (AmazonRDS) non crittografati su Amazon Web Services (AWS) utilizzando le chiavi AWS Config, i runbook AWS di AWS Systems Manager e i Key Management Service (). AWS KMS
Le istanze RDS DB crittografate forniscono un ulteriore livello di protezione dei dati proteggendo i dati dall'accesso non autorizzato allo storage sottostante. Puoi utilizzare la RDS crittografia Amazon per aumentare la protezione dei dati delle tue applicazioni distribuite nel AWS cloud e soddisfare i requisiti di conformità per la crittografia a riposo. Puoi abilitare la crittografia per un'istanza RDS DB al momento della creazione, ma non dopo la creazione. Tuttavia, è possibile aggiungere la crittografia a un'istanza RDS DB non crittografata creando uno snapshot dell'istanza DB e quindi creando una copia crittografata di tale istantanea. È quindi possibile ripristinare un'istanza DB dallo snapshot crittografato per ottenere una copia crittografata dell'istanza DB originale.
Questo modello utilizza le regole AWS Config per valutare le istanze e i cluster RDS DB. Applica la correzione utilizzando AWS i runbook di Systems Manager, che definiscono le azioni da eseguire su risorse RDS Amazon non conformi, AWS KMS e le chiavi per crittografare gli snapshot DB. Quindi applica le politiche di controllo del servizio (SCPs) per impedire la creazione di nuove istanze e cluster DB senza crittografia.
Il codice per questo modello è fornito in. GitHub
Prerequisiti e limitazioni
Prerequisiti
Un AWS account attivo
File dal repository del codice GitHub sorgente
relativo a questo pattern scaricati sul computer Un'istanza o un cluster di RDS database non crittografato
Una AWS KMS chiave esistente per la crittografia di istanze e RDS cluster DB
Accesso per aggiornare la politica delle risorse chiave KMS
AWSConfig abilitato nel tuo AWS account (vedi Guida introduttiva a AWS Config nella documentazione) AWS
Limitazioni
Puoi abilitare la crittografia per un'istanza RDS DB solo quando la crei, non dopo che è stata creata.
Non è possibile creare una replica di lettura crittografata di un'istanza database non crittografata o una replica di lettura non crittografata di un'istanza database crittografata.
Non puoi ripristinare un backup o uno snapshot non crittografato in un'istanza database crittografata.
La RDS crittografia Amazon è disponibile per la maggior parte delle classi di istanze DB. Per un elenco di eccezioni, consulta Encrypting Amazon RDS resources nella documentazione di AmazonRDS.
Per copiare un'istantanea crittografata da una AWS regione all'altra, devi specificare la KMS chiave nella regione di destinazione. AWS Questo perché KMS le chiavi sono specifiche della AWS regione in cui vengono create.
La snapshot di origine resta crittografata nel processo di copia. Amazon RDS utilizza la crittografia a busta per proteggere i dati durante il processo di copia. Per ulteriori informazioni, consulta Envelope Encryption nella AWS KMS documentazione.
Non è possibile decrittografare un'istanza DB crittografata. Tuttavia, è possibile esportare dati da un'istanza DB crittografata e importarli in un'istanza DB non crittografata.
È consigliabile eliminare una KMS chiave solo quando si è certi di non averne più bisogno. Se non sei sicuro, valuta la possibilità di disabilitare la KMS chiave anziché eliminarla. È possibile riattivare una KMS chiave disattivata se è necessario riutilizzarla in un secondo momento, ma non è possibile ripristinare una chiave eliminata. KMS
Se scegli di non conservare i backup automatici, i backup automatici che si trovano nella stessa AWS regione dell'istanza DB vengono eliminati. Non potranno quindi essere recuperati dopo aver eliminato l'istanza database.
I backup automatici vengono conservati per il periodo di conservazione impostato sull'istanza DB al momento dell'eliminazione. Questo periodo di conservazione impostato si verifica se si sceglie o meno di creare uno snapshot DB finale.
Se la riparazione automatica è abilitata, questa soluzione crittografa tutti i database con la stessa chiave. KMS
Architettura
Il diagramma seguente illustra l'architettura per l'implementazione. AWS CloudFormation Tieni presente che puoi implementare questo modello anche utilizzando il AWS Cloud Development Kit (AWSCDK).
Strumenti
Strumenti
AWS CloudFormation
ti aiuta a configurare automaticamente le tue risorse. AWS Consente di utilizzare un file modello per creare ed eliminare una raccolta di risorse insieme come una singola unità (una pila). AWSCloud Development Kit (AWSCDK)
è un framework di sviluppo software per definire l'infrastruttura cloud in codice e fornirla utilizzando linguaggi di programmazione familiari.
AWSservizi e funzionalità
AWSConfig
tiene traccia della configurazione delle tue AWS risorse e delle loro relazioni con le altre risorse. Può anche valutare la conformità di tali AWS risorse. Questo servizio utilizza regole che possono essere configurate per valutare AWS le risorse rispetto alle configurazioni desiderate. È possibile utilizzare un set di regole gestite da AWS Config per scenari di conformità comuni oppure creare regole personalizzate per scenari personalizzati. Quando una AWS risorsa risulta non conforme, puoi specificare un'azione di riparazione tramite un runbook di AWS Systems Manager e, facoltativamente, inviare un avviso tramite un argomento Amazon Simple Notification Service (Amazon). SNS In altre parole, è possibile associare le azioni di riparazione alle regole di AWS Config e scegliere di eseguirle automaticamente per risolvere il problema delle risorse non conformi senza l'intervento manuale. Se una risorsa non è ancora conforme dopo la riparazione automatica, puoi impostare la regola per riprovare la riparazione automatica. Amazon Relational Database Service (RDSAmazon
) semplifica la configurazione, il funzionamento e la scalabilità di un database relazionale nel cloud. L'elemento costitutivo di base di Amazon RDS è l'istanza DB, che è un ambiente di database isolato nel AWS cloud. Amazon RDS offre una selezione di tipi di istanze ottimizzati per adattarsi a diversi casi d'uso di database relazionali. I tipi di istanza comprendono varie combinazioni di memoriaCPU, archiviazione e capacità di rete e offrono la flessibilità necessaria per scegliere la combinazione di risorse appropriata per il database. Ogni tipo di istanza include diverse dimensioni di istanza, che consentono di scalare il database in base ai requisiti del carico di lavoro di destinazione. AWSKey Management Service (AWSKMS)
è un servizio gestito che semplifica la creazione e il controllo delle AWS KMS chiavi che crittografano i dati. Una KMS chiave è una rappresentazione logica di una chiave radice. La KMS chiave include metadati, come l'ID della chiave, la data di creazione, la descrizione e lo stato della chiave. AWSIdentity and Access Management (IAM)
consente di gestire in modo sicuro l'accesso alle AWS risorse controllando chi è autenticato e autorizzato a utilizzarle. Le politiche di controllo dei servizi (SCPs) offrono il controllo centralizzato sulle autorizzazioni massime disponibili per tutti gli account dell'organizzazione. SCPsti aiutano a garantire che i tuoi account rispettino le linee guida per il controllo degli accessi della tua organizzazione. SCPsnon influiscono sugli utenti o sui ruoli nell'account di gestione. Influiscono solo sugli account membri nell'organizzazione. Ti consigliamo vivamente di non collegarti SCPs alla radice della tua organizzazione senza aver testato a fondo l'impatto che la politica ha sugli account. Crea invece un'unità organizzativa (OU) in cui trasferire i tuoi account uno alla volta, o almeno in piccoli numeri, per assicurarti di non bloccare inavvertitamente gli utenti dall'accesso ai servizi chiave.
Codice
Il codice sorgente e i modelli di questo pattern sono disponibili in un GitHub repository.
La sezione Epics fornisce step-by-step istruzioni per la distribuzione del modello. CloudFormation Se desideri utilizzare il AWSCDK, segui le istruzioni nel README file.md nel repository. GitHub
Best practice
Abilita la crittografia dei dati sia a riposo che in transito.
Abilita AWS Config in tutti gli account e AWS le regioni.
Registra le modifiche alla configurazione di tutti i tipi di risorse.
Ruota periodicamente le credenziali IAM.
Sfrutta i tag per AWS Config, che semplifica la gestione, la ricerca e il filtraggio delle risorse.
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Scarica il CloudFormation modello. | Scarica il | DevOps ingegnere |
Crea lo CloudFormation stack. |
| DevOps ingegnere |
Rivedi CloudFormation parametri e valori. |
| DevOps ingegnere |
Rivedi le risorse. | Una volta creato lo stack, il suo stato diventa CREATE_ COMPLETE. Esamina le risorse create (IAMruolo, runbook AWS Systems Manager) nella CloudFormation console. | DevOps ingegnere |
Attività | Descrizione | Competenze richieste |
---|---|---|
Aggiorna la tua politica KMS chiave. |
| DevOps ingegnere |
Attività | Descrizione | Competenze richieste |
---|---|---|
Visualizza le risorse non conformi. |
Le risorse non conformi elencate nella console AWS Config saranno istanze, non cluster. L'automazione della riparazione crittografa le istanze e i cluster e crea una nuova istanza crittografata o un cluster appena creato. Tuttavia, assicurati di non correggere contemporaneamente più istanze che appartengono allo stesso cluster. Prima di rimediare a qualsiasi istanza o volume RDS DB, assicurati che l'istanza RDS DB non sia in uso. Verifica che non siano in corso operazioni di scrittura durante la creazione dello snapshot, per assicurarti che l'istantanea contenga i dati originali. Valuta la possibilità di applicare una finestra di manutenzione durante la quale verrà eseguita la riparazione. | DevOps ingegnere |
Correggi le risorse non conformi. |
| DevOps ingegnere |
Verifica che l'istanza RDS DB sia disponibile. | Una volta completata l'automazione, la nuova istanza RDS DB crittografata sarà disponibile. L'istanza RDS DB crittografata avrà il prefisso | DevOps ingegnere |
Termina l'istanza non crittografata. | Una volta completata la riparazione e convalidata la nuova risorsa crittografata, è possibile terminare l'istanza non crittografata. Assicurati di confermare che la nuova risorsa crittografata corrisponda alla risorsa non crittografata prima di terminare qualsiasi risorsa. | DevOps ingegnere |
Attività | Descrizione | Competenze richieste |
---|---|---|
Far rispettareSCPs. | SCPsImplementa per impedire che in futuro vengano creati istanze e cluster di database senza crittografia. Utilizza il | Ingegnere della sicurezza |
Risorse correlate
Riferimenti
Strumenti
Guide e pattern
Informazioni aggiuntive
FAQ
D: Come funziona AWS Config?
R. Quando attivi AWS Config, rileva innanzitutto AWS le risorse supportate presenti nel tuo account e genera un elemento di configurazione per ogni risorsa. AWSConfig genera anche elementi di configurazione quando la configurazione di una risorsa cambia e conserva i record storici degli elementi di configurazione delle risorse dal momento in cui si avvia il registratore di configurazione. Per impostazione predefinita, AWS Config crea elementi di configurazione per ogni risorsa supportata nella AWS regione. Se non vuoi che AWS Config crei elementi di configurazione per tutte le risorse supportate, puoi specificare i tipi di risorse di cui vuoi che tenga traccia.
D: In che modo le regole AWS Config e AWS Config sono correlate a Security Hub? AWS
R. AWS Security Hub è un servizio di sicurezza e conformità che fornisce la gestione della posizione di sicurezza e conformità come servizio. Utilizza le regole AWS Config e AWS Config come meccanismo principale per valutare la configurazione delle risorse. AWS AWSLe regole di configurazione possono essere utilizzate anche per valutare direttamente la configurazione delle risorse. Le regole di configurazione vengono utilizzate anche da altri AWS servizi, come AWS Control Tower e AWS Firewall Manager.