Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Best practice per proteggere AWS RDS e altri database cloud
Il servizio di database relazionale di AWS può aiutare a semplificare una serie di operazioni di archiviazione nel cloud, ma il mantenimento della sicurezza richiede una certa attenzione da parte dell'utente. Di seguito sono riportate alcune best practice per l'utilizzo di RDS.
Non sorprende che le organizzazioni utilizzino sempre più servizi nativi del cloud, anche per l'archiviazione dei dati. Lo storage nel cloud offre enormi vantaggi come la replica, la resilienza geografica e il potenziale di riduzione dei costi e miglioramento dell'efficienza.
Il servizio di database relazionale (RDS) di Amazon Web Services (AWS) è uno dei servizi di database e archiviazione cloud più popolari. Ad alto livello, RDS semplifica la configurazione, il funzionamento e il dimensionamento dei database relazionali in AWS, come MariaDB, Microsoft SQL Server, MySQL e altri. RDS, proprio come qualsiasi altra offerta di servizi AWS o cloud, utilizza il modello di responsabilità condivisa. Ciò significa che il fornitore di servizi cloud (CSP) – AWS in questo caso – è responsabile della protezione dell’infrastruttura sottostante e degli ambienti di hosting e i consumatori sono responsabili della loro quota di RDS, che include il sistema operativo, le configurazioni e le considerazioni sull’architettura.
Non tenere conto della quota di responsabilità RDS dei consumatori può portare a violazioni dei dati nel cloud, di cui abbiamo assistito a numerose. Le aree chiave includono la configurazione dell'accesso al cloud privato virtuale (VPC) in cui risiederà l'istanza del database, le policy IAM (identità e gestione degli accessi) delle applicazioni e i gruppi di sicurezza per controllare il traffico di rete e la crittografia. Discuteremo alcune di queste aree di seguito, insieme ad altre come la conformità.
Una delle prime considerazioni chiave è l'autenticazione, ovvero il modo in cui gli utenti convalidano la propria identità per accedere alle istanze del database RDS. Tra le opzioni ci sono password, Kerberos e autenticazione del database IAM. I consumatori devono determinare quale percorso di autenticazione sceglieranno e quindi implementare i controlli appropriati come complessità della password, MFA e policy IAM.
Nelle aree della protezione dei dati, le considerazioni chiave includono l'utilizzo dell'autenticazione a più fattori, nonché l'utilizzo di SSL/TLS per comunicare con altre risorse e la garanzia di utilizzare una versione TLS appropriata come 1.2. Altri consigli di AWS includono l'utilizzo del servizio Macie, che può aiutare a scoprire e proteggere i dati sensibili archiviati in S3. Macie utilizza l'apprendimento automatico (ML) per scoprire dati sensibili, creare una mappa interattiva e persino generare automaticamente risultati e inviarli a servizi AWS come AWS Security Hub in modo che le configurazioni vulnerabili o i dati esposti possano essere corretti.
AWS fornisce vari metodi per crittografare le risorse AWS RDS, tra cui la crittografia dei dati inattivi nelle istanze database sottostanti, backup automatizzati, repliche di lettura e snapshot. Per facilitare ciò, AWS utilizza il suo servizio di gestione delle chiavi (KMS). Sono disponibili varie opzioni, a seconda che tu voglia mantenere tu stesso la responsabilità di gestione delle chiavi o utilizzare chiavi gestite da AWS. Quando si segue il percorso delle chiavi gestite dal cliente, è possibile modificare elementi come policy delle chiavi e policy IAM per implementare un controllo degli accessi e vincoli di utilizzo più granulari per le chiavi, come limitare il luogo in cui possono avere origine le richieste di accesso all'istanza RDS.
I clienti possono anche utilizzare AWS CloudTrail per verificare l'utilizzo della chiave KMS per identificare comportamenti potenzialmente dannosi o uso improprio delle autorizzazioni e dell'accesso ai dati. Per approfondimenti sulla crittografia AWS e sull'uso di KMS, AWS ha pubblicato un whitepaper sulle best practice del servizio di gestione delle chiavi.
Detto questo, ci sono alcune considerazioni chiave da tenere in considerazione quando si crittografano le istanze del database AWS RDS. È necessario crittografare l'istanza del database al momento della creazione; non puoi tornare indietro e crittografarlo in seguito. Inoltre, non è possibile disattivare la crittografia una volta abilitata.
Le organizzazioni dovrebbero anche prendere in considerazione la protezione del traffico tra il servizio RDS e i client e le applicazioni locali, ad esempio utilizzando AWS Site-to-Site VPN o AWS Direct Connect per garantire che il traffico non sia esposto a soggetti non autorizzati.