Amazon RDS – Sicherheit

Verschlüsseln Sie die Kommunikation zwischen Ihrer Anwendung und Ihrer DB-Instance mithilfe von SSL/TLS. Amazon RDS erstellt ein SSL-Zertifikat und installiert das Zertifikat auf der DB-Instance, wenn die Instance bereitgestellt wird. Für MySQL starten Sie den mysql-Client mit dem Parameter --ssl_ca, um auf den öffentlichen Schlüssel zu verweisen, um Verbindungen zu verschlüsseln. Laden Sie für SQL Server den öffentlichen Schlüssel herunter und importieren Sie das Zertifikat in Ihr Windows-Betriebssystem. RDS for Oracle verwendet die native Netzwerkverschlüsselung von Oracle mit einer DB-Instance. Sie fügen einfach die native Netzwerkverschlüsselungsoption zu einer Optionsgruppe hinzu und ordnen diese Optionsgruppe der DB-Instance zu. Nach dem Herstellen einer verschlüsselten Verbindung werden Daten zwischen der Datenbank-Instance und Ihrer Anwendung verschlüsselt übertragen. Sie können auch verlangen, dass Ihre DB-Instance nur verschlüsselte Verbindungen akzeptiert.

Amazon RDS ist in AWS Identity and Access Management (IAM) integriert und bietet Ihnen die Möglichkeit, die Aktionen zu steuern, die Ihre AWS IAM-Benutzer und -Gruppen für bestimmte Ressourcen ausführen können (z. B. DB-Instances, DB-Snapshots, DB-Parametergruppen, DB-Ereignisabonnements und DB-Optionsgruppen). Darüber hinaus können Sie Ihre Ressourcen mit Tags versehen und die Aktionen steuern, die Ihre IAM-Benutzer und -Gruppen für Ressourcengruppen ausführen können, die dasselbe Tag (und denselben Tag-Wert) haben. Weitere Informationen zur IAM-Integration finden Sie in der Dokumentation zur IAM-Datenbank-Authentifizierung.

Außerdem können Ihre Amazon-RDS-Ressourcen mit Tags versehen und die Aktionen steuern, die Ihre IAM-Benutzer und -Gruppen für Ressourcengruppen ausführen können, die dasselbe Tag und denselben zugehörigen Wert haben. Beispielsweise können Sie Ihre IAM-Regeln so konfigurieren, dass sichergestellt ist, dass Entwickler Datenbank-Instances für die Entwicklung ändern können, dass das Ändern und Löschen von Datenbank-Instances für die Produktion hingegen Datenbankadministratoren vorbehalten ist.

Wenn Sie zum ersten Mal eine DB-Instance in Amazon RDS erstellen, erstellen Sie ein primäres Benutzerkonto, das nur im Kontext von Amazon RDS zur Steuerung des Zugriffs auf Ihre DB-Instance (s) verwendet wird. Das primäre Benutzerkonto ist ein systemeigenes Datenbankbenutzerkonto, mit dem Sie sich mit allen Datenbankberechtigungen bei Ihrer DB-Instance anmelden können. Bei Erstellung der einzelnen DB-Instances können Sie festlegen, welcher Haupt-Benutzername und welches Kennwort diesen zugewiesen werden sollen. Nach Erstellung Ihrer DB-Instance können Sie mithilfe der Haupt-Benutzerdaten auf die Datenbank zugreifen. Anschließend können Sie weitere Benutzerkonten erstellen, um den Zugriff auf Ihre DB-Instance einzuschränken.

Mit Amazon Virtual Private Cloud (VPC) können Sie Ihre DB-Instances in Ihrem eigenen virtuellen Netzwerk isolieren und eine Verbindung mit Ihrer vorhandenen IT-Infrastruktur über branchenstandardmäßig verschlüsselte IPSec-VPNs herstellen.

Mit Amazon VPC können Sie Ihre DB-Instances durch Angabe des zu verwendenden IP-Bereichs isolieren und eine Verbindung mit Ihrer vorhandenen IT-Infrastruktur über branchenstandardmäßig verschlüsselte IPsec-VPNs herstellen. Wenn Sie Amazon RDS in einer VPC ausführen, können Sie eine DB-Instance in einem privaten Subnetz haben. Sie können auch ein virtuelles privates Gateway einrichten, das Ihr Unternehmensnetzwerk in Ihre VPC erweitert und den Zugriff auf die Amazon RDS-DB-Instance in dieser VPC ermöglicht. Weitere Informationen hierzu finden Sie im Benutzerhandbuch zu Amazon VPC. Auf innerhalb einer Amazon VPC bereitgestellte DB-Instances kann über das Internet oder von Amazon EC2-Instances außerhalb der VPC über VPN oder Bastion-Hosts zugegriffen werden, die Sie in Ihrem öffentlichen Subnetz starten können. Wenn Sie einen Bastion-Host verwenden möchten, müssen Sie ein öffentliches Subnetz mit einer EC2-Instance einrichten, die als SSH-Bastion fungiert. Dieses öffentliche Subnetz muss über ein Internet-Gateway und Routing-Regeln verfügen, die erlauben, dass der Datenverkehr über den SSH-Host gerichtet wird. Dieser muss dann Anforderungen an die private IP-Adresse Ihrer Amazon-RDS-DB-Instance weiterleiten. Sie können DB Security Groups verwenden, um DB Instances innerhalb einer Amazon VPC zu schützen. Darüber hinaus kann der in jedes Subnetz ein- und ausgehende Netzwerkverkehr über Netzwerk-ACLs zugelassen oder verweigert werden. Der gesamte Netzwerkverkehr, der über Ihre IPsec-VPN-Verbindung in Ihre Amazon VPC eintritt oder diese verlässt, kann von Ihrer lokalen Sicherheitsinfrastruktur, einschließlich Netzwerk-Firewalls und Intrusion-Detection-Systemen, überprüft werden.

Neben externen Sicherheitsbedrohungen müssen verwaltete Datenbanken auch Schutz vor internen Risiken durch Datenbankadministratoren (DBAs) bieten. Database Activity Streams, die derzeit für Amazon Aurora und Amazon RDS for Oracle unterstützt werden, bieten einen Echtzeit-Datenstream der Datenbankaktivitäten in Ihrer relationalen Datenbank. Durch die Integration mit Tools zur Überwachung der Datenbankaktivität von Drittanbietern können Sie die Datenbankaktivität überwachen und prüfen, um Schutz für Ihre Datenbank zu bieten und Compliance- und behördliche Anforderungen zu erfüllen.

Database Activity Streams schützt Ihre Datenbank vor internen Bedrohungen, indem ein Schutzmodell implementiert wird, das den DBA-Zugriff auf den Datenbank-Aktivitätsstream steuert. Somit entzieht sich die Erfassung, Übertragung, Speicherung und anschließende Verarbeitung des Datenbank-Aktivitätsstroms dem Zugriff der DBAs, die die Datenbank verwalten.

Der Stream wird an einen Amazon Kinesis-Datenstream übertragen, der im Namen Ihrer Datenbank erstellt wird. Von Kinesis Data Firehose aus kann der Datenbank-Aktivitätsstream dann von Amazon CloudWatch oder von Partneranwendungen für das Compliance-Management wie IBM Security Guardium genutzt werden. Diese Partneranwendungen können die Informationen des Datenbankaktivitäts-Streams nutzen, um Benachrichtigungen zu erstellen und die Prüfung sämtlicher Aktivitäten auf Ihren Amazon Aurora-Datenbanken zu veranlassen.

Weitere Informationen zur Verwendung von Database Activity Streams für die PostgreSQL- und MySQL-kompatiblen Editionen von Aurora finden Sie auf der Dokumentationsseite und für Amazon RDS für Oracle auf der Dokumentationsseite.

Amazon RDS ist bestrebt, seinen Kunden ein starkes Compliance-Framework sowie fortschrittliche Tools und Sicherheitsmaßnahmen zu bieten, mit denen Kunden die Einhaltung geltender gesetzlicher und behördlicher Anforderungen bewerten, erfüllen und nachweisen können. Kunden sollten das AWS-Modell der geteilten Verantwortung überprüfen und die Verantwortlichkeiten von Amazon RDS und die Verantwortlichkeiten der Kunden zuordnen. Kunden können AWS Artifact auch verwenden, um auf die Auditberichte von RDS zuzugreifen und ihre Kontrollaufgaben zu bewerten.

Mehr Informationen finden Sie auf der AWS-Compliance-Seite.

Amazon RDS bietet Anleitungen für bewährte Methoden, indem Konfigurations- und Nutzungskennzahlen von Ihren Datenbank-Instances analysiert werden. Die Empfehlungen decken Bereiche wie Sicherheit, Verschlüsselung, IAM und VPC ab. Sie können die verfügbaren Empfehlungen durchsuchen und sofort eine empfohlene Aktion durchführen, sie für ihr nächstes Wartungsfenster einplanen oder einfach ablehnen.

Mit Amazon VPC können Sie eine virtuelle Netzwerkumgebung in einem privaten, isolierten Bereich der AWS Cloud erstellen. Hier haben Sie die vollständige Kontrolle über private IP-Adressbereiche, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Mit Amazon VPC definieren Sie eine virtuelle Netzwerktopologie und passen die Netzwerkkonfiguration an Ihre Bedürfnisse an, so dass sie einem herkömmlichen IP-Netzwerk ähnelt, das Sie in Ihrem eigenen Rechenzentrum betreiben könnten.

VPC eignet sich besonders, wenn Sie eine öffentlich zugängliche Webanwendung ausführen, aber nicht öffentlich zugängliche Backend-Server in einem privaten Subnetz beibehalten möchten. Sie können ein öffentlich zugängliches Subnetz für Ihre Webserver erstellen, das Zugang zum Internet hat, und Ihre Backend-Amazon-RDS-DB-Instances in einem nicht öffentlich zugänglichen Subnetz ohne Internetzugriff einrichten. Weitere Informationen zu Amazon VPC erhalten Sie im Benutzerhandbuch zu Amazon Virtual Private Cloud.

Wurde Ihr AWS-Konto vor dem 4. Dezember 2013 erstellt, können Sie Amazon RDS möglicherweise in einer Amazon Elastic Compute Cloud (EC2)-Classic-Umgebung ausführen. Die grundlegenden Funktionen von Amazon RDS sind dieselben, unabhängig davon, ob EC2-Classic oder EC2-VPC genutzt wird. Amazon RDS verwaltet Backups, Software-Patches, automatische Fehlererkennung, Lesereplikate und Wiederherstellungen unabhängig davon, ob Ihre DB-Instances innerhalb oder außerhalb einer VPC bereitgestellt werden. Weitere Informationen zu den Unterschieden zwischen EC2-Classic und EC2-VPC finden Sie in der EC2-Dokumentation.

Eine DB-Subnetzgruppe ist eine Sammlung von Subnetzen, die Sie für Ihre Amazon-RDS-DB-Instances in einer VPC verwenden können. Jede DB-Subnetzgruppe sollte mindestens über ein Subnetz für jede Availability Zone in einer bestimmten Region verfügen. Wenn Sie eine DB-Instance in VPC erstellen, müssen Sie eine DB-Subnetzgruppe auswählen. Amazon RDS verwendet diese DB-Subnetzgruppe und Ihre bevorzugte Availability Zone dann zur Auswahl eines Subnetzes und einer IP-Adresse in diesem Subnetz. Amazon RDS erstellt und ordnet Ihrer DB Instance eine Elastic-Netzwerkschnittstelle mit dieser IP-Adresse zu.

Es wird dringend empfohlen, dass Sie den DNS-Namen für die Verbindung mit Ihrer DB-Instance verwenden, da sich die zugrunde liegende IP-Adresse ändern kann (z. B während eines Failovers).

Bei Multi-AZ-Bereitstellungen kann Amazon RDS durch die Definition eines Subnetzes für alle Availability Zones in einer Region bei Bedarf eine neue Standby-Instance in einer anderen Availability Zone erstellen. Sie müssen dies sogar für Einzel-AZ-Bereitstellungen vornehmen, nur für den Fall, dass Sie sie zu einem späteren Zeitpunkt in Multi-AZ-Bereitstellungen umwandeln möchten.

Eine Schritt-für-Schritt-Anleitung zu diesem Prozess finden Sie im Amazon RDS-Benutzerhandbuch unter Creating a DB Instance in a VPC.

Im Benutzerhandbuch zu Amazon RDS finden Sie im Abschnitt Sicherheitsgruppe Informationen zu den verschiedenen Möglichkeiten, den Zugriff auf Ihre DB-Instances zu steuern.

Auf DB-Instances, die innerhalb einer VPC bereitgestellt werden, kann von in derselben VPC bereitgestellten EC2-Instances zugegriffen werden. Wenn diese EC2-Instances in einem öffentlichen Subnetz mit zugeordneten Elastic IP-Adressen bereitgestellt werden, können Sie auf die EC2-Instances über das Internet zugreifen. Auf in einer VPC bereitgestellte DB-Instances kann über das Internet oder von EC2-Instances außerhalb der VPC über VPN oder Bastion-Hosts zugegriffen werden, die Sie in Ihrem öffentlichen Subnetz oder über die Amazon-RDS-Option „Publicly Accessible“ starten können:

• Um einen Bastion-Host zu verwenden, müssen Sie ein öffentliches Subnetz mit einer EC2-Instance einrichten, die als SSH-Bastion fungiert. Dieses öffentliche Subnetz muss über ein Internet-Gateway und Routing-Regeln verfügen, die es ermöglichen, den Datenverkehr über den SSH-Host zu leiten, der dann Anfragen an die private IP-Adresse Ihrer Amazon RDS-DB-Instance weiterleiten muss.
• Erstellen Sie für eine öffentliche Anbindung Ihre DB-Instances mit auf „Yes“ festgelegter Option „Publicly Accessible“. Wenn "Publicly Accessible" aktiv ist, kann standardmäßig von außerhalb Ihrer VPC voll auf Ihre DB-Instances in der VPC zugegriffen werden. Das heißt, dass Sie kein VPN bzw. keinen Bastion-Host konfigurieren müssen, um den Zugriff auf Ihre Instances zuzulassen. 

Sie können auch ein VPN-Gateway einrichten, durch das Ihr Unternehmensnetzwerk in Ihre VPC ausgedehnt wird und das einen Zugriff auf die Amazon-RDS-DB-Instance in dieser VPC ermöglicht. Weitere Informationen hierzu finden Sie im Benutzerhandbuch zu Amazon VPC.

Es wird dringend empfohlen, dass Sie den DNS-Namen für die Verbindung mit Ihrer DB Instance verwenden, da sich die zugrunde liegende IP-Adresse ändern kann (z. B während eines Failovers).

Falls sich Ihre DB-Instance nicht in einer VPC befindet, können Sie sie einfach mithilfe der AWS-Managementkonsole in eine VPC verschieben. Weitere Informationen hierzu finden Sie im Amazon-RDS-Benutzerhandbuch. Sie können auch einen Snapshot Ihrer DB-Instance außerhalb der VPC erstellen und ihn in der VPC wiederherstellen, indem Sie die gewünschte DB-Subnetzgruppe angeben. Sie können auch eine "Wiederherstellung zu einem bestimmten Zeitpunkt" vornehmen.

Die Migration von DB-Instances von innerhalb zu außerhalb der VPC wird nicht unterstützt. Aus Sicherheitsgründen kann ein DB-Snapshot einer DB-Instance in einer VPC nicht außerhalb der VPC wiederhergestellt werden. Dasselbe gilt für die Funktion "Wiederherstellung zu einem bestimmten Zeitpunkt". 

Sie müssen Routing-Tabellen und Netzwerk-ACLs in Ihrer VPC entsprechend ändern, um sicherzustellen, dass Ihre DB-Instance von Ihren Client-Instances in der VPC erreichbar sind. Bei Multi-AZ-Bereitstellungen befindet sich Ihre Client-EC2-Instance und die Amazon-RDS-DB-Instance nach einem Failover eventuell in verschiedenen Availability Zones. Sie sollten Ihre Netzwerk-ACLs so konfigurieren, dass eine übergreifende AZ-Kommunikation möglich ist.

Eine vorhandene DB-Subnetzgruppe kann aktualisiert werden, um weitere Subnetze für vorhandene Availability Zones oder für neue Availability Zones hinzuzufügen, die nach dem Erstellen der DB-Instance hinzugefügt wurden. Das Entfernen von Subnetzen aus einer vorhandenen DB-Subnetzgruppe kann eine Nichtverfügbarkeit für Instances bewirken, wenn diese in einer bestimmten Availability Zone ausgeführt werden, die aus der Subnetzgruppe entfernt wird. Weitere Informationen hierzu finden Sie im Amazon-RDS-Benutzerhandbuch.

Um Amazon RDS verwenden zu können, benötigen Sie ein AWS-Entwicklerkonto. Wenn Sie vor der Anmeldung für Amazon RDS kein Entwicklerkonto besitzen, werden Sie zu Beginn des Anmeldevorgangs zur Erstellung eines solchen Kontos aufgefordert. Ein Haupt-Benutzerkonto unterscheidet sich von einem AWS-Entwicklerkonto und wird ausschließlich im Rahmen von Amazon RDS verwendet, um den Zugriff auf Ihre DB-Instance(s) zu kontrollieren. Beim Haupt-Benutzerkonto handelt es sich um das Benutzerkonto einer nativen Datenbank, über das Sie auf Ihre DB-Instance zugreifen können. 

Bei Erstellung der einzelnen DB-Instances können Sie festlegen, welcher Haupt-Benutzername und welches Kennwort diesen zugewiesen werden sollen. Nach Erstellung Ihrer DB-Instance können Sie mithilfe der Haupt-Benutzerdaten auf die Datenbank zugreifen. Anschließend können Sie weitere Benutzerkonten erstellen, mit denen Sie den Zugriff auf Ihre DB Instance einschränken können.

Der Haupt-Benutzer verfügt über folgende Standardberechtigungen für MySQL: Erstellen, Entfernen, Referenzen, Ereignis, Ändern, Löschen, Index, Einfügen, Auswählen, Aktualisieren, temporäre Tabellen erstellen, Tabellen sperren, Auslösen, Ansicht erstellen, Ansicht anzeigen, Routine ändern, Routine erstellen, Ausführen, Auslösen, Benutzer erstellen, Verarbeiten, Datenbanken anzeigen, Option erteilen.

Der Haupt-Benutzer verfügt in Oracle über die „dba“-Rolle. Der Haupt-Benutzer übernimmt die meisten Berechtigungen, die der Rolle zugeordnet sind. Eine Liste mit den eingeschränkten Berechtigungen und den entsprechenden Alternativen, um administrative Aufgaben durchzuführen, die diese Berechtigungen eventuell erfordern, finden Sie im Amazon-RDS-Benutzerhandbuch.

Bei SQL Server wird dem Benutzer, der eine Datenbank anlegt, die Rolle "db_owner" zugewiesen. Eine Liste mit den eingeschränkten Berechtigungen und den entsprechenden Alternativen, um administrative Aufgaben durchzuführen, die diese Berechtigungen eventuell erfordern, finden Sie im Amazon-RDS-Benutzerhandbuch.

Nein, alles funktioniert so, wie Sie es von relationalen Datenbanken gewohnt sind, die Sie selbst verwalten.

Ja. Sie müssen den Zugriff auf Ihre Datenbank über das Internet manuell aktivieren, indem Sie Sicherheitsgruppen konfigurieren. Sie können den Zugriff nur für die spezifischen IP-Adressen, IP-Adressbereiche und Subnetze autorisieren, die Servern in Ihrem eigenen Rechenzentrum entsprechen.

Ja, diese Option wird für alle Amazon RDS-Engines unterstützt. Amazon RDS generiert für jede DB-Instance ein SSL-/TLS-Zertifikat. Nach dem Herstellen einer verschlüsselten Verbindung werden Daten zwischen der Datenbank-Instance und Ihrer Anwendung verschlüsselt übertragen. Wenngleich SSL Sicherheitsvorteile bietet, sollten Sie daran denken, dass eine SSL-/TLS-Verschlüsselung sehr rechenintensiv ist und die Latenz Ihrer Datenbankverbindung erhöhen wird. Die Unterstützung für SSL/TLS in Amazon RDS dient zur Verschlüsselung der Verbindung zwischen Ihrer Anwendung und Ihrer DB-Instance. Sie sollte nicht zur Authentifizierung der DB-Instance selbst genutzt werden.

Einzelheiten zum Aufbau einer verschlüsselten Verbindung mit Amazon RDS finden Sie im Amazon RDS MySQL-Benutzerhandbuch, MariaDB-Benutzerhandbuch, PostgreSQL-Benutzerhandbuch oder Oracle-Benutzerhandbuch.

Amazon RDS unterstützt Verschlüsselung im Ruhezustand für alle Datenbank-Engines mithilfe von Schlüsseln, die Sie mit AWS Key Management Service (KMS) verwalten. Bei einer mit Amazon RDS-Verschlüsselung ausgeführten DB-Instance sind die im zugrunde liegenden Speicher gespeicherten Daten verschlüsselt, was auch für deren automatisierte Sicherungen, Read Replicas und Snapshots gilt. Ver- und Entschlüsselung erfolgen transparent. Weitere Informationen zur Verwendung von KMS mit Amazon RDS finden Sie im Amazon RDS-Benutzerhandbuch.

Sie können auch eine Verschlüsselung zu einer zuvor unverschlüsselten DB-Instance oder einem DB-Cluster hinzufügen, indem Sie einen DB-Snapshot erstellen, eine Kopie davon erzeugen und anschließend eine KMS-Verschlüsselung festlegen. Sie können dann eine verschlüsselte DB-Instance oder einen DB-Cluster aus dem verschlüsselten Snapshot wiederherstellen.

Amazon RDS for Oracle und SQL Server unterstützen die Transparent--Data-Encryption-Technologien (TDE) dieser Engines. Weitere Informationen finden Sie im Amazon RDS-Benutzerhandbuch für Oracle und SQL Server.

Nein, eine Oracle-Instance auf Amazon RDS kann nicht in AWS CloudHSM integriert werden. Um transparente Datenverschlüsselung (TDE) mit AWS CloudHSM zu verwenden, muss die Oracle-Datenbank auf Amazon EC2 installiert werden.

Sie können die Aktionen kontrollieren, die Ihre AWS IAM-Benutzer und -Gruppen auf bestimmte Amazon-RDS-Ressourcen anwenden können. Dies erfolgt über Verweise auf die Amazon-RDS-Ressourcen in den AWS-IAM-Richtlinien, die Sie auf Ihre Benutzer und Gruppen anwenden können. Amazon-RDS-Ressourcen, auf die in einer AWS IAM-Richtlinie verwiesen werden kann, sind DB-Instances, DB-Snapshots, Lesereplikate, DB-Sicherheitsgruppen, DB-Optionsgruppen, DB-Parametergruppen, Ereignisabonnements und DB-Subnetzgruppen. 

Darüber hinaus können Sie diese Ressourcen markieren, um ihnen weitere Metadaten hinzuzufügen. Sie können so Ihren Ressourcen Kategorien zuweisen (z. B. „Entwicklung“-DB-Instances, „Produktion“-DB-Instances, „Test“-DB-Instances usw.) und AWS-IAM-Richtlinien festlegen, in denen die Berechtigungen für die Aktionen aufgeführt sind, die auf Ressourcen der jeweiligen Kategorie angewendet werden dürfen. Weitere Informationen finden Sie unter Tagging von Amazon-RDS-Ressourcen.

Ja. AWS CloudTrail ist ein Web-Service, der Aufrufe von AWS-APIs für Ihr Konto aufzeichnet und Protokolldateien an Sie übermittelt. Der AWS-API-Aufrufverlauf, der von CloudTrail generiert wird, ermöglicht eine Sicherheitsanalyse, Nachverfolgung von Ressourcenänderungen und Überwachung der Einhaltung von Vorschriften. 

Ja, alle Amazon-RDS-Datenbank-Engines sind HIPAA-fähig, Sie können damit daher HIPAA-konforme Anwendungen erstellen und gesundheitsbezogene Daten speichern, u. a. Protected Health Information (PHI) im Rahmen eines aktiven Business Associate Agreement (BAA) mit AWS.

Wenn Sie bereits ein aktives BAA haben, können Sie ohne weitere Maßnahmen diese Services mit den vom BAA abgedeckten Konten verwenden. Wenn Sie kein ausgeführtes BAA mit AWS haben oder weitere Fragen zu HIPAA-konformen Anwendungen auf AWS haben, wenden Sie sich bitte an
Ihren Account Manager.