Keamanan Amazon RDS

Enkripsi komunikasi antara aplikasi dan Instans DB Anda menggunakan SSL/TLS. Amazon RDS membuat sertifikat SSL dan menginstal sertifikat pada instans DB saat instans disediakan. Untuk MySQL, Anda meluncurkan klien mysql menggunakan parameter --ssl_ca untuk mereferensikan kunci publik guna mengenkripsi koneksi. Untuk SQL Server, unduh kunci publik dan impor sertifikat ke sistem operasi Windows Anda. RDS for Oracle menggunakan enkripsi jaringan native Oracle dengan instans DB. Anda cukup menambahkan opsi enkripsi jaringan native ke grup opsi dan mengaitkan grup opsi tersebut dengan instans DB. Setelah koneksi terenkripsi terjalin, data yang ditransfer antara Instans DB dan aplikasi Anda akan dienkripsi selama transfer. Anda juga dapat meminta instans DB Anda untuk hanya menerima koneksi terenkripsi.

Amazon RDS terintegrasi dengan AWS Identity and Access Management (IAM) dan memberi Anda kemampuan untuk mengontrol tindakan yang dapat dilakukan oleh grup dan pengguna IAM AWS Anda pada sumber daya tertentu (misalnya, Instans DB, Snapshot DB, Grup Parameter DB, Langganan Peristiwa DB, Grup Opsi DB). Selain itu, Anda dapat menandai sumber daya Anda dan mengontrol tindakan yang dapat dilakukan oleh pengguna dan grup IAM Anda pada grup sumber daya yang memiliki tanda (dan nilai tanda) yang sama. Untuk informasi selengkapnya tentang integrasi IAM, lihat dokumentasi Autentikasi Basis Data IAM.

Anda juga dapat menandai sumber daya Amazon RDS Anda serta mengontrol tindakan yang dapat dilakukan oleh grup dan pengguna IAM Anda pada grup sumber daya yang memiliki tanda dan nilai terkait yang sama. Misalnya, Anda dapat mengonfigurasi peraturan IAM untuk memastikan developer dapat mengubah instans basis data "Pengembangan", tetapi hanya Administrator Basis Data yang dapat mengubah instans basis data "Produksi".

Saat pertama kali membuat Instans DB dalam Amazon RDS, Anda akan membuat akun pengguna primer, yang hanya digunakan dalam konteks Amazon RDS untuk mengontrol akses ke Instans DB Anda. Akun pengguna primer adalah akun pengguna basis data native yang memungkinkan Anda masuk ke Instans DB dengan semua hak istimewa basis data. Anda dapat menentukan nama pengguna primer dan kata sandi yang ingin Anda kaitkan dengan masing-masing Instans DB ketika Anda membuat Instans DB. Setelah Anda membuat Instans DB, Anda dapat terhubung ke basis data menggunakan kredensial pengguna primer. Kemudian, Anda dapat membuat akun pengguna tambahan sehingga Anda dapat membatasi siapa yang dapat mengakses Instans DB Anda.

Dengan menggunakan Cloud Privat Virtual (VPC) Amazon, Anda dapat mengisolasi Instans DB dalam jaringan virtual Anda sendiri, dan menghubungkannya ke infrastruktur TI yang Anda miliki menggunakan VPN IPSec terenkripsi standar-industri.

Dengan Amazon VPC, Anda dapat mengisolasi Instans DB dengan menentukan rentang IP yang ingin Anda gunakan dan sambungkan ke infrastruktur IT yang ada melalui VPN IPsec terenkripsi standar industri. Menjalankan Amazon RDS di VPC dapat membantu Anda memiliki instans DB dalam subnet privat. Anda juga dapat mengatur gateway privat virtual yang memperpanjang jaringan korporasi ke VPC Anda dan mengizinkan akses ke instans DB Amazon RDS dalam VPC tersebut. Lihat Panduan Pengguna Amazon VPC untuk mengetahui detail selengkapnya. Instans DB yang dilakukan deployment dalam Amazon VPC dapat diakses dari Internet atau dari Instans Amazon EC2 di luar VPC melalui VPN atau host bastion yang dapat diluncurkan di subnet publik Anda. Untuk menggunakan host bastion, Anda perlu menyiapkan subnet publik dengan instans EC2 yang bertindak sebagai Bastion SSH. Subnet publik ini harus memiliki gateway Internet dan peraturan perutean yang memungkinkan lalu lintas untuk diarahkan melalui host SSH, yang kemudian harus meneruskan permintaan ke alamat IP privat dari instans DB Amazon RDS Anda. Grup keamanan DB dapat digunakan untuk membantu mengamankan Instans DB di dalam Amazon VPC. Selain itu, lalu lintas jaringan yang masuk dan keluar dari setiap subnet dapat diizinkan atau ditolak melalui ACL jaringan. Semua lalu lintas jaringan yang masuk atau keluar dari Amazon VPC Anda melalui koneksi VPN IPsec dapat diperiksa oleh infrastruktur keamanan on-premise Anda, termasuk firewall jaringan dan sistem deteksi intrusi.

Di luar ancaman keamanan eksternal, basis data yang dikelola perlu memberikan perlindungan terhadap risiko orang dalam dari administrator basis data (DBA). Aliran Aktivitas Basis Data, yang saat ini didukung untuk Amazon Aurora dan Amazon RDS for Oracle, menyediakan aliran data waktu nyata dari aktivitas basis data dalam basis data relasional Anda. Ketika terintegrasi dengan alat pemantauan aktivitas basis data pihak ketiga, Anda dapat memantau dan mengaudit aktivitas basis data untuk memberikan perlindungan bagi basis data Anda dan memenuhi persyaratan kepatuhan dan peraturan.

Aliran Aktivitas Basis Data melindungi basis data Anda dari ancaman internal dengan menerapkan model perlindungan yang mengontrol akses DBA ke aliran aktivitas basis data. Dengan demikian pengumpulan, transmisi, penyimpanan, dan pemrosesan selanjutnya dari aliran aktivitas basis data berada di luar akses DBA yang mengelola basis data.

Aliran didorong ke aliran data Amazon Kinesis yang dibuat atas nama basis data Anda. Dari Kinesis Data Firehose, aliran aktivitas basis data kemudian dapat digunakan oleh Amazon CloudWatch atau oleh aplikasi mitra untuk manajemen kepatuhan, seperti IBM Security Guardium. Aplikasi partner ini dapat menggunakan informasi aliran aktivitas basis data untuk membuat peringatan dan memberikan audit atas semua aktivitas di basis data Amazon Aurora Anda.

Anda dapat mempelajari selengkapnya mengenai penggunaan Aliran Aktivitas Basis Data untuk Aurora edisi kompatibel dengan PostgreSQL dan MySQL di halaman dokumentasi dan untuk Amazon RDS for Oracle di halaman dokumentasi.

Amazon RDS berkomitmen untuk menawarkan kepada pelanggan kerangka kerja kepatuhan yang kuat serta alat bantu canggih dan langkah-langkah keamanan yang dapat digunakan pelanggan untuk mengevaluasi, memenuhi, dan menunjukkan kepatuhan terhadap persyaratan hukum dan peraturan yang berlaku. Pelanggan harus meninjau model tanggung jawab bersama AWS dan memetakan tanggung jawab Amazon RDS dan tanggung jawab pelanggan. Pelanggan juga dapat menggunakan AWS Artifact untuk mengakses laporan audit RDS dan melakukan penilaian mereka terhadap tanggung jawab kontrol.

Untuk informasi selengkapnya, silakan kunjungi Halaman Kepatuhan AWS.

Amazon RDS memberikan panduan praktik terbaik dengan menganalisis konfigurasi dan metrik penggunaan dari instans basis data Anda. Rekomendasi mencakup bidang-bidang seperti keamanan, enkripsi, IAM, dan VPC. Anda dapat menelusuri rekomendasi yang tersedia dan segera melakukan tindakan yang disarankan, menjadwalkannya periode pemeliharaan berikutnya, atau menghapus semuanya.

Amazon VPC memungkinkan Anda membuat lingkungan jaringan virtual di bagian AWS cloud yang privat dan terisolasi, di mana Anda dapat melakukan kontrol penuh atas beberapa aspek, seperti rentang alamat IP privat, subnet, tabel perutean, serta gateway jaringan. Dengan Amazon VPC, Anda dapat menentukan topologi jaringan virtual dan menyesuaikan konfigurasi jaringan agar mirip dengan jaringan IP tradisional yang mungkin Anda operasikan di pusat data Anda sendiri.

Salah satu cara Anda dapat memanfaatkan VPC adalah ketika Anda ingin menjalankan aplikasi web publik sekaligus masih mempertahankan server backend yang tidak dapat diakses publik di subnet privat. Anda dapat membuat subnet publik untuk server web yang memiliki akses ke Internet, dan menempatkan Instans DB Amazon RDS backend dalam subnet privat tanpa akses Internet. Untuk informasi selengkapnya tentang Amazon VPC, lihat Panduan Pengguna Amazon Virtual Private Cloud.

Jika akun AWS Anda dibuat sebelum tanggal 04-12-2013, Anda mungkin dapat menjalankan Amazon RDS di lingkungan Amazon Elastic Compute Cloud (EC2)-Classic. Fungsionalitas dasar Amazon RDS adalah sama terlepas dari apakah yang digunakan adalah EC2-Classic atau EC2-VPC. Amazon RDS mengelola cadangan, patching perangkat lunak, deteksi kegagalan otomatis, replika baca, dan pemulihan, baik ketika Instans DB Anda di-deploy di dalam atau di luar VPC. Untuk informasi selengkapnya tentang perbedaan antara EC2-Classic dan EC2-VPC, lihat dokumentasi EC2.

Grup Subnet DB adalah kumpulan subnet yang mungkin ingin Anda tetapkan untuk Instans DB Amazon RDS dalam VPC. Setiap Grup Subnet DB harus memiliki setidaknya satu subnet untuk setiap Zona Ketersediaan di Wilayah yang diberikan. Ketika membuat Instans DB di VPC, Anda perlu memilih Grup Subnet DB. Amazon RDS kemudian menggunakan Grup Subnet DB tersebut dan Availability Zone yang Anda pilih untuk memilih subnet dan alamat IP dalam subnet tersebut. Amazon RDS membuat dan menghubungkan Elastic Network Interface ke Instans DB Anda dengan alamat IP tersebut.

Perhatikan bahwa kami sangat merekomendasikan agar Anda menggunakan Nama DNS untuk terhubung dengan Instans DB karena alamat IP dasar dapat berubah (misalnya, selama failover).

Untuk deployment Multi-AZ, menentukan subnet untuk semua Zona Ketersediaan di Wilayah akan mengizinkan Amazon RDS untuk membuat standby baru dalam Zona Ketersediaan lain jika diperlukan. Anda perlu melakukan ini bahkan untuk penerapan Single-AZ, jika Anda ingin mengonversikannya ke penerapan Multi-AZ di beberapa titik.

Untuk prosedur yang memandu Anda dalam proses ini, lihat Membuat Instans DB di VPC di Panduan Pengguna Amazon RDS.

Kunjungi bagian Grup Keamanan pada Panduan Pengguna Amazon RDS untuk mempelajari perbedaan cara mengontrol akses ke Instans DB Anda.

Instans DB yang dilakukan deployment dalam VPC dapat diakses oleh Instans EC2 yang dilakukan deployment dalam VPC yang sama. Jika Instans EC2 diterapkan dalam subnet dengan Elastic IP terkait, Anda dapat mengakses Instans EC2 melalui internet. Instans DB yang di-deploy dalam VPC dapat diakses dari Internet atau dari Instans EC2 di luar VPC melalui VPN atau host bastion yang dapat Anda luncurkan di subnet publik, atau menggunakan opsi Dapat Diakses Publik dari Amazon RDS:

• Untuk menggunakan host bastion, Anda perlu menyiapkan subnet publik dengan instans EC2 yang bertindak sebagai Bastion SSH. Subnet publik ini harus memiliki gateway internet dan peraturan perutean yang memungkinkan lalu lintas diarahkan melalui host SSH, yang kemudian harus meneruskan permintaan ke alamat IP privat dari instans DB Amazon RDS Anda.
• Untuk menggunakan konektivitas publik, cukup buat Instans DB Anda dengan mengatur opsi yang Dapat Diakses Publik ke ya. Dengan Dapat Diakses Publik yang aktif, Instans DB dalam VPC akan sepenuhnya dapat diakses dari luar VPC secara default. Ini berarti Anda tidak perlu mengonfigurasi VPN atau host bastion untuk mengizinkan akses ke instans Anda. 

Anda juga dapat mengatur Gateway VPN yang memperpanjang jaringan perusahaan ke VPC Anda dan mengizinkan akses ke instans DB Amazon RDS dalam VPC tersebut. Lihat Panduan Pengguna Amazon VPC untuk detail selengkapnya.

Kami sangat menyarankan Anda menggunakan Nama DNS agar dapat terhubung dengan Instans DB Anda karena alamat IP dasar dapat berubah (misalnya selama failover).

Jika instans DB Anda tidak berada di dalam VPC, Anda dapat menggunakan Konsol Manajemen AWS untuk dengan mudah memindahkan instans DB ke dalam VPC. Lihat Panduan Pengguna Amazon RDS untuk detail selengkapnya. Anda juga dapat mengambil snapshot Instans DB di luar VPC dan mengembalikannya ke VPC dengan menentukan Grup Subnet DB yang ingin digunakan. Selain itu, Anda juga dapat melakukan operasi “Pulihkan ke Titik Waktu”.

Migrasi Instans DB dari dalam ke luar VPC tidak didukung. Untuk alasan keamanan, Snapshot DB dari Instans DB di dalam VPC tidak dapat dikembalikan ke luar VPC. Hal yang sama berlaku dengan fungsi “Kembalikan ke Titik Waktu”. 

Anda bertanggung jawab untuk memodifikasi tabel perutean dan ACL jaringan dalam VPC untuk memastikan bahwa instans DB Anda dapat dijangkau dari instans klien di VPC. Untuk deployment Multi-AZ, setelah failover, instans EC2 dan Instans DB Amazon RDS klien Anda mungkin berada di Zona Ketersediaan yang berbeda. Anda harus mengonfigurasi ACL jaringan Anda untuk memastikan bahwa komunikasi antar-AZ dimungkinkan.

Grup Subnet DB yang sudah ada dapat diperbarui untuk menambah subnet, baik untuk Zona Ketersediaan yang sudah ada maupun Zona Ketersediaan baru yang ditambahkan sejak pembuatan Instans DB. Menghapus subnet dari Grup Subnet DB yang sudah ada dapat menyebabkan ketidaktersediaan instans jika instan tersebut berjalan di AZ tertentu yang dihapus dari grup subnet. Lihat Panduan Pengguna Amazon RDS untuk informasi selengkapnya.

Untuk mulai menggunakan Amazon RDS Anda akan memerlukan akun developer AWS. Jika Anda tidak memiliki akun sebelum daftar ke Amazon RDS, Anda akan diminta untuk membuat akun ketika Anda memulai proses pendaftaran. Akun pengguna primer berbeda dari akun developer AWS dan digunakan hanya dalam konteks Amazon RDS untuk mengontrol akses ke Instans DB Anda. Akun pengguna primer adalah akun pengguna basis data asli yang dapat Anda gunakan untuk terhubung ke Instans DB Anda. 

Anda dapat menentukan nama pengguna primer dan kata sandi yang ingin Anda kaitkan dengan masing-masing Instans DB ketika Anda membuat Instans DB. Setelah Anda membuat Instans DB, Anda dapat terhubung ke basis data menggunakan kredensial pengguna primer. Kemudian, Anda juga mungkin ingin membuat akun pengguna tambahan sehingga Anda dapat membatasi siapa yang dapat mengakses Instans DB Anda.

Untuk MySQL, hak istimewa default untuk pengguna primer meliputi: opsi buat, drop, referensi, peristiwa, ubah, hapus, indeks, sisipkan, pilih, perbarui, buat tabel sementara, kunci tabel, memicu, buat tampilan, tampilkan tampilan, ubah rutinitas, buat rutinitas, eksekusi, picu, buat pengguna, proses, tunjukkan basis data, dan izinkan.

Untuk Oracle, pengguna primer diberikan peran "dba". Pengguna primer menerima sebagian besar hak istimewa yang terkait dengan peran tersebut. Lihat Panduan Pengguna Amazon RDS untuk daftar hak istimewa terbatas dan alternatif yang terkait guna melakukan tugas administratif yang mungkin memerlukan hak istimewa ini.

Untuk SQL Server, pengguna yang membuat database diberikan peran "db_owner". Silakan lihat Panduan Pengguna Amazon RDS untuk daftar hak istimewa terbatas dan alternatif yang terkait untuk melakukan tugas administratif yang mungkin memerlukan hak istimewa ini.

Tidak, semuanya bekerja dengan cara yang Anda ketahui ketika menggunakan database relasional yang Anda kelola sendiri.

Ya. Anda harus dengan sengaja mengaktifkan kemampuan untuk mengakses basis data melalui internet dengan mengonfigurasi Grup Keamanan. Anda dapat melakukan otorisasi akses hanya untuk IP spesifik, rentang IP, atau subnet yang terkait dengan server di pusat data Anda sendiri.

Ya, opsi ini didukung untuk semua mesin Amazon RDS. Amazon RDS menghasilkan sertifikat SSL/TLS untuk setiap Instans DB. Setelah koneksi terenkripsi terjalin, data yang ditransfer antara Instans DB dan aplikasi Anda akan dienkripsi selama transfer. Walau SSL menawarkan manfaat keamanan, perlu diketahui bahwa enkripsi SSL/TLS merupakan operasi komputasi yang intensif dan akan meningkatkan latensi koneksi database Anda. Dukungan SSL/TLS dalam Amazon RDS adalah untuk mengenkripsi koneksi antara aplikasi dan Instans DB Anda sehingga tidak boleh diandalkan untuk mengautentikasi Instans DB itu sendiri.

Untuk detail pembuatan koneksi yang terenkripsi dengan Amazon RDS, harap kunjungi Panduan Pengguna MySQL, Panduan Pengguna MariaDB,Panduan Pengguna PostgreSQL, atau Panduan Pengguna Oracle Amazon RDS.

Amazon RDS mendukung enkripsi saat diam untuk semua mesin basis data, dengan kunci yang Anda kelola menggunakan AWS Key Management Service (KMS). Pada instans basis data yang berjalan dengan enkripsi Amazon RDS, data yang disimpan saat diam di penyimpanan dasar dienkripsi, begitu juga cadangan otomatis, replika baca, dan snapshotnya. Enkripsi dan dekripsi ditangani secara transparan. Untuk informasi selengkapnya mengenai penggunaan KMS dengan Amazon RDS, lihat Panduan Pengguna Amazon RDS.

Anda juga dapat menambahkan enkripsi ke instans DB atau klaster DB yang sebelumnya tidak terenkripsi dengan membuat snapshot DB, lalu membuat salinan snapshot tersebut dan menentukan kunci enkripsi KMS. Kemudian Anda dapat mengembalikan instans DB atau klaster DB yang terenkripsi menggunakan snapshot terenkripsi.

Amazon RDS for Oracle dan SQL Server mendukung teknologi Enkripsi Data Transparan (TDE) dari mesin tersebut. Untuk informasi selengkapnya, lihat Panduan Pengguna Amazon RDS untuk Oracle dan SQL Server.

Tidak, instans Oracle di Amazon RDS tidak dapat diintegrasikan dengan AWS CloudHSM. Untuk menggunakan enkripsi data transparan (TDE) dengan AWS CloudHSM, basis data Oracle harus diinstal di Amazon EC2.

Anda dapat mengontrol tindakan yang dapat diambil oleh pengguna dan grup AWS IAM Anda pada sumber daya Amazon RDS. Hal ini dapat dilakukan dengan mereferensikan sumber daya Amazon RDS di kebijakan AWS IAM yang Anda terapkan ke pengguna dan grup. Sumber daya Amazon RDS yang dapat direferensikan dalam kebijakan AWS IAM meliputi instans DB, snapshot DB, replika baca, grup keamanan DB, grup opsi DB, grup parameter DB, langganan peristiwa, dan grup subnet DB. 

Selain itu, Anda dapat memberi tanda pada sumber daya ini untuk menambahkan metadata tambahan ke sumber daya Anda. Dengan menggunakan tag, Anda dapat mengategorikan sumber daya (misalnya, Instans DB "Pengembangan", Instans DB "Produksi", dan Instans DB "Uji"), serta menulis kebijakan AWS IAM yang mencantumkan izin (yaitu tindakan) yang dapat diambil untuk sumber daya dengan tanda yang sama. Untuk informasi selengkapnya, lihat Penandaan Sumber Daya Amazon RDS.

Ya. AWS CloudTrail adalah layanan web yang merekam panggilan API AWS untuk akun Anda dan mengirimkan file log kepada Anda. Riwayat panggilan API AWS yang dihasilkan oleh CloudTrail memungkinkan analisis keamanan, pelacakan perubahan sumber daya, dan audit kepatuhan. 

Ya, semua mesin basis data Amazon RDS memenuhi syarat HIPAA, sehingga Anda dapat menggunakannya untuk membuat aplikasi yang sesuai dengan HIPAA dan menyimpan informasi terkait kesehatan, termasuk informasi kesehatan yang dilindungi (PHI) di bawah Business Associate Agreement (BAA) dengan AWS.

Jika Anda memiliki BAA yang telah dijalankan, tidak ada tindakan yang perlu dilakukan untuk mulai menggunakan layanan ini di akun yang dicakup oleh BAA Anda. Jika Anda tidak memiliki BAA yang telah dijalankan dengan AWS, atau memiliki pertanyaan lain tentang aplikasi yang mematuhi HIPAA di AWS, silakan hubungi kami
manajer akun Anda.