AWS將安全性視為共同的責任，所以管理員必須采取所有必要的步驟來確保RDS內數據的安全。

AWS提供了數種功能來保護它的關系數據庫服務。但就有如許多其他的Amazon Web服務產品一樣，RDS也歸類于“共同責任”的安全模型之下。在這個實例中，AWS管理著底層的基礎架構，包括RDS、客戶操作系統、AWS基礎架構和AWS基礎服務等等，但IT團隊仍然需要對自己的數據庫安全負責。

[[130709]]

管理員必須考慮以下四個方面，才能保持AWS RDS內的安全性，隱私性及數據完整性。

1.訪問控制

管理員都想要確保只有授權用戶能夠訪問公司數據庫以及特定的數據塊。AWS的彈性計算云(EC2)安全組允許云管理員將連接限制在某個授權的特定IP地址范圍內。經由你的AWS帳戶，你可以定義安全組和額外的特定IP地址，只允許它們訪問數據庫。這樣能夠在網絡層就保護好數據。但如果有未授權的用戶獲得在你允許IP范圍內的某臺電腦的訪問權限怎么辦?

此外，授權用戶可能在無意間刪除了數據。在這些情形中，AWS身份及訪問管理(IAM)可以替用戶及用戶組定義定制的訪問政策。這對你的關系數據庫服務操作及資源提供了更細化的控制。IAM的多因素認證支持則更進一步，確保了認證的安全性。

在將網絡限制在一個有限的IP地址段內進行安全保護，以及確保只有授權用戶能夠訪問你的RDS之后，你可以微調用戶能夠訪問的數據表和對象組以及他們能夠執行的操作。一個RDS帳戶一開始創建時有一組主用戶和密鑰。通常來說，數據庫管理員就是主用戶，但你也可以創建更多的主用戶并定義他們在數據庫里的訪問權限。你也可以從數據庫內部來加強連接的安全性，通過使用SSL連接的方式。

2.防火墻

你需要一個防火墻來將數據庫隔離于未授權的連接之外，并且監控和審計內部的活動。但是，你并沒有數據庫或是它所在的硬件的直接訪問權限。

這就是云服務的本質。Amazon關系數據庫服務允許你在一個獨立的虛擬機里安裝第三方防火墻，來監控和阻擋對你RDS實例的攻擊。在使用安全組及限制 IP范圍來阻擋不需要的訪問之外，AWS也提供虛擬私有云(VPC)，一種存在于組織層，能夠隔離存放數據庫的基礎架構的防火墻。VPC能夠限制云不能夠被互聯網直接訪問，最終給予企業更多的控制。

為了能監控你的數據庫操作和性能，Amazon CloudWatch提供了各式各樣的指標，包括CPU的使用，連接的數量，硬盤的空間使用，內存的使用等等。這些性能指標可以幫助我們探測類似于分布式拒絕服務之類的惡意攻擊，管理員也可以設立各種不同的警報來通知他們使用的高峰期或者性能的衰竭。

3.加密

不同的訪問控制和防火墻機制對于預防未授權遠程訪問你的數據庫是很有幫助的，但你必須謹記你的數據是存在真實的硬件上的。因此，你必須保證它的私密性和安全性，即便有未授權的人員獲得了物理上的對那臺機器的訪問并讀取了上面的數據。這就是數據加密派上用場的時候，不論是在數據從數據庫傳出還是傳入的時候，或者是當它處于靜態的時候。

要達成傳輸間的加密，你必須確定所有對AWS RDS的訪問都是經由安全的HTTP(HTTPS)。有幾種數據庫還支持從數據庫內部禁用非安全的連接的功能。要注意的是，加密和解密數據可能會產生一些數據庫操作的延遲。

要完成對靜態數據的加密，Amazon RDS為Oracle和SQL Server提供了一個透明數據加密(TDE)設施。TDE允許管理員使用一個256位的AES主密鑰加密數據以及加密密鑰。除了這個方式，你唯一能達到靜態加密的選擇就只有使用標準加密庫，例如OpenSSL或Bouncy Castle來選擇性的替數據庫字段加密。

4. 審計和報告

要真的了解數據庫內部發生的狀況，以及要遵循有關存儲數據的不同規則，管理員必須檢視所有數據庫內部的活動，并生成有意義的報告。Amazon CloudTrail就是個能夠提供API調用及相關事件完整歷史的數據庫審計服務。

CloudTrail提供多種關于日志文件相關的功能，允許公司遵循大部分的法律法規，包括使用IAM服務對日志文件進行訪問控制，創建或配置錯誤日志文件的警告，關于系統改動事件的日志，日志文件存儲等等。CloudTrail可以為超過25個不同字段創建日志，能夠分析并產生有意義的報告來告知IT團隊任何關于數據庫的行為。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_88443.htm