Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Huduma ya Relational Database Service (RDS) inayotolewa na AWS imeundwa kuboresha uwekaji, uendeshaji, na upanuzi wa database ya uhusiano katika wingu. Huduma hii inatoa faida za ufanisi wa gharama na upanuzi huku ikitengeneza kazi zinazohitaji nguvu kama vile ugavi wa vifaa, usanidi wa database, urekebishaji, na nakala za akiba.
AWS RDS inasaidia injini mbalimbali maarufu za database za uhusiano ikiwa ni pamoja na MySQL, PostgreSQL, MariaDB, Oracle Database, Microsoft SQL Server, na Amazon Aurora, ikiwa na ufanisi kwa MySQL na PostgreSQL.
Vipengele muhimu vya RDS ni pamoja na:
Usimamizi wa mifano ya database umefanywa rahisi.
Uundaji wa read replicas ili kuboresha utendaji wa kusoma.
Usanidi wa multi-Availability Zone (AZ) deployments ili kuhakikisha upatikanaji wa juu na mifumo ya kufeli.
Ushirikiano na huduma nyingine za AWS, kama:
AWS Identity and Access Management (IAM) kwa udhibiti wa ufikiaji thabiti.
AWS CloudWatch kwa ufuatiliaji na vipimo vya kina.
AWS Key Management Service (KMS) kwa kuhakikisha usimbaji fiche wakati wa kupumzika.
Wakati wa kuunda klasta ya DB jina kuu la mtumiaji linaweza kusanidiwa (admin kwa chaguo-msingi). Ili kuunda nenosiri la mtumiaji huyu unaweza:
Onyesha nenosiri mwenyewe
Mwambie RDS ijitengeneze yenyewe
Mwambie RDS kusimamia katika AWS Secret Manager iliyosimbwa kwa ufunguo wa KMS
Kuna aina 3 za chaguo za uthibitishaji, lakini kutumia nenosiri kuu daima kunaruhusiwa:
Kwa chaguo-msingi hakuna ufikiaji wa umma unaotolewa kwa databases, hata hivyo inaweza kutolewa. Hivyo, kwa chaguo-msingi mashine pekee kutoka VPC hiyo hiyo zitakuwa na uwezo wa kuifikia ikiwa kikundi cha usalama kilichochaguliwa (kimehifadhiwa katika EC2 SG) kinaruhusu.
Badala ya kufichua mfano wa DB, inawezekana kuunda RDS Proxy ambayo inaboresha upanuzi & upatikanaji wa klasta ya DB.
Zaidi ya hayo, bandari ya database inaweza kubadilishwa pia.
Usimbaji fiche umewezeshwa kwa chaguo-msingi kwa kutumia ufunguo unaosimamiwa na AWS (ufunguo wa CMK unaweza kuchaguliwa badala yake).
Kwa kuwezesha usimbaji wako, unawawezesha usimbaji fiche wakati wa kupumzika kwa uhifadhi wako, picha za snapshot, read replicas na nakala zako za akiba. Funguo za kusimamia usimbaji huu zinaweza kutolewa kwa kutumia KMS. Haiwezekani kuongeza kiwango hiki cha usimbaji baada ya database yako kuundwa. Lazima ifanyike wakati wa kuunda.
Hata hivyo, kuna njia mbadala inayokuruhusu kusimbwa fiche database isiyosimbwa kama ifuatavyo. Unaweza kuunda picha ya snapshot ya database yako isiyosimbwa, kuunda nakala iliyosimbwa ya snapshot hiyo, tumia snapshot hiyo iliyosimbwa kuunda database mpya, na kisha, hatimaye, database yako itakuwa imewekwa usimbaji fiche.
Pamoja na uwezo wa usimbaji fiche ulio ndani ya RDS katika ngazi ya programu, RDS pia inasaidia mbinu za usimbaji fiche za ngazi ya jukwaa ili kulinda data wakati wa kupumzika. Hii inajumuisha Transparent Data Encryption (TDE) kwa Oracle na SQL Server. Hata hivyo, ni muhimu kutambua kwamba ingawa TDE inaboresha usalama kwa kusimbwa fiche data wakati wa kupumzika, inaweza pia kuathiri utendaji wa database. Athari hii ya utendaji inajulikana hasa inapokuwa ikitumiwa pamoja na kazi za usimbaji fiche za MySQL au kazi za usimbaji fiche za Microsoft Transact-SQL.
Ili kutumia TDE, hatua fulani za awali zinahitajika:
Kundi la Chaguo:
Database lazima iunganishwe na kundi la chaguo. Makundi ya chaguo yanatumika kama vyombo vya mipangilio na vipengele, kurahisisha usimamizi wa database, ikiwa ni pamoja na maboresho ya usalama.
Hata hivyo, ni muhimu kutambua kwamba makundi ya chaguo yanapatikana tu kwa injini maalum za database na matoleo.
Kuongeza TDE katika Kundi la Chaguo:
Mara baada ya kuunganishwa na kundi la chaguo, chaguo la Oracle Transparent Data Encryption linahitaji kuongezwa katika kundi hilo.
Ni muhimu kutambua kwamba mara chaguo la TDE linapoongezwa kwenye kundi la chaguo, linakuwa sehemu ya kudumu na haliwezi kuondolewa.
Modes za Usimbaji wa TDE:
TDE inatoa modes mbili tofauti za usimbaji:
TDE Tablespace Encryption: Hali hii inasimbwa fiche meza nzima, ikitoa wigo mpana wa ulinzi wa data.
TDE Column Encryption: Hali hii inazingatia kusimbwa fiche vipengele maalum, ikiruhusu udhibiti wa kina juu ya ni data gani inasimbwa fiche.
Kuelewa masharti haya na intricacies za uendeshaji wa TDE ni muhimu kwa kutekeleza na kusimamia usimbaji fiche ndani ya RDS, kuhakikisha usalama wa data na kufuata viwango vinavyohitajika.
Kuna njia za kufikia data za DynamoDB kwa kutumia sintaksia ya SQL, hivyo basi, injections za SQL za kawaida pia zinaweza kutokea.
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
