AWS - Relational Database (RDS) Enum

Temel Bilgiler

AWS tarafından sunulan İlişkisel Veritabanı Servisi (RDS), bulutta bir ilişkisel veritabanının dağıtımını, işletimini ve ölçeklenmesini kolaylaştırmak için tasarlanmıştır. Bu hizmet, donanım sağlama, veritabanı yapılandırması, yamanma ve yedekleme gibi iş gücü yoğun görevleri otomatikleştirirken maliyet verimliliği ve ölçeklenebilirlik avantajları sunar.

AWS RDS, MySQL, PostgreSQL, MariaDB, Oracle Database, Microsoft SQL Server ve Amazon Aurora gibi yaygın olarak kullanılan çeşitli ilişkisel veritabanı motorlarını destekler ve hem MySQL hem de PostgreSQL ile uyumludur.

RDS'nin ana özellikleri şunlardır:

• Veritabanı örneklerinin yönetimi basitleştirilmiştir.

• Okuma performansını artırmak için okuma kopyaları oluşturma.

• Yüksek kullanılabilirlik ve failover mekanizmalarını sağlamak için çoklu Erişim Alanı (AZ) dağıtımları yapılandırma.

• Diğer AWS hizmetleri ile entegrasyon, örneğin:

• Güçlü erişim kontrolü için AWS Kimlik ve Erişim Yönetimi (IAM).

• Kapsamlı izleme ve metrikler için AWS CloudWatch.

• Dinlenme sırasında şifrelemeyi sağlamak için AWS Anahtar Yönetim Servisi (KMS).

Kimlik Bilgileri

DB kümesi oluşturulurken ana kullanıcı adı yapılandırılabilir (varsayılan olarak admin). Bu kullanıcının şifresini oluşturmak için:

• Kendiniz bir şifre belirtin

• RDS'ye otomatik olarak oluşturmasını söyleyin

• RDS'ye AWS Secret Manager'da KMS anahtarı ile şifreli olarak yönetmesini söyleyin

Kimlik Doğrulama

3 tür kimlik doğrulama seçeneği vardır, ancak ana şifre her zaman kullanılabilir:

Genel Erişim & VPC

Varsayılan olarak veritabanlarına hiçbir genel erişim verilmez, ancak verilebilir. Bu nedenle, varsayılan olarak yalnızca aynı VPC'den makineler, seçilen güvenlik grubu (EC2 SG'de saklanır) izin veriyorsa buna erişebilecektir.

Bir DB örneğini açığa çıkarmak yerine, DB kümesinin ölçeklenebilirliğini ve kullanılabilirliğini artıran bir RDS Proxy oluşturmak mümkündür.

Ayrıca, veritabanı portu da değiştirilebilir.

Şifreleme

Şifreleme varsayılan olarak etkindir ve AWS yönetilen bir anahtar kullanır (bir CMK yerine seçilebilir).

Şifrelemenizi etkinleştirerek, depolamanız, anlık görüntüleriniz, okuma kopyalarınız ve yedekleriniz için dinlenme sırasında şifrelemeyi etkinleştiriyorsunuz. Bu şifrelemeyi yönetmek için anahtarlar KMS kullanılarak verilebilir. Veritabanınız oluşturulduktan sonra bu düzeyde şifreleme eklemek mümkün değildir. Bu, oluşturulması sırasında yapılmalıdır.

Ancak, şifresiz bir veritabanını şifrelemenizi sağlayan bir çözüm yolu vardır. Şifresiz veritabanınızın bir anlık görüntüsünü oluşturabilir, o anlık görüntünün şifreli bir kopyasını oluşturabilir, o şifreli anlık görüntüyü kullanarak yeni bir veritabanı oluşturabilir ve sonunda veritabanınız şifrelenmiş olur.

Şeffaf Veri Şifrelemesi (TDE)

RDS'nin uygulama düzeyindeki şifreleme yeteneklerine ek olarak, RDS ayrıca dinlenme halindeki verileri korumak için ek platform düzeyi şifreleme mekanizmalarını destekler. Bu, Oracle ve SQL Server için Şeffaf Veri Şifrelemesi (TDE)'yi içerir. Ancak, TDE'nin dinlenme halindeki verileri şifreleyerek güvenliği artırdığına dikkat etmek önemlidir, bu aynı zamanda veritabanı performansını etkileyebilir. Bu performans etkisi, MySQL kriptografik işlevleri veya Microsoft Transact-SQL kriptografik işlevleri ile birlikte kullanıldığında özellikle belirgindir.

TDE'yi kullanmak için belirli ön adımlar gereklidir:

1. Seçenek Grubu İlişkilendirmesi:

• Veritabanı bir seçenek grubuna ilişkilendirilmelidir. Seçenek grupları, ayarları ve özellikleri içeren konteynerler olarak işlev görerek, güvenlik iyileştirmeleri de dahil olmak üzere veritabanı yönetimini kolaylaştırır.

• Ancak, seçenek gruplarının yalnızca belirli veritabanı motorları ve sürümleri için mevcut olduğunu belirtmek önemlidir.

1. Seçenek Grubunda TDE'nin Dahil Edilmesi:

• Bir seçenek grubuna ilişkilendirildikten sonra, Oracle Şeffaf Veri Şifrelemesi seçeneği o gruba dahil edilmelidir.

• TDE seçeneği bir seçenek grubuna eklendikten sonra, kalıcı bir parça haline geldiğini ve çıkarılamayacağını kabul etmek önemlidir.

1. TDE Şifreleme Modları:

• TDE, iki farklı şifreleme modu sunar:

• TDE Tablosu Alanı Şifrelemesi: Bu mod, tüm tabloları şifreler ve daha geniş bir veri koruma kapsamı sağlar.

• TDE Sütun Şifrelemesi: Bu mod, veritabanındaki belirli, bireysel öğeleri şifrelemeye odaklanır ve hangi verilerin şifreleneceği üzerinde daha ayrıntılı kontrol sağlar.

Bu ön koşulları ve TDE'nin operasyonel karmaşıklıklarını anlamak, RDS içinde şifrelemeyi etkili bir şekilde uygulamak ve yönetmek için kritik öneme sahiptir ve hem veri güvenliğini hem de gerekli standartlara uyumu sağlar.

Sayım

# Clusters info
## Get Endpoints, username, port, iam auth enabled, attached roles, SG
aws rds describe-db-clusters
aws rds describe-db-cluster-endpoints #Cluster URLs
aws rds describe-db-cluster-backtracks --db-cluster-identifier <cluster-name>

## Cluster snapshots
aws rds describe-db-cluster-snapshots

# Get DB instances info
aws rds describe-db-instances #username, url, port, vpc, SG, is public?
aws rds describe-db-security-groups

## Find automated backups
aws rds describe-db-instance-automated-backups

## Find snapshots
aws rds describe-db-snapshots
aws rds describe-db-snapshots --include-public --snapshot-type public
## Restore snapshot as new instance
aws rds restore-db-instance-from-db-snapshot --db-instance-identifier <ID> --db-snapshot-identifier <ID> --availability-zone us-west-2a

# Any public snapshot in the account
aws rds describe-db-snapshots --snapshot-type public

# Proxies
aws rds describe-db-proxy-endpoints
aws rds describe-db-proxy-target-groups
aws rds describe-db-proxy-targets

## reset credentials of MasterUsername
aws rds modify-db-instance --db-instance-identifier <ID> --master-user-password <NewPassword> --apply-immediately

Kimlik Doğrulaması Olmadan Erişim

Yetki Yükseltme

İstismar Sonrası

Süreklilik

SQL Enjeksiyonu

DynamoDB verilerine SQL sözdizimi ile erişim yolları vardır, bu nedenle tipik SQL enjeksiyonları da mümkündür.

SQL InjectionHackTricks