Taarifa Msingi

Huduma ya Database ya Kirekodi (RDS) inayotolewa na AWS imeundwa kusaidia kuweka, kutekeleza, na kupanua database ya kirekodi kwenye wingu. Huduma hii inatoa faida za ufanisi wa gharama na upanuzi wakati inasimamia kazi za kazi kama utoaji wa vifaa, usanidi wa database, kusasisha, na nakala rudufu.

AWS RDS inasaidia injini mbalimbali za database za kirekodi zinazotumiwa sana ikiwa ni pamoja na MySQL, PostgreSQL, MariaDB, Oracle Database, Microsoft SQL Server, na Amazon Aurora, na inaambatana na MySQL na PostgreSQL.

Vipengele muhimu vya RDS ni pamoja na:

• Usimamizi wa mifano ya database umepunguzwa.

• Kuunda rejista za kusoma ili kuboresha utendaji wa kusoma.

• Usanidi wa mifumo ya kuenea kwa maeneo mengi (AZ) kuhakikisha upatikanaji wa juu na mifumo ya kufeli.

• Ushirikiano na huduma zingine za AWS, kama vile:

• Utambulisho na Usimamizi wa Upatikanaji wa AWS (IAM) kwa udhibiti thabiti wa upatikanaji.

• AWS CloudWatch kwa ufuatiliaji na takwimu kamili.

• Huduma ya Usimamizi wa Kufungua Kichavi (KMS) kwa kuhakikisha encryption wakati wa kupumzika.

Sifa za Kuingia

Wakati wa kuunda kikundi cha DB, jina la mtumiaji wa msingi linaweza kusanidiwa (admin kwa chaguo-msingi). Ili kuzalisha nenosiri la mtumiaji huyu unaweza:

• Taja nenosiri mwenyewe

• Ambia RDS ijitengenezee yenyewe

• Ambia RDS iisimamie katika Meneja wa Siri wa AWS iliyofichwa na ufunguo wa KMS

Uthibitishaji

Kuna aina 3 za chaguzi za uthibitishaji, lakini kutumia nenosiri la msingi daima kuruhusiwa:

Upatikanaji wa Umma & VPC

Kwa chaguo-msingi hakuna upatikanaji wa umma unaruhusiwa kwa databases, hata hivyo inaweza kuruhusiwa. Kwa hiyo, kwa chaguo-msingi tu mashine kutoka kwenye VPC moja itaweza kufikia ikiwa kikundi cha usalama kilichochaguliwa (kimehifadhiwa katika EC2 SG) kinairuhusu.

Badala ya kufunua kipengee cha DB, niwezekanavyo kuunda RDS Proxy ambayo inaboresha upanuzi & upatikanaji wa kikundi cha DB.

Zaidi ya hayo, bandari ya database inaweza kubadilishwa pia.

Encryption

Ufichaji ni kuwezeshwa kwa chaguo-msingi kwa kutumia ufunguo uliosimamiwa na AWS (CMK inaweza kuchaguliwa badala yake).

Kwa kuwezesha ufichaji wako, unawezesha ufichaji wakati wa kupumzika kwa uhifadhi wako, rejista za nakala, rejista za kusoma na nakala rudufu zako. Ufunguo wa kusimamia ufichaji huu unaweza kutolewa kwa kutumia KMS. Siwezekani kuongeza kiwango hiki cha ufichaji baada ya database yako kuundwa. Inapaswa kufanywa wakati wa uundaji wake.

Hata hivyo, kuna njia mbadala inayoruhusu wewe kuficha database isiyofichwa kama ifuatavyo. Unaweza kuunda nakala ya database yako isiyofichwa, kuunda nakala iliyofichwa ya nakala hiyo, kutumia nakala iliyofichwa hiyo kuunda database mpya, na kisha, hatimaye, database yako itakuwa imefichwa.

Ufichaji wa Data wa Wazi (TDE)

Pamoja na uwezo wa ufichaji uliojumuishwa kwenye RDS kwenye kiwango cha maombi, RDS pia inasaidia mifumo ya ziada ya ufichaji wa jukwaa kulinda data wakati wa kupumzika. Hii ni pamoja na Ufichaji wa Data wa Wazi (TDE) kwa Oracle na SQL Server. Hata hivyo, ni muhimu kutambua kwamba wakati TDE inaboresha usalama kwa kuficha data wakati wa kupumzika, inaweza pia kuathiri utendaji wa database. Athari hii ya utendaji inaonekana hasa wakati inatumika pamoja na MySQL cryptographic functions au Microsoft Transact-SQL cryptographic functions.

Kutumia TDE, hatua za awali fulani zinahitajika:

1. Ushirikiano wa Kikundi cha Chaguo:

• Database lazima ihusishwe na kikundi cha chaguo. Vikundi vya chaguo hufanya kama vyombo vya kuhifadhi mipangilio na vipengele, kusaidia usimamizi wa database, ikiwa ni pamoja na kuboresha usalama.

• Hata hivyo, ni muhimu kutambua kwamba vikundi vya chaguo vinapatikana tu kwa injini maalum za database na toleo.

2. Kuingiza TDE katika Kikundi cha Chaguo:

• Mara tu inapohusishwa na kikundi cha chaguo, chaguo la Ufichaji wa Data wa Wazi la Oracle linahitaji kuingizwa katika kikundi hicho.

• Ni muhimu kutambua kwamba mara tu chaguo la TDE linapoongezwa kwenye kikundi cha chaguo, linakuwa sehemu ya kudumu na haliwezi kuondolewa.

3. Modes za Ufichaji wa TDE:

• TDE inatoa modes mbili tofauti za ufichaji:

• Ufichaji wa Nafasi ya Jedwali la TDE: Mode huu unaficha meza nzima, ukiwezesha ulinzi mpana wa data.

• Ufichaji wa Safu ya TDE: Mode huu unazingatia kuficha vipengele maalum, binafsi ndani ya database, kuruhusu udhibiti zaidi juu ya ni data gani inayofichwa.

Kuelewa mahitaji haya ya awali na utata wa uendeshaji wa TDE ni muhimu kwa utekelezaji na usimamizi wa ufichaji ndani ya RDS, kuhakikisha usalama wa data na kufuata viwango muhimu.

Uorodheshaji

# Clusters info
## Get Endpoints, username, port, iam auth enabled, attached roles, SG
aws rds describe-db-clusters
aws rds describe-db-cluster-endpoints #Cluster URLs
aws rds describe-db-cluster-backtracks --db-cluster-identifier <cluster-name>

## Cluster snapshots
aws rds describe-db-cluster-snapshots

# Get DB instances info
aws rds describe-db-instances #username, url, port, vpc, SG, is public?
aws rds describe-db-security-groups

## Find automated backups
aws rds describe-db-instance-automated-backups

## Find snapshots
aws rds describe-db-snapshots
aws rds describe-db-snapshots --include-public --snapshot-type public
## Restore snapshot as new instance
aws rds restore-db-instance-from-db-snapshot --db-instance-identifier <ID> --db-snapshot-identifier <ID> --availability-zone us-west-2a

# Any public snapshot in the account
aws rds describe-db-snapshots --snapshot-type public

# Proxies
aws rds describe-db-proxy-endpoints
aws rds describe-db-proxy-target-groups
aws rds describe-db-proxy-targets

## reset credentials of MasterUsername
aws rds modify-db-instance --db-instance-identifier <ID> --master-user-password <NewPassword> --apply-immediately

Upatikanaji usiothibitishwa

Privesc

Baada ya Uvamizi

Uthabiti

Uingizaji wa SQL

Kuna njia za kupata data ya DynamoDB kwa muundo wa SQL, hivyo, uingizaji wa SQL wa kawaida pia ni wa kufanyika.