Sécurité d’Amazon RDS

Chiffrez les communications entre votre application et l’instance de votre base de donnée grâce au protocole SSL/TLS. Lorsque vous allouez une instance de base de données, Amazon RDS crée un certificat SSL et installe le certificat sur l'instance lorsque celle-ci est provisionnée. Pour MySQL, lancez le client mysql à l'aide du paramètre --ssl_ca pour référencer la clé publique afin de chiffrer les connexions. Pour SQL Server, téléchargez la clé publique et importez le certificat dans votre système d'exploitation Windows. RDS for Oracle utilise le chiffrement réseau natif d'Oracle avec une instance de base de données. Il vous suffit d'ajouter l'option de chiffrement réseau natif à un groupe d'options et d'associer ce groupe d'options à l'instance de base de données. Une fois qu'une connexion chiffrée est établie, les données transférées entre l'instance DB et votre application seront chiffrées pendant le transfert. Vous pouvez aussi demander à votre instance de base de données de n’accepter que les connexions chiffrées.

Amazon RDS s’intègre à AWS Identity and Access Management (IAM) et vous permet de contrôler les opérations que vos groupes et utilisateurs IAM AWS peuvent effectuer sur certaines ressources (par exemple : instances de base de données, instantanés de base de données, groupes de paramètres de base de données, abonnements à des événements de base de données et groupes d'options de base de données). Vous pouvez, en outre, baliser vos ressources et contrôler les opérations que vos groupes et utilisateurs IAM peuvent effectuer sur des groupes de ressources ayant la même balise (et valeur de balise). Pour plus d'informations sur l'intégration IAM, consultez la documentation relative à l'authentification de base de données IAM.

Vous pouvez également ajouter des balises à vos ressources Amazon RDS et contrôler ainsi les opérations que vos groupes et utilisateurs IAM peuvent effectuer sur des groupes de ressources ayant la même balise et valeur associée. Par exemple, vous pouvez configurer les règles de IAM pour permettre aux développeurs de modifier des instances de base de données « Développement », en veillant à ce que seuls les administrateurs de base de données puissent modifier des instances de base de données « Production ».

Lorsque vous créez pour la première fois une instance de base de données dans Amazon RDS, vous créez un compte utilisateur principal, qui est utilisé uniquement dans le contexte d'Amazon RDS pour contrôler l'accès à votre/vos instance(s) de base de données. Le compte utilisateur principal est un compte utilisateur de base de données natif qui vous permet de vous connecter à votre instance de base de données avec tous les privilèges de base de données. Vous pouvez spécifier le nom de l'utilisateur principal et le mot de passe que vous voulez associer à chaque instance de base de données lorsque vous créez l'instance de base de données. Une fois que vous avez créé votre instance de base de données, vous pouvez vous connecter à la base de données en utilisant les informations d'identification de l'utilisateur principal. Par la suite, vous pouvez créer des comptes utilisateur supplémentaires, afin de pouvoir limiter l'accès des personnes à votre instance de base de données.

Avec le cloud privé virtuel (VPC) d’Amazon, vous pouvez isoler vos instances de base de données au sein de votre propre réseau virtuel et vous connecter à votre infrastructure informatique existante à l'aide d'une solution de connexion VPN IPsec chiffrée selon les normes du secteur.

Amazon VPC vous permet d'isoler vos instances de base de données en spécifiant la plage d'adresses IP que vous souhaitez utiliser et se connecte à votre infrastructure informatique existante par le biais d'un VPN IPsec chiffré selon les normes du secteur. L'exécution d'Amazon RDS dans un VPC vous permet de disposer d'une instance de base de données au sein d'un sous-réseau privé. Vous pouvez également configurer une passerelle virtuelle privée en extension de votre réseau d'entreprise vers votre VPC et autoriser l'accès à l'instance de base de données Amazon RDS dans ce VPC. Pour en savoir plus, consultez le guide de l'utilisateur Amazon VPC. Les instances de base de données déployées dans un VPC Amazon sont accessibles depuis Internet ou depuis les instances EC2 Amazon en dehors du VPC via un VPN ou des hôtes bastions que vous pouvez lancer dans votre sous-réseau public. Pour utiliser un hôte bastion, vous devez configurer un sous-réseau public dans une instance EC2 faisant office de bastion SSH. Ce sous-réseau public doit disposer d'une passerelle internet et de règles de routage autorisant l'acheminement du trafic via l'hôte SSH. Celui-ci doit à son tour transférer les requêtes vers l'adresse IP privée de votre instance de base de données Amazon RDS. Les groupes de sécurité de base de données peuvent être utilisés pour sécuriser les instances de base de données au sein d'Amazon VPC. De plus, le trafic de réseau entrant et sortant dans chaque sous-réseau peut être autorisé ou refusé via les ACL réseau. Tout le trafic réseau entrant et sortant de votre VPC Amazon via la connexion VPN IPsec peut être inspecté par votre infrastructure de sécurité sur site, y compris les pare-feu réseau et les systèmes de détection d'intrusion.

Au-delà des menaces de sécurité externes, les bases de données gérées doivent fournir une protection contre les risques internes émanant des administrateurs de bases de données (DBA). Les flux d'activité de base de données, actuellement pris en charge pour Amazon Aurora et Amazon RDS for Oracle, fournissent un flux de données en temps réel sur l'activité de la base de données dans votre base de données relationnelle. Lorsqu'il est intégré à des outils de surveillance d'activité de base de données tiers, vous pouvez surveiller et d'auditer l'activité de la base de données afin de fournir des garanties pour votre base de données et répondre aux exigences de conformité et de réglementation.

Database Activity Streams protège votre base de données contre les menaces internes en mettant en œuvre un modèle de protection qui contrôle l'accès des DBA au flux d'activité de la base de données. Ainsi, la collecte, la transmission, le stockage et le traitement ultérieur du flux d'activité de la base de données ne sont pas accessibles aux DBA qui gèrent la base de données.

Le flux est transféré vers un flux de données Amazon Kinesis créé pour le compte de votre base de données. À partir de Kinesis Data Firehose, le flux d'activité de la base de données peut ensuite être consommé par Amazon CloudWatch ou par des applications partenaires pour la gestion de la conformité, telles qu'IBM Security Guardium. Ces applications partenaires peuvent utiliser les informations du flux d'activité de base de données pour générer des alertes et fournir un audit de l'activité sur vos bases de données Amazon Aurora.

Pour en savoir plus sur l'utilisation de Database Activity Streams pour les édition d’Aurora compatibles avec PostgreSQL et MySQL, consultez la page de documentation. Pour en savoir plus sur Amazon RDS for Oracle, consultez la page de documentation.

Amazon RDS s'engage à offrir aux clients un référentiel de conformité solide, ainsi que des mesures de sécurité et des outils avancés que les clients peuvent utiliser pour évaluer, respecter et démontrer la conformité aux obligations réglementaires et juridiques en vigueur. Les clients doivent consulter le modèle de responsabilité partagée d'AWS et mettre en correspondance les responsabilités d'Amazon RDS avec celles des clients. Les clients peuvent également utiliser AWS Artifact pour accéder aux rapports d'audit de RDS et ainsi mener leur évaluation des responsabilités en matière de contrôle.

Pour en savoir plus, reportez-vous à la page relative à la conformité d’AWS.

Amazon RDS fournit un guide des bonnes pratiques en analysant les indicateurs de configuration et d'utilisation des instances de votre base de données. Les recommandations concernent des domaines tels que la sécurité, le chiffrement, le IAM et le VPC. Vous pouvez parcourir les recommandations disponibles et effectuer les actions conseillées immédiatement, les inclure à votre prochain créneau de maintenance, ou les ignorer complètement.

Amazon VPC vous permet de créer un environnement de réseau virtuel dans une section privée et isolée du Cloud AWS, où vous pouvez exercer un contrôle total sur les aspects tels que les plages d'adresses IP privées, les sous-réseaux, les tables de routage et les passerelles réseau. Avec Amazon VPC, vous pouvez définir une topologie de réseau virtuel et personnaliser la configuration réseau afin qu'elle ressemble étroitement à un réseau IP classique que vous pourriez exploiter dans votre propre centre de données.

Les avantages du VPC peuvent vous profiter lorsque vous souhaitez exécuter une application web destinée au grand public tout en conservant des serveurs backend non accessibles au public dans un sous-réseau privé. Vous pouvez créer un sous-réseau destiné au grand public pour vos serveurs web avec accès à Internet et placer vos instances de base de données Amazon RDS backend dans un sous-réseau privé sans accès Internet. Pour plus d'informations sur Amazon VPC, consultez le Guide de l'utilisateur du cloud privé virtuel Amazon.

Si vous avez créé votre compte AWS avant le 04/12/2013, il se peut que vous puissiez exécuter Amazon RDS dans un environnement Amazon Elastic Compute Cloud (EC2)-Classic. La fonctionnalité de base d'Amazon RDS est la même, que VPC EC2–Classic ou EC2 soit ou non utilisé. Amazon RDS gère les sauvegardes, l'application des correctifs logiciels, la détection automatique des pannes, les réplicas en lecture et la restauration, que vos instances de base de données soient déployées à l'intérieur ou à l'extérieur d'un VPC. Pour plus d'informations sur les différences entre EC2-Classic et EC2-VPC, consultez la documentation d'EC2.

Un groupe de sous-réseaux de base de données est un ensemble de sous-réseaux que vous pouvez désigner pour vos instances de base de données Amazon RDS dans un VPC. Chaque groupe de sous-réseaux de base de données doit posséder au minimum un sous-réseau pour chaque zone de disponibilité d'une région donnée. Lors de la création d'une instance de base de données dans VPC, vous devez sélectionner un groupe de sous-réseau de base de données. Amazon RDS utilise ensuite le groupe de sous-réseau de base de données et votre zone de disponibilité préférée pour sélectionner un sous-réseau et une adresse IP dans ce sous-réseau. Amazon RDS crée et associe une interface Elastic Network Interface à votre instance de base de données avec cette adresse IP.

Nous vous recommandons vivement d'utiliser le nom du DNS pour la connexion à votre instance de base de données, car l'adresse IP sous-jacente peut être modifiée (par exemple pendant un basculement).

Pour les déploiements Multi-AZ, la définition d'un sous-réseau pour toutes les zones de disponibilité d'une région permet à Amazon RDS de créer une instance de secours dans une autre zone de disponibilité en cas de besoin. Vous devez procéder de la sorte même pour les déploiements Single-AZ, au cas où vous souhaitiez les convertir en déploiements Multi-AZ par la suite.

Pour voir la procédure explicative de ce processus, consultez la section Création d'une instance DB dans un VPC du Guide de l'utilisateur Amazon RDS.

Consultez la section Groupes de sécurité du Guide de l'utilisateur Amazon RDS afin d'en savoir plus sur les différentes façons de contrôler l'accès à vos instances de base de données.

Les instances de base de données déployées dans un VPC sont accessibles par les instances EC2 déployées dans le même VPC. Si ces instances EC2 sont déployées dans un sous-réseau public avec des adresses IP Elastic associées, vous pouvez accéder aux instances EC2 sur Internet. Les instances de base de données déployées dans un VPC sont accessibles depuis Internet ou depuis les instances EC2 en dehors du VPC via un VPN ou des hôtes bastion que vous pouvez lancer dans votre sous-réseau public, ou encore en utilisant l'option d'accès public d'Amazon RDS :

• Pour utiliser un hôte bastion, vous devez configurer un sous-réseau public avec une instance EC2 faisant office de bastion SSH. Ce sous-réseau public doit disposer d'une passerelle internet et de règles de routage permettant de diriger le trafic via l'hôte SSH. Celui-ci doit ensuite transmettre les demandes à l'adresse IP privée de votre instance de base de données Amazon RDS.
• Pour utiliser une connexion publique, il vous suffit de créer vos instances de base de données en activant l'option d'accès public. Lorsque l'option d'accès public est activée, vos instances DB se trouvant dans un VPC sont entièrement accessibles en dehors de votre VPC par défaut. Autrement dit, vous n'avez pas à configurer de VPN ou de bastion Internet pour pouvoir accéder à vos instances. 

Vous pouvez également configurer une passerelle VPC en extension de votre réseau d'entreprise vers votre VPC et autoriser l'accès à l'instance de base de données Amazon RDS dans ce VPC. Pour en savoir plus, consultez le Guide de l'utilisateur Amazon VPC.

Nous vous recommandons vivement d'utiliser le nom DNS pour la connexion à votre instance de base de données, car l'adresse IP sous-jacente peut être modifiée (par exemple pendant un basculement).

Si votre instance DB n'est pas dans un VPC, vous pouvez utiliser la Console de gestion AWS pour déplacer facilement votre instance DB vers un VPC. Pour en savoir plus, consultez le Guide de l'utilisateur Amazon RDS. Vous pouvez également prendre un instantané de votre instance DB en dehors de VPC et le restaurer dans VPC en spécifiant le groupe de sous-réseaux DB que vous souhaitez utiliser. Vous pouvez également effectuer une opération Restore to Point in Time (Restaurer à un instant précis).

La migration des instances de base de données depuis un VPC interne vers un VPC externe n'est pas prise en charge. Pour des raisons de sécurité, un instantané DB d'une instance DB dans VPC ne peut pas être restauré en dehors de VPC. Il en va de même pour la fonctionnalité Restore to Point in Time (Restaurer à un instant précis). 

Vous êtes responsable de la modification des tables de routage et des ACL réseau dans votre VPC afin de vous assurer que votre instance de base de données peut être atteinte depuis vos instances clientes du VPC. Pour les déploiements Multi-AZ, après un basculement, il est possible que votre instance EC2 cliente et l'instance de base de données Amazon RDS se trouvent dans des zones de disponibilité différentes. Vous devez configurer vos ACL réseau afin de vous assurer que la communication entre zones de disponibilité est possible.

Un groupe de sous-réseaux de base de données existant peut être mis à jour afin d'ajouter des sous-réseaux supplémentaires, soit pour les zones de disponibilité existantes, soit pour les zones de disponibilité ajoutées depuis la création de l'instance DB. En retirant des sous-réseaux d'un groupe de sous-réseaux DB existant, vous risquez de rendre indisponibles les instances s'exécutant dans une zone de disponibilité supprimée du groupe de sous-réseaux. Pour en savoir plus, consultez le Guide de l'utilisateur Amazon RDS.

Pour commencer à utiliser Amazon RDS, vous avez besoin d'un compte de développeur AWS. Si vous n'en aviez pas avant de vous inscrire à Amazon RDS, vous serez invité à en créer un au début de la procédure d'inscription. Un compte d'utilisateur principal est différent d'un compte de développeur AWS, et il n'est utilisé que dans le contexte d'Amazon RDS pour contrôler l'accès à votre/vos instances de base de données. Le compte d'utilisateur principal est un compte d'utilisateur de base de données native que vous pouvez utiliser pour vous connecter à votre instance de base de données. 

Vous pouvez spécifier le nom de l'utilisateur principal et le mot de passe que vous voulez associer à chaque instance de base de données lorsque vous créez l'instance de base de données. Une fois que vous avez créé votre instance de base de données, vous pouvez vous connecter à la base de données en utilisant les informations d'identification de l'utilisateur principal. Par la suite, vous pourriez également vouloir créer des comptes d'utilisateur supplémentaires, afin de pouvoir limiter l'accès des personnes à votre instance DB.

Pour MySQL, les privilèges par défaut de l'utilisateur principal incluent : créer, abandonner, références, évènement, modifier, supprimer, indexer, insérer, sélectionner, mettre à jour, créer des tables temporaires, verrouiller des tables, déclencher, créer un affichage, afficher une vue, modifier une routine, créer une routine, exécuter, créer un utilisateur, traiter, afficher des bases de données, accorder une option.

Pour Oracle, l'utilisateur principal reçoit le rôle « dba ». L'utilisateur principal hérite de la plupart des privilèges associés au rôle. Reportez-vous au Guide de l'utilisateur Amazon RDS afin de consulter la liste des privilèges restreints et les alternatives correspondantes pour effectuer les tâches administratives pouvant nécessiter de tels privilèges.

Avec SQL Server, un utilisateur qui crée une base de données reçoit le rôle « db_owner ». Reportez-vous au Guide de l'utilisateur Amazon RDS afin de consulter la liste des privilèges restreints et les alternatives correspondantes pour effectuer les tâches administratives pouvant nécessiter de tels privilèges.

Non, tout fonctionne comme vous en avez l'habitude avec une base de données relationnelle que vous gérez par vous-même.

Oui. Vous devez explicitement activer l'accès à votre base de données via Internet en configurant des groupes de sécurité. Vous pouvez autoriser l'accès uniquement pour des adresses IP spécifiques, des plages d'adresses IP ou des sous-réseaux correspondant aux serveurs de votre propre centre de données.

Oui, cette option est prise en charge par tous les moteurs RDS Amazon. Amazon RDS génère un certificat SSL/TLS pour chaque instance de base de données. Une fois qu'une connexion chiffrée est établie, les données transférées entre l'instance DB et votre application seront chiffrées pendant le transfert. Bien que SSL offre des avantages en termes de sécurité, il convient de souligner que le chiffrement SSL/TLS est une opération de calcul intensive, qui augmentera les temps de latence de la connexion de votre base de données. La prise en charge de SSL/TLS dans Amazon RDS est destinée au chiffrement de la connexion entre votre application et votre instance de base de données ; vous ne devez pas vous reposer sur elle pour authentifier l'instance de base de données.

Pour en savoir plus sur la mise en place d'une connexion chiffrée à Amazon RDS, consultez les manuels Amazon RDS ci-dessous : Guide de l'utilisateur MySQL, Guide de l'utilisateur MariaDB, Guide de l'utilisateur PostgreSQL ou Guide de l'utilisateur Oracle.

Amazon RDS prend en charge le chiffrement au repos pour tous les moteurs de base de données, à l'aide des clés que vous gérez via AWS Key Management Service (KMS). Sur une instance de base de données s'exécutant avec le chiffrement Amazon RDS, les données au repos dans le stockage sous-jacent sont chiffrées, de même que les sauvegardes automatisées, les réplicas en lecture et les instantanés. Le chiffrement et le déchiffrement sont gérés de manière transparente. Pour plus d'informations concernant l'utilisation de KMS avec Amazon RDS, consultez le Guide de l’utilisateur Amazon RDS.

Il est également possible d'ajouter un chiffrement à une instance ou un cluster DB non chiffré en capturant un instantané de base de données, puis en créant une copie de cet instantané et en spécifiant une clé de chiffrement KMS. Vous pouvez ensuite restaurer une instance ou un cluster DB chiffré à partir de l'instantané chiffré.

Amazon RDS for Oracle et SQL Server prennent en charge les technologies de chiffrement transparent des données (TDE, Transparent Data Encryption) de ces moteurs. Pour plus d'informations, consultez les sections du guide de l'utilisateur Amazon RDS consacrées à Oracle et à SQL Server.

Non, une instance Oracle sur Amazon RDS ne peut pas être intégrée à AWS CloudHSM. Pour utiliser le chiffrement transparent des données (TDE) avec AWS CloudHSM, la base de données Oracle doit être installée sur Amazon EC2.

Vous pouvez contrôler les actions que vos groupes et utilisateurs AWS IAM sont autorisés à effectuer sur les ressources Amazon RDS. Pour ce faire, vous devez référencer les ressources Amazon RDS en question dans les politiques AWS IAM appliquées à vos groupes et utilisateurs. Les ressources Amazon RDS pouvant être référencées dans une politique IAM d'AWS incluent les instances de bases de données, les instantanés de bases de données, les réplicas en lecture, les groupes de sécurité de bases de données, les groupes d'options de bases de données, les groupes de paramètres de bases de données, les abonnements à des événements et les groupes de sous-réseaux de bases de données. 

En outre, vous pouvez associer des identifications à ces ressources pour ajouter des métadonnées supplémentaires à ces dernières. Les mots-clés vous permettent de classer vos ressources (par exemple : Instances DB de « développement », de « production », de « test »...) et de créer des politiques AWS IAM répertoriant des autorisations (actions pouvant être effectuées) pour toutes les ressources comportant les mêmes mots-clés. Pour plus d'informations, consultez Balisage des ressources Amazon RDS.

Oui. AWS CloudTrail est un service Web qui enregistre les appels d'API AWS pour votre compte et vous les présente sous forme de fichier journal. L'historique des appels d'API AWS généré par CloudTrail permet de réaliser une analyse de sécurité, le suivi des modifications au niveau des ressources, ainsi que l'audit de conformité. 

Oui, tous les moteurs de base de données Amazon RDS sont éligibles HIPAA. Vous pouvez donc les utiliser pour créer des applications compatibles HIPAA et stocker des données de santé, notamment les informations médicales protégées (PHI), dans le cadre d'un accord d'association commerciale (BAA) signé avec AWS.

Si vous avez déjà un BAA exécuté, aucune action n'est nécessaire pour commencer à utiliser ces services dans le ou les comptes couverts par votre BAA. Si vous n'avez pas de BAA exécutée avec AWS ou si vous avez d'autres questions concernant les applications compatibles HIPAA sur AWS, veuillez contacter
votre gestionnaire de compte.