Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Bonnes pratiques pour protéger AWS RDS et d'autres bases de données cloud
Le service de base de données relationnelle d'AWS peut aider à rationaliser une multitude d'opérations de stockage dans le cloud, mais le maintien de la sécurité nécessite une certaine attention de la part de l'utilisateur. Voici quelques bonnes pratiques pour utiliser RDS.
Il n'est pas surprenant que les organisations utilisent de plus en plus de services cloud natifs, notamment pour le stockage de données. Le stockage dans le cloud offre d'énormes avantages tels que la réplication, la résilience géographique, ainsi que le potentiel de réduction des coûts et d'amélioration de l'efficacité.
Le service de base de données relationnelle (RDS) d'Amazon Web Services (AWS) est l'un des services de base de données et de stockage cloud les plus populaires. À un niveau élevé, RDS rationalise la configuration, le fonctionnement et la mise à l'échelle des bases de données relationnelles dans AWS, telles que MariaDB, Microsoft SQL Server, MySQL et autres. RDS, tout comme toute autre offre de service AWS ou cloud, utilise le modèle de responsabilité partagée. Cela signifie que le fournisseur de services cloud (CSP) – AWS dans ce cas – est responsable de la protection de l'infrastructure sous-jacente et des environnements d'hébergement et que les consommateurs sont responsables de leur part de RDS, qui inclut le système d'exploitation, les configurations et les considérations d'architecture.
Ne pas prendre en compte la part des responsabilités du consommateur dans les responsabilités RDS peut conduire à des violations de données dans le cloud, dont nous avons été témoins à de nombreuses reprises. Les domaines clés incluent la configuration de l'accès au cloud privé virtuel (VPC) dans lequel l'instance de base de données résidera, les politiques de gestion des identités et des accès des applications (IAM) et les groupes de sécurité pour contrôler le trafic réseau et le chiffrement. Nous aborderons certains de ces domaines ci-dessous, ainsi que d’autres tels que la conformité.
L'une des premières considérations clés est l'authentification, ou la manière dont les utilisateurs valident leur identité pour accéder aux instances de base de données RDS. Parmi les options figurent les mots de passe, Kerberos et l'authentification de la base de données IAM. Les consommateurs doivent déterminer la voie d'authentification qu'ils choisiront, puis mettre en œuvre les contrôles appropriés tels que la complexité des mots de passe, l'authentification MFA et les politiques IAM.
Dans les domaines de la protection des données, les principales considérations incluent l'utilisation de l'authentification multifacteur ainsi que l'utilisation de SSL/TLS pour communiquer avec d'autres ressources et la garantie que vous utilisez une version TLS appropriée telle que 1.2. D'autres recommandations d'AWS incluent l'utilisation de leur service Macie, qui peut aider à découvrir et à sécuriser les données sensibles stockées dans S3. Macie utilise l'apprentissage automatique (ML) pour découvrir des données sensibles, créer une carte interactive et même générer automatiquement des résultats et les envoyer aux services AWS tels qu'AWS Security Hub afin que les configurations vulnérables ou les données exposées puissent être corrigées.
AWS propose diverses méthodes de chiffrement des ressources AWS RDS, notamment le chiffrement des données au repos dans les instances de base de données sous-jacentes, les sauvegardes automatisées, les réplicas en lecture et les instantanés. Pour faciliter cela, AWS utilise son service de gestion de clés (KMS). Il existe différentes options ici, selon que vous souhaitez conserver vous-même la responsabilité de la gestion des clés ou utiliser les clés gérées par AWS. Lorsque vous optez pour les clés gérées par le client, vous pouvez modifier des éléments tels que les stratégies de clé et les stratégies IAM pour implémenter un contrôle d'accès et des contraintes d'utilisation plus granulaires pour les clés, telles que la limitation de l'origine des demandes d'accès à l'instance RDS.
Les clients peuvent également utiliser AWS CloudTrail pour auditer l'utilisation des clés KMS afin d'identifier un comportement potentiellement malveillant ou une utilisation abusive des autorisations et de l'accès aux données. Pour une analyse plus approfondie du chiffrement AWS et de l'utilisation de KMS, AWS propose un livre blanc sur les meilleures pratiques du service de gestion des clés.
Cela dit, certaines considérations clés doivent être prises en compte lors du chiffrement des instances de base de données AWS RDS. Vous devez chiffrer l'instance de base de données au moment de la création ; vous ne pouvez pas revenir en arrière et le chiffrer plus tard. Vous ne pouvez pas non plus désactiver le cryptage une fois qu'il est activé.
Les organisations doivent également prendre en compte la sécurisation du trafic entre le service RDS et les clients et applications sur site, par exemple en utilisant AWS Site-to-Site VPN ou AWS Direct Connect pour garantir que le trafic n'est pas exposé à des tiers non autorisés.