Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

แนวทางปฏิบัติ เพื่อรักษา ความปลอดภัยของ PostgreSQL AWS RDS / Aurora

ความปลอดภัยของ PostgreSQL : AWS รองรับ PostgreSQL เวอร์ชัน 9.4 ถึง 12 บน RDS และ 9.6 ถึง 11 บน Aurora หลายองค์กรกำลังโยกย้ายไปยัง PostgreSQL RDS หรือ Aurora เพื่อใช้ประโยชน์จากความพร้อมใช้งานความสามารถในการปรับขนาดประสิทธิภาพและอื่น ๆ และกำลังดำเนินการในลักษณะเดียวกันหรือเป็นการโยกย้ายที่เป็นเนื้อเดียวกัน

ความปลอดภัยและการปฏิบัติตามข้อกำหนดเป็นความรับผิดชอบร่วมกันระหว่าง AWS และลูกค้า:

AWS รับผิดชอบด้านความปลอดภัย“ OF” ระบบคลาวด์
ลูกค้าต้องรับผิดชอบต่อการรักษาความปลอดภัย“ IN” ระบบคลาวด์

เมื่อพูดถึงการจัดการกับข้อมูลในระบบคลาวด์ความปลอดภัยเป็นสิ่งสำคัญ การรั่วไหลของข้อมูลหรือความเป็นส่วนตัวของข้อมูลที่ไม่ได้เป็นหัวข้อที่น่าแปลกใจในโลกของวันนี้ในช่วงหกเดือนแรกของปี 2019 อยู่คนเดียว 4100000000 บันทึกได้สัมผัสในการละเมิดข้อมูล เมื่อคิดถึงการรักษาความปลอดภัยของ PostgreSQL RDS หรือ Aurora ใน AWS ด้านล่างนี้คือ 10 อันดับแรกที่ควรคำนึงถึงเป็นอันดับแรก ไปดูทีละเรื่อง

1. DB Subnet Group พร้อมซับเน็ตส่วนตัว:

กลุ่มซับเน็ต DB เป็นการกำหนดค่าที่จำเป็นในขณะที่สร้าง RDS และแต่ละกลุ่มเครือข่ายย่อย DB ควรมีเครือข่ายย่อยใน Availability Zone อย่างน้อยสองโซนในแต่ละภูมิภาค AWS ตรวจสอบให้แน่ใจว่าเครือข่ายย่อยเหล่านี้เป็นแบบส่วนตัวจนกว่าจะมีความจำเป็นอย่างชัดเจนในการเข้าถึงฐานข้อมูล RDS จากเครือข่ายสาธารณะตามกรณีการใช้งาน

วิธีตรวจสอบอย่างรวดเร็วคือ:

เกตเวย์อินเทอร์เน็ตไม่เกี่ยวข้องกับ VPC / เครือข่ายย่อย / เส้นทาง
IP สาธารณะไม่ได้กำหนดให้กับอินสแตนซ์ RDS

2. การจัดการกลุ่มความปลอดภัย:

กลุ่มความปลอดภัย VPC เปรียบเสมือนไฟร์วอลล์ที่ระดับเครือข่ายย่อยซึ่งควบคุมการเข้าถึงอินสแตนซ์ DB ใน VPC มีส่วนสำคัญในการจัดการว่าใครสามารถเข้าถึงอินสแตนซ์ RDS ได้บ้าง

ใช้ชื่อกลุ่มความปลอดภัยของแอ็พพลิเคชันเซิร์ฟเวอร์แทนที่อยู่ IP หรือช่วงของที่อยู่ IP วิธีนี้จะอนุญาตให้มีการรับส่งข้อมูลขาเข้าจากอินเทอร์เฟซเครือข่ายเท่านั้น (และที่เกี่ยวข้อง
อินสแตนซ์) ที่กำหนดให้กับกลุ่มความปลอดภัยนั้น
หากมีความจำเป็นเฉพาะในการให้สิทธิ์การเข้าถึงเซิร์ฟเวอร์เฉพาะให้รวมเฉพาะ IP นั้นในกลุ่มความปลอดภัยแทนช่วงของ IP นั้น
หลีกเลี่ยงการให้สิทธิ์เข้าถึงเดสก์ท็อปขอแนะนำให้ใช้เซิร์ฟเวอร์ Baston สำหรับการเข้าถึง RDS ควรติดตั้งเครื่องมือเช่นไคลเอนต์ PSQL หรือ pgAdmin บนโฮสต์ป้อมปราการสำหรับความต้องการด้านการดูแลระบบสำหรับผู้ดูแลระบบฐานข้อมูล
ภายใน PostgreSQL แนวทางปฏิบัติที่ดีที่สุดคือการใช้บทบาทที่กำหนดสิทธิพิเศษน้อยที่สุดสำหรับวัตถุประสงค์เฉพาะ (เช่นบทบาทการอ่านบทบาทการแก้ไขข้อมูลบทบาทการตรวจสอบเป็นต้น)

3. ใช้การตรวจสอบฐานข้อมูล IAM:

AWS RDS และ Aurora รองรับการตรวจสอบสิทธิ์กับฐานข้อมูลโดยใช้ข้อมูลรับรองผู้ใช้ IAM หรือบทบาท การตรวจสอบสิทธิ์ IAM มีความปลอดภัยกว่าวิธีการตรวจสอบสิทธิ์แบบเดิมเนื่องจาก:

ไม่จำเป็นต้องสร้างรหัสผ่านในขณะที่สร้างผู้ใช้ฐานข้อมูล
ต้องใช้ SSL ในขณะที่ใช้การตรวจสอบสิทธิ์ IAM และตรวจสอบให้แน่ใจว่ามีการเข้ารหัสข้อมูลระหว่างการขนส่ง
การหมุนโทเค็นอัตโนมัติเนื่องจากโทเค็นใช้ได้เพียง 15 นาที

โปรดดูบล็อกของเรา“ AWS IAM เพื่อรับรองความถูกต้องกับอินสแตนซ์ RDS และคลัสเตอร์ Aurora ” สำหรับข้อมูลเพิ่มเติม

4. เปิดใช้งานการเข้ารหัสและบังคับ SSL:

ในขณะที่การละเมิดข้อมูลและการรักษาความปลอดภัยทางไซเบอร์ทำให้เกิดความกังวลที่เพิ่มมากขึ้นการใช้ตัวเลือกการเข้ารหัสแบบคลาวด์เนทีฟจะช่วยให้รอด AWS มีตัวเลือกมากมายในการเข้ารหัสข้อมูลในขณะพักและระหว่างส่ง

การเข้ารหัสที่ส่วนที่เหลือ: ใช้ AWS KMS เพื่อเข้ารหัสฐานข้อมูล RDS และ Aurora เมื่อกำหนดค่าฐานข้อมูลด้วยการเข้ารหัสแล้วข้อมูลที่จัดเก็บในชั้นเก็บข้อมูลจะถูกเข้ารหัส การสำรองข้อมูลอัตโนมัติแบบจำลองการอ่านและสแน็ปช็อตยังได้รับการเข้ารหัสหากคุณใช้ที่เก็บข้อมูลที่เข้ารหัส
การเข้ารหัสในการขนส่ง: PostgreSQL สนับสนุนการเชื่อมต่อ SSL เพื่อเข้ารหัสการสื่อสารไคลเอนต์เซิร์ฟเวอร์ ตรวจสอบคอนฟิกูเรชันอินสแตนซ์ DB สำหรับค่าของพารามิเตอร์force_ssl โดยค่าเริ่มต้นพารามิเตอร์rds.force_sslถูกตั้งค่าเป็น 0 (ปิด) หากพารามิเตอร์rds.force_sslถูกตั้งค่าเป็น 1 ไคลเอ็นต์จะต้องใช้ SSL / TLS สำหรับการเชื่อมต่อ หากคุณใช้ pgBouncer คุณสามารถใช้วิธีการตรวจสอบสิทธิ์ต่างๆรวมถึงการตรวจสอบใบรับรองไคลเอ็นต์ TLS / SSL

5. ส่งออกบันทึก PostgreSQL ไปยัง CloudWatch:

ตอนนี้คุณสามารถเผยแพร่บันทึก Amazon RDS สำหรับ PostgreSQL ไปยัง CloudWatch Logs ได้แล้ว บันทึกที่รองรับมีทั้งบันทึกการอัปเกรดและบันทึก PostgreSQL การเผยแพร่บันทึกเหล่านี้ไปยัง CloudWatch ช่วยให้คุณสามารถมองเห็นข้อผิดพลาดและกิจกรรมของฐานข้อมูลได้อย่างต่อเนื่อง

ผู้ดูแลระบบฐานข้อมูลสามารถตั้งค่าการเตือนของ CloudWatch เพื่อแจ้งเตือนการรีสตาร์ทบ่อยครั้งการพยายามเข้าสู่ระบบที่ล้มเหลวซึ่งบันทึกไว้ในบันทึกข้อผิดพลาด
หนึ่งสามารถสร้างสัญญาณเตือนสำหรับข้อผิดพลาดหรือคำเตือนที่บันทึกไว้ในบันทึกของ PostgreSQL บันทึกเหล่านี้สามารถเก็บไว้ในที่เก็บข้อมูล S3 เพื่อการเก็บรักษาที่ยาวนานขึ้น

6. เปิดใช้งานการตรวจสอบ:

PostgreSQL Aurora รองรับ Database Activity Streams และส่วนขยาย pgAduit
สตรีมกิจกรรมฐานข้อมูลสามารถรวมเข้ากับเครื่องมือการตรวจสอบสำหรับการตรวจสอบและการแจ้งเตือนแบบเรียลไทม์
สิ่งนี้สามารถช่วยในการระบุเหตุการณ์ที่ไม่ต้องการและดำเนินการแก้ไขทันทีที่มีการระบุเหตุการณ์ดังกล่าว
คุณสมบัติเหล่านี้สามารถช่วยให้คุณปฏิบัติตามข้อกำหนดและข้อบังคับได้ ความปลอดภัยของ PostgreSQL

7. การแก้ไขทันเวลา:

หากฐานข้อมูลสามารถหยุดการทำงานเป็นเวลาสองสามนาทีในระหว่างช่วงเวลาการบำรุงรักษาคุณควรเปิดใช้งานการแก้ไขอัตโนมัติของ PostgreSQL minor release หากฐานข้อมูลไม่สามารถหยุดทำงานได้ในกรณีนั้นให้วางแผนสำหรับการหยุดทำงานตามกำหนดเวลา แต่ตรวจสอบให้แน่ใจว่ามีการใช้โปรแกรมแก้ไขเล็กน้อยเป็นประจำ

รุ่นใหญ่มักจะมีฟังก์ชันและคุณสมบัติใหม่ ๆ
รุ่นย่อยแก้ไขข้อบกพร่องที่พบบ่อยปัญหาด้านความปลอดภัยและปัญหาความเสียหายของข้อมูลเพื่อลดความเสี่ยงด้านความปลอดภัย

ตรวจสอบให้แน่ใจว่าคุณติดตามความเคารพล่าสุดที่ประกาศโดยองค์กรต่างๆ

 

สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems

ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้

สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์  EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9

Related Articles