RDSを使う際、顧客のセキュリティ要件を満たすために、「暗号化」機能を使うのは欠かせません。
ただ、チェックボックスをチェックするだけで暗号化できる機能のため、RDSの暗号化は何を暗号化するのか?どのように暗号化するかはわからない方も多いだろう。今回はRDS暗号化の仕組みを少し詳しく説明します。
RDS暗号化の仕組み
RDSの暗号化はデータそのものを暗号化というより、データベースファイルの暗号化になります。内部のセキュリティ対策というより、外部へのセキュリティ対策のなります。つまり、RDSのバックアップ、スナップショットを不正取得しても、暗号化に使うキーがないため、復号化できず、中のデータを盗まれません。
データへのアクセスと復号の認証を透過的に処理します。暗号化を使用するために、データベースのクライアントアプリケーションを変更する必要はありません。
RDS暗号化及び復号化する際の処理は下記の図の通りです。
RDS暗号化の仕組み
RDS複号化の仕組み
RDS暗号化の注意点
・DBインスタンス、自動バックアップ、リードレプリカ、スナップショットが対象。
・AES-256暗号化アルゴリズムを使用しながらパフォーマンス影響を最小限に抑えます。
・AWS KMSで鍵管理が可能。
・インスタンス作成時にのみ設定可能。
・データベースのテーブル内の情報は暗号化されていないため、データベースユーザーのアカウントが漏えいした場合、攻撃者は暗号化されていないデータを見ることができてしまいます。
・万全を期すのであれば、データベースにアクセスするアプリケーションで、保存前に暗号化して、保存した方が良い。
・DBインスタンスがKMSへのアクセスできなくなると、DBインスタンスが終了状態になります。
コメント