Учебники

Amazon RDS – MS SQL БД с SSL

Чтобы защитить данные от непредвиденного просмотра, мы можем использовать шифрование соединения между клиентским приложением и экземпляром RDS DB. Шифрование доступно во всех регионах AWS и для всех типов БД, поддерживаемых AWS RDS. В этой главе мы увидим, как включено шифрование для MSSQL Server.

Есть два способа включить шифрование.

  • Принудительно использовать SSL для всех соединений – это происходит прозрачно для клиента, и клиенту не нужно выполнять какую-либо работу для использования SSL.

  • Шифровать определенные соединения – это устанавливает соединение SSL с определенного клиентского компьютера, и вы должны выполнить работу на клиенте для шифрования соединений.

Принудительно использовать SSL для всех соединений – это происходит прозрачно для клиента, и клиенту не нужно выполнять какую-либо работу для использования SSL.

Шифровать определенные соединения – это устанавливает соединение SSL с определенного клиентского компьютера, и вы должны выполнить работу на клиенте для шифрования соединений.

Принудительно SSL

При таком подходе мы заставляем все соединения из клиента БД использовать SSL. Это делается с помощью параметра rds.force_ssl. Установите для параметра rds.force_ssl значение true, чтобы принудительно устанавливать соединения для использования SSL. Поскольку это статический параметр, мы должны перезагрузить экземпляр вашей БД, чтобы изменения вступили в силу. На диаграмме ниже показано, как сбросить значение, посетив страницу настроек параметров БД, чтобы установить значение для параметра rds.force_ssl.

SSL_force_conn.JPG

Шифрование определенных соединений

Мы можем зашифровать подключения от определенных клиентских компьютеров только к экземпляру RDS DB. Для этого нам нужно установить сертификат на клиентский компьютер. Ниже приведены инструкции по установке сертификата.

Шаг 1

Загрузите сертификат на клиентский компьютер отсюда .

Шаг 2

Следуйте по пути Windows -> Выполнить -> введите MMC и введите. Это открывает следующее окно.

ssl_mmc_1.JPG

Шаг 3

В диалоговом окне «Добавление или удаление оснасток» для «Доступных оснасток» выберите «Сертификаты», а затем выберите «Добавить».

ssl_mmc_2.JPG

Шаг 4

Следуйте пути Учетная запись компьютера -> Локальный компьютер -> Готово.

Шаг 5

В консоли MMC разверните Сертификаты, откройте контекстное меню (щелчок правой кнопкой мыши) для Надежных корневых центров сертификации, выберите Все задачи, а затем выберите Импорт.

ssl_mmc_3 .JPG

Шаг 6

Выберите файл .pem, загруженный на предыдущем шаге, и завершите работу мастера импорта, выбрав значения по умолчанию и нажав «Далее».

Шаг 7

Мы видим установленный сертификат, как показано ниже.

ssl_mmc_4 .JPG

Шаг 8

При подключении к экземпляру AWS RDS MSSQL Db с использованием SSMS разверните вкладку параметров и выберите «Зашифровать подключение».

ssl_mmc_5 .JPG

Теперь подключение клиента к RDS с этого компьютера будет зашифровано.