静态数据库加密 - Amazon RDS 内部与应用程序级别
Database Encryption At Rest - Amazon RDS internal vs. application level
我们需要确保我们的软件符合亚马逊商城网络服务 (MWS) 使用条件。一个关键领域是 PII 的静态数据库加密。
我们使用 Amazon RDS 并已启用静态加密 (https://aws.amazon.com/rds/features/security/)。就其本身而言,这是我们的完美解决方案,因为它允许在没有我们的应用程序的情况下进行简单的数据访问和搜索。
除了 RDS 提供的加密之外,还有很多解决方案可以重复 and/or 在应用程序级别替换它。即一个函数用于对进出数据库的数据进行加密和解密。
我的问题是...这两个都是必要的吗?亚马逊将能够 approve/disapprove 我们的计划,但我想从务实的角度考虑更多。
我的想法是:
如果网络服务器遭到破坏,那么无论哪种方式,我们的数据都可能会暴露。
如果数据库服务器被破坏;我们是否使用自己的 RDS 集成加密 and/or 那么数据是安全的。
根据我所做的研究,静态加密的主要需求是针对数据库服务器攻击或存储数据的硬件的物理移除(即硬盘驱动器被盗)。
在您的网络服务器和数据库服务器之间通过专用网络使用 Amazon RDS 时,通常认为上述两种情况都不太可能发生。
但是,MWS 仍然要求您进行静态加密。在这种情况下,使用 Amazon RDS 的内置静态加密与在应用程序级别 encrypting/decrypting 之间似乎没有什么区别。
在应用程序级别执行此操作的复杂性意味着在大多数情况下,RDS 仅加密是首选。
亚马逊 MWS 已确认,只要符合他们的要求,情况也是如此。
我们需要确保我们的软件符合亚马逊商城网络服务 (MWS) 使用条件。一个关键领域是 PII 的静态数据库加密。
我们使用 Amazon RDS 并已启用静态加密 (https://aws.amazon.com/rds/features/security/)。就其本身而言,这是我们的完美解决方案,因为它允许在没有我们的应用程序的情况下进行简单的数据访问和搜索。
除了 RDS 提供的加密之外,还有很多解决方案可以重复 and/or 在应用程序级别替换它。即一个函数用于对进出数据库的数据进行加密和解密。
我的问题是...这两个都是必要的吗?亚马逊将能够 approve/disapprove 我们的计划,但我想从务实的角度考虑更多。
我的想法是:
如果网络服务器遭到破坏,那么无论哪种方式,我们的数据都可能会暴露。
如果数据库服务器被破坏;我们是否使用自己的 RDS 集成加密 and/or 那么数据是安全的。
根据我所做的研究,静态加密的主要需求是针对数据库服务器攻击或存储数据的硬件的物理移除(即硬盘驱动器被盗)。
在您的网络服务器和数据库服务器之间通过专用网络使用 Amazon RDS 时,通常认为上述两种情况都不太可能发生。
但是,MWS 仍然要求您进行静态加密。在这种情况下,使用 Amazon RDS 的内置静态加密与在应用程序级别 encrypting/decrypting 之间似乎没有什么区别。
在应用程序级别执行此操作的复杂性意味着在大多数情况下,RDS 仅加密是首选。
亚马逊 MWS 已确认,只要符合他们的要求,情况也是如此。