database - 静态数据库加密 - Amazon RDS 内部与应用程序级别
问题描述
我们需要确保我们的软件符合亚马逊商城网络服务 (MWS) 的使用条件。一个关键领域是 PII 的静态数据库加密。
我们使用 Amazon RDS 并已启用静态加密 ( https://aws.amazon.com/rds/features/security/ )。就其本身而言,这是我们完美的解决方案,因为它允许在没有我们的应用程序的情况下进行简单的数据访问和搜索。
除了 RDS 提供的加密之外,还有许多解决方案可用于在应用程序级别重复和/或替换它。即一个函数用于加密和解密进出数据库的数据。
我的问题是......这两个都是必要的吗?亚马逊将能够以任何一种方式批准/不批准我们的计划,但从务实的角度来看,我想知道更多。
我的想法是:
如果网络服务器受到威胁,那么无论哪种方式,我们的数据都可能会被暴露。
如果数据库服务器受到威胁;无论我们使用 RDS 集成加密和/或我们自己的加密,那么数据都是安全的。
解决方案
根据我所做的研究,静态加密的主要需求是针对数据库服务器攻击或物理移除存储数据的硬件(即盗窃硬盘驱动器)。
在您的网络服务器和数据库服务器之间使用带有专用网络的 Amazon RDS 时,通常认为上述两种情况都不太可能发生。
但是,MWS 仍然要求您使用静态加密。在这种情况下,使用 Amazon RDS 的内置静态加密与在应用程序级别加密/解密之间似乎几乎没有区别。
在应用程序级别执行此操作的复杂性意味着在大多数情况下,最好只使用 RDS 加密。
亚马逊 MWS 已经确认,只要满足他们的要求,情况也是如此。
推荐阅读
- sql - 以下自联接是否从 table1 中选择在 table1 中有重复记录的记录?
- c++ - 通过带有VS2019问题的WSL在Linux中编译控制台C++源代码
- swift - 如何将纹理直接加载到 MTLTextureType.type2DArray 类型的 MTLTexture 中?如何加载金属纹理“数组?”
- flutter - Flutter - 点击时动态更改文本输入类型和输入格式化程序
- javascript - 如何修复 Chrome JavaScript Profiler 中显示的(空闲)?
- docker - nginx 配置:引用不同 docker 容器中的文件
- python - 如何使 matplotlib 加载更快?
- angular - 尝试使用输入装饰器将对象从 api 传递给子组件
- ruby - Rubymine 实时模板(或插件)为方法搭建 YARD(文档)注释
- sql - 元数据库多过滤器 - “'=' 附近的语法不正确”错误