Amazon RDS: base de datos MS SQL con SSL

Para evitar que los datos sean vistos por personas no autorizadas, podemos utilizar el cifrado de la conexión entre la aplicación cliente y la instancia de base de datos de RDS. El cifrado está disponible en todas las regiones de AWS y para todos los tipos de bases de datos compatibles con AWS RDS. En este capítulo, veremos cómo se habilita el cifrado para MSSQL Server.

Hay dos formas de habilitar el cifrado.

  • Use SSL para todas las conexiones: esto es transparente para el cliente y el cliente no necesita hacer ningún trabajo para usar SSL.

  • Encriptar conexiones específicas: esto establece una conexión SSL desde una computadora cliente específica y debe trabajar en el cliente para encriptar las conexiones.

Forzar SSL

En este enfoque, obligamos a todas las conexiones del cliente de base de datos a utilizar SSL. Esto se hace usando el parámetro rds.force_ssl. Establezca el parámetro rds.force_ssl en true para forzar que las conexiones usen SSL. Dado que este es un parámetro estático, debemos volver a cargar su instancia de base de datos para que los cambios surtan efecto. El siguiente diagrama muestra cómo restablecer el valor visitando la página Configuración de la base de datos para establecer el valor del parámetro rds.force_ssl.

SSL_force_conn.JPG

Cifrar conexiones específicas

Solo podemos cifrar conexiones desde equipos cliente específicos a la instancia de base de datos RDS. Para hacer esto, necesitamos instalar un certificado en la computadora cliente. Los siguientes son los pasos para instalar el certificado.

Paso 1

Descargue el certificado en la computadora cliente desde aquí

Paso 2

Siga la ruta Windows -> Ejecutar -> escriba MMC y escriba. Se abrirá la siguiente ventana.

ssl_mmc_1.JPG

Paso 3

En el cuadro de diálogo Agregar o quitar complementos, en Complementos disponibles, seleccione Certificados y luego haga clic en Agregar.

ssl_mmc_2.JPG

Paso 4

Siga la Ruta de la cuenta de la computadora -> Computadora local -> Finalizar.

Paso 5

En MMC, expanda Certificados, abra el menú de acceso directo (haga clic con el botón derecho) para las Autoridades de certificación raíz de confianza, seleccione Todas las tareas y luego seleccione Importar.

ssl_mmc_3.JPG

Paso 6

Seleccione el archivo.pem descargado en el paso anterior y complete el asistente de importación eligiendo los valores predeterminados y haciendo clic en Siguiente.

Paso 7

Vemos el certificado instalado como se muestra a continuación.

ssl_mmc_4.JPG

Paso 8

Cuando se conecte a una instancia de AWS RDS MSSQL Db mediante SSMS, expanda la pestaña de opciones y seleccione Encriptar conexión.

ssl_mmc_5.JPG

La conexión del cliente a RDS desde esta computadora ahora estará encriptada.

En Este Curso

🚫