Power BI-Aurora RDS Postgres安全

时间:2018-12-12 07:30:57

标签: powerbi amazon-rds amazon-rds-aurora powerbi-desktop aws-aurora

我有一个Aurora RDS PostgresSQL实例,并且已在其上启用SSL。 现在,我想使用Power BI连接到该实例,我已经设法使用Power BI通过SSL连接到我的实例。 但这似乎并非易事。 我将与一些非技术团队分享这些细节,我认为他们会发现很难设置。

我的问题是:

  • 如果我通过RDS禁用了强制启用的SSL怎么办? (以简化设置)
  • 对它的安全后果是什么?
  • 处理这种情况的更好方法是什么?
  • 如何通过HTTP或HTTPS在Power BI和RDS之间进行通信?
  • 我的实例上可能发生什么类型的攻击?
  • 应该注意其他情况吗?

1 个答案:

答案 0 :(得分:0)

这个问题肯定太广泛了,但我会尝试总结一下您的问题。

  

如果我通过RDS禁用了强制启用的SSL怎么办? (使设置容易)   对它的安全后果是什么?

如果您计划启用公共端点,或计划使自定义安全组在VPC之外打开数据库端点,那么这是个坏主意。如果您不打算公开防火墙规则,那么这绝对是一个选择,前提是您可以接受与此安全模型最弱的链接可能阻止攻击者访问VPC的风险。如果攻击者可以进入您的客户端EC2节点之一,则可以认为数据已遭到破坏,因为此时攻击者总是可以在中间执行操作。

  

处理这种情况的更好方法是什么?

禁用安全措施以简化设置通常是一种反模式。您只需设置几次基础结构即可,而无需与之交互。有更大的理由考虑禁用TLS。例如:许多JDBC驱动程序实际上并不支持在证书中具有多个终结点(通过SAN)的TLS证书。即使在这些情况下,在这些情况下正确的做法是为客户端代码做出贡献并使其支持所缺少的内容。

  

如何通过HTTP或HTTPS在Power BI和RDS之间进行通信?

不确定我是否理解这一点。如果启用SSL,则可以选择同时使用原始TCP和SSL。如果禁用未加密的连接,则只能使用SSL。而且,如果您什么都不做,那就意味着您正在使用原始TCP。

  

我的实例上可能发生什么类型的攻击?

  1. 如果您的实例可以公开访问-您可以使用DDos。您 不能做很多事情来防止这种情况。 (至少,我什么都不知道 您可以对您的数据库集群进行处理)
  2. 如果您未启用SSL,则攻击者可能伪装成数据库并窃取您的信誉/查询。如果未启用公共端点,则由于攻击者必须首先渗透VPC,因此这种攻击的可能性略小。
  3. 如果您确实启用了SSL,但是通过原始TCP进行通信(即未强制使用SSL),那么您很容易受到MITM的攻击。<​​/ li>
  4. 如果您启用了SSL,但是没有执行端点验证,那么您又容易受到MITM的攻击。<​​/ li>
  

还有其他情况要照顾吗?

太宽泛。即使您启用了SSL,但如果不以受保护的方式存储您的秘密(信条),您也可能会受到攻击。您可能想停止创建普通的数据库用户,而支持IAM用户。它不会增加安全性,但是可以为您提供更多的可管理性和事件响应。您还可以强制所有应用程序在所有地方都使用临时凭据,而不是实际使用IAM凭据,从而减少了受到破坏的凭据的范围。

通常,您的许多问题都是通用安全性实践,而不是完全针对RDS或数据库。希望这会有所帮助。