SSL

RDS は MySQL および SQL Server に SSL (Secure Sockets Layer) を提供します。 RDS が提供するサーバールート証明書を使用して、ターゲット IP アドレスとポートを持つデータベースサービスが RDS の提供したものであるかどうかを確認すると、中間者攻撃を効果的に防ぐことができます。 セキュリティと有効性を保証するために、RDS ではサーバーの SSL 証明書を有効にして更新することができます。

RDS ではアプリケーションとデータベース間の接続を暗号化できますが、SSL サービスは、アプリケーションがサーバー上で認証を有効にした後にのみ正しく実行されます。 さらに、SSL を使用すると CPU リソースが無駄に消費され、RDS インスタンスのスループットと応答時間に多少の影響を及ぼします。 具体的な影響は、ユーザー接続数とデータ転送頻度によって変わってきます。

操作手順については、「 SSL 暗号化の設定」をご参照ください。

TDE

RDS は MySQL と SQL Server に透過的データ暗号化(Transparent Data Encription: TDE) 機能を提供します。 RDS for MySQL の TDE 機能は Alibaba Cloud によって開発され、RDS for SQL Server の TDE 機能は SQL Server Enterprise Edition に基づいています。

RDS インスタンスで TDE を有効にすると、暗号化するデータベースまたはテーブルを指定できます。 指定したデータベースまたはテーブルのデータは、HDD、SSD、PCIe カードなどのデバイス、または OSS や Archive Storage などのサービスに書き込まれる前に暗号化されます。 したがって、インスタンスのデータファイルとバックアップはすべて暗号文です。

TDE は高度暗号化標準 (Advanced Encryption Standard: AES) アルゴリズムを採用しています。 キーの長さは 128 ビットです。 TDE のキーは KMS(Key Management Service) によって暗号化および保存され、インスタンスが起動または移行されると、RDS は 1 回だけキーを動的に読み取ります。 KMS コンソールで必要に応じてキーを置き換えることができます。

操作手順については、「 透過的データ暗号化の設定」をご参照ください。