针对阿里云关系型数据库RDS,凭据管家支持配置动态RDS凭据,对凭据进行全自动的定期轮换,降低业务数据面临的安全威胁。

背景信息

针对数据库的攻击是数据安全面临的主要威胁之一。为了降低数据泄露的安全风险,执行有效的凭据保护和定期轮转非常关键。企业在实施凭据保护和轮转策略时,面临以下问题:

  • 为了保护凭据的明文,需要对其进行加密。应用部署的流程变长,带来很高的研发运维成本,也很难强制执行。
  • 缺乏凭据自动轮转的软件设施,而人工轮转依赖安全、运维、研发等多个角色相互配合,流程制定和实施难度高且容易出错。
  • 缺乏针对凭据泄露事件的快速应急响应能力,处理凭据泄露事件时容易造成系统故障。
  • 缺乏对各类云资源所需凭据的中心化管理手段,无法实现规模化管理,管理成本高。

解决方案

KMS凭据管家支持动态RDS凭据,不仅对RDS凭据提供加密保护的能力,而且提供了高频轮转能力,通过简单高效的接入方式,帮助您以较低的研发和运维成本获得较高的安全性。减少凭据的有效时间窗口,从而有效降低RDS数据库的数据泄露风险。

动态RDS凭据具有以下优势:

  • 防止静态数据库账号口令的泄露,提升数据安全性。
  • 提供简单的客户端接入方式,应用程序以无代码或者低代码的方式使用。
  • 具备应急处置能力,当您通过人工一次性轮转的方式管理凭据时,应用程序不受影响。
  • 支持通过Terraform或者阿里云ROS等运维编排工具管理RDS资源和RDS凭据,满足中心化、规模化的安全管理需求。

产品架构

使用动态RDS凭据,应用程序将无需配置静态数据库账号口令。管理员在凭据管家创建全托管RDS凭据,设置自动轮转周期之后,应用程序调用GetSecretValue接口获取仅在下次轮转前有效的账号口令,用于访问RDS托管数据库。

架构

使用限制

动态RDS凭据支持特定的RDS数据库。

  • 支持的数据库

    RDS MySQL、RDS MariaDB TX和RDS SQL Server(2017集群版除外)。

  • 不支持的数据库

    RDS SQL Server 2017集群版、RDS PostgreSQL和RDS PPAS。