Amazon DynamoDB – 在 DynamoDB 中保护数据的方法

Amazon DynamoDB 是一个完全托管（“无服务器”）和 NoSQL（非关系）数据库提供商，可在 Amazon Web Services 上使用。 DynamoDB 具有惊人的可扩展性，这意味着您可以从小处着手，然后发展到非常大的规模，而无需重新安装或重新架构。它还提供了一个灵活的模型，该模型使用计算机化的吞吐量潜力扩展，因此它可以完全根据需要扩展计算能力，从而节省现金并降低入门费。这使得它非常适合手机、游戏、物联网和其他过度繁荣和超大容量的包装。

一段时间以来，云一直是一个热门话题，讨论了 PC 产品的灵活性、免费云存储费用的竞争以及托管应用程序，以便您无需购买和控制软件。小型和大型企业的运营更接近于迁移到云，其理念是节省资金并减轻对硬件和软件程序过早资本支出的依赖。

云平台即服务 (PaaS) 在这些讨论中越来越受欢迎。亚马逊、Azure 和谷歌等云供应商提供了相当大的 PaaS 服务，这些服务允许用户了解开发和使用这些产品，而不是调整和修补软件程序。随着您的软件调整而扩展的能力是迁移到受控解决方案的主要原因之一。尽管很多用户一开始就忘记的一个方面是确定保护其记录的良好做法。通常，这是通过公用事业开发人员或单独的后备人员在内部处理的。但是，由于 PaaS 产品的字符，底层基础设施不像本地解决方案那样方便。在这些情况下需要的是一种事实保护解决方案，它以一种可能旨在保护信息的方式利用云本地系统。

Commvault 为企业中的 Cloud PaaS 数据库提供最广泛、最密集的信息安全解决方案。从最新的 11.19 功能版本开始，Commvault 正在为 Amazon DynamoDB 提供备份和恢复支持。

首先，对于不了解 DynamoDB 及其里程的人，我们将简要介绍一些要点。它是由 Amazon 提供的完全托管的 NoSQL 数据库服务，因为它是 PaaS，所以从数据库用户的角度来看，它绝对是无服务器的。无需安装软件，也无需为时间表打补丁，这不仅可以节省大量时间，而且还显着降低了与未打补丁的软件相关的安全性和漏洞风险。我们看到客户使用 Cassandra 和 MongoDB，出于这些原因迁移到 DynamoDB。

我们提出的最常见的问题之一是“为什么我们需要第三方数据保护解决方案？” Amazon 通过使用快照在 0 到 35 天之间提供 DynamoDB 的本地安全性。大多数组织都有需要遵守的信息合规准则，通常超过 35 天。许多组织都需要保存长达七年甚至所有时间的统计数据！照片答案的挑战是保留、删除和复制的自动化。这一切都希望通过用户通过手动方式、有限的本地答案或复杂的脚本来控制。

Commvault 解决方案使客户能够对表、完整位置或多个区域执行流式粒度备份。换句话说，您可以选择主要根据您的需要来定义您的备份。例如，为您的生产数据分配具有竞争力的备份覆盖范围，并在今天相应地进行多个备份，并在下午备份覆盖范围时更加轻松地对开发/测试事实进行备份。如果您愿意，可以根据标签和规则准备备份。

通常，我们建议将主要备份保存在源数据库所在的同一个云中。二级和三级副本可以存储在不同的云附近、另一个云中，或者可能存储在本地记录中心的较低位置。哪种方法备份保存在您想要的位置，只要您想要。大多数机构都有合规性准则，要求将备份副本保存在至少两个物理上非常特殊的位置。但是，由于云中断的字符，通常需要将统计数据的副本保存在机会云供应商中。原生云备份解决方案最方便地提供了将信息存储在同一云中的能力。

没有恢复的备份有什么权利？从还原的角度来看，您可以选择还原字符表、多个表或一个位置的所有表。对于那些想要恢复到其他云帐户或独一无二的地方的人来说，区域外恢复甚至是可行的。

正如我们所指出的，亚马逊原生备份解决方案是通过使用快照，这意味着拍摄并保存数据库的快照。快照的主要困难在于它们仅对恢复到相同的数据库和云有用——而不是其他任何东西。通过这种方式，如果您可能需要这些快照，您就可以购买它们的存储空间。

REST 数据加密：

加密静态信息对于法规遵从性至关重要，以确保保存在磁盘上的敏感事实在没有有效密钥的情况下不会被任何用户或软件读取。一些由 PCI DSS 和 HIPAA 组成的合规性规则要求在记录生命周期的某个时间点对松弛数据进行加密。为此，AWS 提供了 Records-at-relaxation 选项和密钥控制来指导加密方式。例如，您可以加密 Amazon EBS 卷并使用 AES-256 加密配置 Amazon S3 存储桶以进行服务器端加密 (SSE)。

与未加密的文件系统一样，您可以通过使用 AWS 管理控制台、AWS CLI 或通过 Amazon EFS API 或其中一个 AWS 开发工具包以编程方式创建加密文件系统。您的公司可能要求对符合特定分类或与选定实用程序、工作负载或环境相关的所有信息进行加密。

静态加密如何工作？

在加密的记录小工具中，事实和元数据通常会在写入文件机器之前进行加密。同样，在读取记录和元数据时，它们会在提供给实用程序之前进行机械解密。这些方法通过 Amazon EFS 透明地处理，因此您不应该更改您的包。

Amazon EFS 使用企业标准 AES-256 加密算法来加密 EFS 事实和静态元数据。有关更多统计信息，请参阅 AWS Key Management Service Developer Guide 中的加密基础知识。

使用 EFS 控制台加密静态文件系统的步骤：

打开 Amazon 弹性文件系统控制台。
选择创建文件系统。
选择您的 VPC（虚拟私有云）或将其设置为您的默认 VPC。
选择创建以创建使用以下设置的文件系统：

位于创建文档设备的区域中的每个可用区。
位于您选择的 VPC 的默认子网内。
使用VPC的默认保护机构。您可以在创建记录系统后控制安全组。

文件系统网页的顶部似乎带有一个横幅，显示您创建的文件系统的受欢迎程度。当文件系统变为可用时，用于进入文档小工具信息网页的超链接会出现在横幅内。

DAX（DynamoDB 加速器）中的数据保护：

Amazon DynamoDB Accelerator (DAX) 放松加密提供了额外的事实保护层，通过使用支持轻松地防止未经授权进入底层车库的事实。组织政策、行业或政府规则以及合规性要求可能需要使用放松加密来保护您的信息。您可以使用加密来提高部署在云中的包记录的安全性

在静态加密的情况下，通过 DAX 保存在磁盘上的信息对 256 位高级加密标准（也称为 AES-256 加密）的使用进行了加密。 DAX 将统计信息写入磁盘，作为从第一节点传播更改以检查副本的一部分。

放松时的 DAX 加密与 AWS Key Management Service (AWS KMS) 机械集成，用于处理用于加密集群的未婚运营商默认密钥。如果在您创建加密 DAX 集群时运营商默认密钥不存在，AWS KMS 会自动为您创建一个全新的 AWS 控制密钥。此密钥与未来创建的加密集群一起使用。 AWS KMS 结合了舒适、令人难以置信的硬件和软件，提供了一个针对云进行扩展的关键控制机器。

在您的事实被加密后，DAX 会透明地处理您的信息解密，而对性能的影响最小。您无需调整应用程序即可使用加密。

启用静态 DAX 加密的步骤：

登录 AWS 管理控制台。
打开 DynamoDB 控制台。
在导航窗格中的 DAX 下，选择集群。
单击创建集群。

为您的集群提供所需的名称。
为所有集群选择一个节点类型。

使用 3 个节点作为集群大小。
在加密中，单击启用加密。
选择 IAM 角色、子网组、安全组和集群设置。

单击启动集群。

Amazon VPC 中的互联网流量隐私：

Amazon Virtual Private Cloud 提供了可用于在虚拟非公共云 (VPC) 上增长和显示安全性的功能：

安全组织：安全公司充当相关 Amazon EC2 时代的防火墙，在示例阶段控制每个入站和出站站点访问者。当您启动一个示例时，您可以将它与您创建的一个或多个安全机构相关联。您的 VPC 上的每个示例都可能希望属于一组不同的保护公司。如果您在启动实例时未指定保护组织，则该示例与 VPC 的默认安全组织机械关联。有关更多信息，请参阅 VPC 上的安全公司。

网络访问控制列表 (ACL)：网络 ACL 充当相关子网的防火墙，在子网级别控制每个入站和出站访问者。有关详细信息，请参阅网络 ACL。

流日志：流日志捕获有关进出您的 VPC 中的网络接口的 IP 流量的记录。您可以为 VPC、子网或字符社区接口创建 waft 日志。流日志事实发布到 CloudWatch Logs 或 Amazon S3，它让您可以诊断过于严格或过于宽松的保护组和网络 ACL 准则。有关更多事实，请参阅 VPC 流日志。

流量镜像：您可以从 Amazon EC2 实例的弹性网络接口复制网络访问者。然后，您可以将站点访问者发送到带外安全和监控设备。更多数据，请参见流量镜像指南。

您可以使用 AWS Identity and Access Management (IAM) 来控制组织中的哪些人有权创建和操作安全组织、网络 ACL 和浮动日志。例如，您可以向社区管理员提供该权限，但不再向最希望发布时间的员工提供权限。有关额外记录，请参阅 Amazon VPC 的身份和访问管理。

Amazon 保护机构和社区 ACL 不再过滤掉进出以下 Amazon 服务的流量：

亚马逊动态主机配置协议 (DHCP)
Amazon EC2 实例元数据
亚马逊域名服务 (DNS)
亚马逊时间同步服务
默认 VPC 路由器的保留 IP 地址。