Configuración de protocolos de seguridad y cifrados de SQL Server
Puede activar y desactivar determinados protocolos de seguridad y cifrados mediante parámetros de base de datos. Los parámetros de seguridad que se pueden configurar (excepto TLS versión 1.2) se muestran en la siguiente tabla.
| Parámetro de base de datos | Valores permitidos (valor predeterminado en negrita) | Descripción |
|---|---|---|
| rds.tls10 | predeterminado, habilitado, desactivado | TLS 1.0. |
| rds.tls11 | predeterminado, habilitado, desactivado | TLS 1.1. |
| rds.tls12 | predeterminada | TLS 1.2. No se puede modificar este valor. |
| rds.fips | 0, 1 |
Cuando establece el parámetro en 1, RDS obliga al uso de módulos que cumplen con el estándar federal de procesamiento de información (FIPS) 140-2. Para obtener más información, consulte Uso de SQL Server 2016 en modo compatible con FIPS 140-2 |
| rds.rc4 | predeterminado, habilitado, desactivado | Cifrado de flujo RC4. |
| rds.diffie-hellman | predeterminado, habilitado, desactivado | Cifrado de intercambio de claves Diffie-Hellman. |
| rds.diffie-hellman-min-key-bit-length | predeterminado, 1024, 2048, 3072, 4096 | Longitud mínima de bit para las claves Diffie-Hellman. |
| rds.curve25519 | predeterminado, habilitado, desactivado | Código de cifrado de curva elíptica Curve25519. Este parámetro no es compatible con todas las versiones del motor. |
| rds.3des168 | predeterminado, habilitado, desactivado | Código de cifrado de estándar de cifrado de datos triple (DES) con una longitud de clave de 168 bits. |
nota
Para las versiones secundarias del motor posteriores a 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 y 12.00.6449.1, la configuración predeterminada de los parámetros de base de datos rds.tls10, rds.tls11, rds.rc4, rds.curve25519, y rds.3des168 está deshabilitada. De lo contrario, la configuración predeterminada está habilitada.
Para las versiones secundarias del motor posteriores a 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 y 12.00.6449.1, la configuración predeterminada de rds.diffie-hellman-min-key-bit-length es 3072. De lo contrario, la configuración predeterminada es 2048.
Utilice el siguiente proceso para configurar los protocolos de seguridad y los cifrados:
-
Cree un grupo de parámetros de base de datos personalizado.
-
Modifique los parámetros en el grupo de parámetros.
-
Asocie el nuevo grupo de parámetros de base de datos a la instancia de base de datos.
Para obtener más información acerca de los grupos de parámetros de base de datos, consulte Grupos de parámetros para Amazon RDS.
Creación del grupo de parámetros relacionados con la seguridad
Cree un grupo de parámetros para los parámetros relacionados con la seguridad que corresponda a la edición y versión de SQL Server de la instancia de base de datos.
El procedimiento siguiente crea un grupo de parámetros para SQL Server Standard Edition 2016.
Para crear el grupo de parámetros
Inicie sesión en la AWS Management Console y abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/
. -
En el panel de navegación, seleccione Parameter groups (Grupos de parámetros).
-
Elija Create parameter group.
-
En el panel Create parameter group (Crear grupo de parámetros), haga lo siguiente:
-
En Familia de grupos de parámetros, elija sqlserver-se-13.0.
-
En Nombre de grupo, escriba un identificador para el grupo de parámetros, como
sqlserver-ciphers-se-13. -
En Descripción, escriba
Parameter group for security protocols and ciphers.
-
-
Elija Create (Crear).
El procedimiento siguiente crea un grupo de parámetros para SQL Server Standard Edition 2016.
Para crear el grupo de parámetros
-
Ejecute uno de los siguientes comandos.
Para Linux, macOS o:Unix
aws rds create-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"En:Windows
aws rds create-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"
Modificación de parámetros relacionados con la seguridad
Modifique los parámetros relacionados con la seguridad en el grupo de parámetros que corresponde a la edición y versión de SQL Server de su instancia de base de datos.
El procedimiento siguiente modifica el grupo de parámetros que ha creado para SQL Server Standard Edition 2016. Este ejemplo desactiva la versión 1.0 de TLS.
Para modificar el grupo de parámetros
Inicie sesión en la AWS Management Console y abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/
. -
En el panel de navegación, seleccione Parameter groups (Grupos de parámetros).
-
Elija el grupo de parámetros, como sqlserver-ciphers-se-13.
-
En Parámetros, filtre la lista de parámetros para
rds. -
Elija Edit parameters (Editar parámetros).
-
Elija rds.tls10.
-
En Valores, elija desactivado.
-
Elija Guardar cambios.
El procedimiento siguiente modifica el grupo de parámetros que ha creado para SQL Server Standard Edition 2016. Este ejemplo desactiva la versión 1.0 de TLS.
Para modificar el grupo de parámetros
-
Ejecute uno de los siguientes comandos.
Para Linux, macOS o:Unix
aws rds modify-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"En:Windows
aws rds modify-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"
Asociación del grupo de parámetros relacionados con la seguridad con su instancia de base de datos
Para asociar el grupo de parámetros a su instancia de base de datos, utilice la AWS Management Console o la AWS CLI.
Puede asociar el grupo de parámetros con una instancia de base de datos nueva o existente:
-
Para una nueva instancia de base de datos, asóciela cuando lance la instancia. Para obtener más información, consulte Creación de una instancia de base de datos de Amazon RDS.
-
Para una instancia de base de datos existente, asóciela modificando la instancia. Para obtener más información, consulte Modificación de una instancia de base de datos de Amazon RDS.
Puede asociar el grupo de parámetros con una instancia de base de datos nueva o existente.
Para crear una instancia de base de datos con el grupo de parámetros
-
Especifique el mismo tipo de motor de base de datos y la misma versión principal que ha utilizado al crear el grupo de parámetros.
Para Linux, macOS o:Unix
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m5.2xlarge\ --enginesqlserver-se\ --engine-version13.00.5426.0.v1\ --allocated-storage100\ --master-user-passwordsecret123\ --master-usernameadmin\ --storage-typegp2\ --license-modelli\ --db-parameter-group-namesqlserver-ciphers-se-13En:Windows
aws rds create-db-instance ^ --db-instance-identifiermydbinstance^ --db-instance-classdb.m5.2xlarge^ --enginesqlserver-se^ --engine-version13.00.5426.0.v1^ --allocated-storage100^ --master-user-passwordsecret123^ --master-usernameadmin^ --storage-typegp2^ --license-modelli^ --db-parameter-group-namesqlserver-ciphers-se-13nota
Especifique una contraseña distinta de la que se muestra aquí como práctica recomendada de seguridad.
Para modificar una instancia de base de datos y asociar el grupo de parámetros
-
Ejecute uno de los siguientes comandos.
Para Linux, macOS o:Unix
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --db-parameter-group-namesqlserver-ciphers-se-13\ --apply-immediatelyEn:Windows
aws rds modify-db-instance ^ --db-instance-identifiermydbinstance^ --db-parameter-group-namesqlserver-ciphers-se-13^ --apply-immediately
