Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pilar keamanan
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. Model tanggung jawab bersama
-
Keamanan cloud — AWS bertanggung jawab untuk melindungi infrastruktur yang berjalan Layanan AWS di dalamnya AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas AWS keamanan sebagai bagian dari program AWS kepatuhan
. Untuk mempelajari tentang program kepatuhan yang berlaku di Amazon Neptune, lihat Layanan AWS dalam Cakupan melalui Program Kepatuhan . -
Keamanan di cloud — Tanggung jawab Anda ditentukan oleh Layanan AWS yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, termasuk sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku. Untuk informasi selengkapnya tentang privasi data, silakan lihat Pertanyaan Umum Privasi Data
. Untuk informasi tentang perlindungan data di Eropa, lihat Model Tanggung Jawab AWS Bersama dan posting blog GDPR .
Pilar keamanan membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Neptunus. Topik berikut akan menunjukkan kepada Anda cara mengonfigurasi Neptune untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan Layanan AWS yang lain yang membantu Anda memantau dan mengamankan sumber daya Neptunus Anda.
Pilar keamanan mencakup area fokus utama berikut:
-
Keamanan data
-
Keamanan jaringan
-
Autentikasi dan otorisasi
Menerapkan keamanan data
Kebocoran data dan pelanggaran menempatkan pelanggan Anda pada risiko dan dapat menyebabkan dampak negatif yang substansif pada perusahaan Anda. Praktik terbaik berikut membantu melindungi data pelanggan Anda dari paparan yang tidak disengaja dan berbahaya:
-
Nama klaster, tag, grup parameter, peran AWS Identity and Access Management (IAM), dan metadata lainnya tidak boleh berisi informasi rahasia atau sensitif karena data tersebut mungkin muncul di log penagihan atau diagnostik.
-
URIs atau tautan ke server eksternal yang disimpan sebagai data di Neptunus tidak boleh berisi informasi kredensyal untuk memvalidasi permintaan.
-
Instans yang dienkripsi oleh Neptune memberikan lapisan perlindungan data tambahan dengan membantu mengamankan data Anda dari akses yang tidak sah ke penyimpanan yang mendasari. Anda dapat menggunakan enkripsi Neptune untuk meningkatkan perlindungan data aplikasi Anda yang disebarkan di cloud. Anda juga dapat enkripsi Neptunus untuk memenuhi persyaratan kepatuhan untuk data saat istirahat.
Untuk mengaktifkan enkripsi untuk instans DB Neptunus baru, pilih Ya di bagian Aktifkan enkripsi pada konsol Neptunus (dipilih secara default), atau dengan menyetel properti di. AWS::Neptune::DBCluster::StorageEncrypted CloudFormationJika enkripsi diaktifkan, Neptunus akan menggunakan kunci yang dikelola AWS Amazon Relational Database Service (Amazon RDS) AWS secara default, atau Anda dapat membuat kunci yang dikelola pelanggan. Untuk informasi tentang membuat instans DB Neptunus, lihat Membuat cluster DB Neptunus baru. Untuk detail selengkapnya, lihat Mengenkripsi Sumber Daya Neptunus saat Istirahat. Snapshot otomatis dan manual Anda menggunakan enkripsi yang sama dengan yang Anda pilih untuk cluster Neptunus Anda.
-
Saat menggunakan bahasa SPARQL dan OpenCypher, praktikkan validasi input dan teknik parameterisasi yang tepat untuk mencegah injeksi SQL dan bentuk serangan lainnya. Hindari membuat kueri yang menggunakan penggabungan string dengan input yang disediakan pengguna. Gunakan kueri berparameter atau pernyataan yang disiapkan untuk meneruskan parameter input dengan aman ke database grafik. Untuk informasi lebih lanjut, lihat Contoh kueri parameter OpenCypher dan Pertahanan Injeksi SPARQL.
-
Untuk bahasa Gremlin, gunakan Varian Bahasa Gremlin
alih-alih langsung meneruskan Skrip Gremlin berbasis string untuk menghindari potensi masalah injeksi.
Amankan jaringan Anda
Cluster DB Amazon Neptunus hanya dapat dibuat di cloud pribadi virtual (VPC) aktif. AWS Sampai Neptunus 1.4.6.0, titik akhir cluster DB Neptunus hanya dapat diakses dalam VPC itu. Pada Neptunus 1.4.6.0 dan yang lebih baru, instance Neptunus dapat dikonfigurasi agar dapat diakses publik melalui internet. Ini adalah praktik terbaik untuk menggunakan fitur ini hanya di lingkungan non-produksi untuk mengaktifkan akses yang disederhanakan ke Neptunus untuk pengembang Anda (meskipun otentikasi IAM selalu diperlukan untuk mengaktifkan aksesibilitas publik). Jika Anda mengaktifkan aksesibilitas publik, pertimbangkan untuk menetapkan aturan grup keamanan masuk untuk port database Anda ke hanya lalu lintas alamat IP yang diketahui. Di lingkungan produksi atau dengan cluster yang berisi data sensitif, amankan data Neptunus Anda dengan tidak mengizinkan aksesibilitas publik dan membatasi akses ke VPC tempat cluster DB Neptunus Anda berada. Untuk informasi selengkapnya, lihat Menghubungkan ke grafik Amazon Neptunus Anda.
Untuk melindungi data Anda saat transit, Neptunus menerapkan koneksi SSL melalui HTTPS ke instans atau titik akhir cluster apa pun menggunakan protokol dan cipher yang aman. Neptunus menyediakan sertifikat SSL untuk instans DB Neptunus Anda. Sertifikat SSL Neptunus hanya mendukung nama host titik akhir klaster, titik akhir pembaca, dan titik akhir instance.
Jika Anda menggunakan penyeimbang beban atau server proxy (seperti HAProxy
Menerapkan otentikasi dan otorisasi
Untuk mengontrol siapa yang dapat melakukan tindakan manajemen Neptunus pada cluster DB Neptunus dan instans DB, aktifkan otentikasi database IAM dan gunakan kredensyal IAM. Saat Anda terhubung AWS menggunakan kredensyal IAM, peran IAM Anda harus memiliki kebijakan IAM yang memberikan izin yang diperlukan untuk melakukan operasi manajemen Neptunus. Pastikan Anda mengikuti prinsip hak istimewa paling sedikit, hanya memberikan izin yang diperlukan untuk menyelesaikan tugas. Untuk informasi selengkapnya, lihat Menggunakan berbagai jenis kebijakan IAM untuk mengontrol akses ke Neptunus dan Otentikasi IAM Menggunakan Kredensyal Sementara.
Untuk mengontrol siapa yang dapat terhubung ke cluster Neptunus dan menanyakan data, Anda dapat menggunakan IAM untuk mengautentikasi instans DB Neptunus atau cluster DB Anda. Jika Anda mengaktifkan otentikasi IAM di cluster DB Neptunus, siapa pun yang mengakses cluster DB harus diautentikasi terlebih dahulu. Untuk informasi selengkapnya, lihat Mengaktifkan autentikasi database IAM di Neptunus untuk langkah-langkah mengaktifkan otentikasi IAM.
Ketika autentikasi basis data IAM diaktifkan, setiap permintaan harus ditandatangani menggunakan AWS
Signature Version 4. Untuk memahami cara mengirim permintaan yang ditandatangani ke semua titik akhir Neptunus dengan autentikasi IAM diaktifkan, lihat Menghubungkan dan Menandatangani dengan Versi Tanda Tangan 4. AWS Banyak perpustakaan dan alat, seperti awscurl
Untuk berinteraksi dengan orang lain Layanan AWS, Amazon Neptunus menggunakan peran terkait layanan IAM. Peran tertaut layanan adalah tipe IAM role unik yang tertaut langsung ke Neptune. Peran terkait layanan telah ditentukan sebelumnya oleh Neptunus dan mencakup semua izin yang diperlukan layanan untuk memanggil orang lain atas nama Anda. Layanan AWS Untuk informasi selengkapnya, lihat Menggunakan Peran Tertaut Layanan untuk Neptunus.
