Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione della crittografia e dei protocolli di SQL Server
È possibile attivare e disattivare determinati protocolli di sicurezza e cifrari utilizzando i parametri DB. I parametri di protezione che è possibile configurare (ad eccezione della versione 1.2 di TLS) sono riportati nella tabella seguente.
| Parametro DB | Valori consentiti (impostazione predefinita in grassetto) | Descrizione |
|---|---|---|
| rds.tls10 | Impostazione predefinita, abilitato, disabilitato | TLS 1.0. |
| rds.tls11 | Impostazione predefinita, abilitato, disabilitato | TLS 1.1. |
| rds.tls12 | default | TLS 1.2. Non è possibile modificare questo valore. |
| rds.fips | 0, 1 |
Quando si imposta il parametro su 1, RDS impone l'uso di moduli conformi allo standard Federal Information Processing Standard (FIPS) 140-2. Per ulteriori informazioni, consulta Use SQL Server 2016 in FIPS 140-2-compliant mode (Utilizza SQL Server 2016 in modalità conforme a FIPS 140-2) |
| rds.rc4 | Impostazione predefinita, abilitato, disabilitato | Cifratura flusso RC4. |
| rds.diffie-hellman | Impostazione predefinita, abilitato, disabilitato | Crittografia dello scambio chiavi Diffie-Hellman. |
| rds.diffie-hellman-min-key-bit-length | Impostazione predefinita, 1.024, 2.048, 3.072, 4.096 | Lunghezza minima del bit per le chiavi Diffie-Hellman. |
| rds.curve25519 | Impostazione predefinita, abilitato, disabilitato | Crittografia Curve25519 a curva ellittica. Questo parametro non è supportato per tutte le versioni del motore. |
| rds.3des168 | Impostazione predefinita, abilitato, disabilitato | Crittografia DES (Triple Data Encryption Standard) con una lunghezza di chiave a 168 bit. |
Nota
Per le versioni secondarie del motore successive alle versioni 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 e 12.00.6449.1, l’impostazione predefinita per i parametri del database rds.tls10, rds.tls11, rds.rc4, rds.curve25519, e rds.3des168 è disabilitato. In caso contrario, l’impostazione predefinita è abilitato.
Per le versioni secondarie del motore successive alle versioni 16.00.4120.1, 15.00.4365.2, 14.00.3465.1, 13.00.6435.1 e 12.00.6449.1, l’impostazione predefinita per rds.diffie-hellman-min-key-bit-length è 3.072. In caso contrario, viene utilizzata l’impostazione predefinita 2.048.
Per configurare i protocolli e i cifrari di sicurezza, attenersi alla procedura descritta di seguito.
-
Creare un gruppo di parametri DB personalizzato.
-
Modificare i parametri nel gruppo di parametri.
-
Associare il gruppo di parametri DB all'istanza database.
Per ulteriori informazioni sui gruppi di parametri database, consulta Gruppi di parametri per Amazon RDS.
Creazione del gruppo di parametri relativi alla sicurezza
Creare un gruppo di parametri per i parametri relativi alla sicurezza che corrisponde all'edizione di SQL Server e alla versione dell'istanza database.
Nella procedura seguente viene creato un gruppo di parametri per SQL Server Standard Edition 2016.
Per creare il gruppo di parametri
Accedi alla Console di gestione AWS e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/
. -
Nel riquadro di navigazione scegliere Parameter groups (Gruppi di parametri).
-
Scegliere Create parameter group (Crea gruppo di parametri).
-
Nel riquadro Create parameter group (Crea gruppi di parametri), procedi nel modo seguente:
-
Per Famiglia del gruppo di parametri, scegliere sqlserver-se-13.0.
-
Per Group name (Nome gruppo), immettere un identificatore per il gruppo di parametri, ad esempio
sqlserver-ciphers-se-13. -
Per Description (Descrizione), immettere
Parameter group for security protocols and ciphers.
-
-
Scegliere Create (Crea).
Nella procedura seguente viene creato un gruppo di parametri per SQL Server Standard Edition 2016.
Per creare il gruppo di parametri
-
Eseguire uno dei seguenti comandi.
Per Linux, macOS o Unix:
aws rds create-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --db-parameter-group-family "sqlserver-se-13.0" \ --description "Parameter group for security protocols and ciphers"Per Windows:
aws rds create-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --db-parameter-group-family "sqlserver-se-13.0" ^ --description "Parameter group for security protocols and ciphers"
Modifica dei parametri relativi alla sicurezza
Modificare i parametri relativi alla sicurezza nel gruppo di parametri che corrisponde all'edizione di SQL Server e alla versione dell'istanza database.
Nella procedura seguente, il gruppo di parametri creato per SQL Server Standard Edition 2016 viene modificato. In questo esempio viene disattivata la versione 1.0 di TLS.
Per modificare il gruppo di parametri
Accedi alla Console di gestione AWS e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/
. -
Nel riquadro di navigazione scegliere Parameter groups (Gruppi di parametri).
-
Scegliere il gruppo di parametri, ad esempio sqlserver-ciphers-se-13.
-
In Parameters (Parametri), filtrare l'elenco dei parametri per
rds. -
Scegliere Edit parameters (Modifica parametri).
-
Scegliere rds.tls10.
-
Per Values (Valori), scegliere Disabled (Disabilitato).
-
Scegli Save changes (Salva modifiche).
Nella procedura seguente, il gruppo di parametri creato per SQL Server Standard Edition 2016 viene modificato. In questo esempio viene disattivata la versione 1.0 di TLS.
Per modificare il gruppo di parametri
-
Eseguire uno dei seguenti comandi.
Per Linux, macOS o Unix:
aws rds modify-db-parameter-group \ --db-parameter-group-namesqlserver-ciphers-se-13\ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"Per Windows:
aws rds modify-db-parameter-group ^ --db-parameter-group-namesqlserver-ciphers-se-13^ --parameters "ParameterName='rds.tls10',ParameterValue='disabled',ApplyMethod=pending-reboot"
Associazione del gruppo di parametri relativi alla sicurezza all'istanza database
Per associare il gruppo di parametri all'istanza database, utilizzare Console di gestione AWS o AWS CLI.
È possibile associare il gruppo di parametri a un'istanza database nuova o esistente:
-
Per una nuova istanza database, associarli all'avvio dell'istanza. Per ulteriori informazioni, consulta Creazione di un'istanza database Amazon RDS.
-
Per un'istanza database esistente, associarli modificando l'istanza. Per ulteriori informazioni, consulta Modifica di un'istanza database Amazon RDS.
È possibile associare il gruppo di parametri a un'istanza database nuova o esistente:
Per creare un'istanza database con il gruppo di parametri
-
Specificare lo stesso tipo di motore di database e la versione principale utilizzati durante la creazione del gruppo di parametri.
Per Linux, macOS o Unix:
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m5.2xlarge\ --enginesqlserver-se\ --engine-version13.00.5426.0.v1\ --allocated-storage100\ --master-user-passwordsecret123\ --master-usernameadmin\ --storage-typegp2\ --license-modelli\ --db-parameter-group-namesqlserver-ciphers-se-13Per Windows:
aws rds create-db-instance ^ --db-instance-identifiermydbinstance^ --db-instance-classdb.m5.2xlarge^ --enginesqlserver-se^ --engine-version13.00.5426.0.v1^ --allocated-storage100^ --master-user-passwordsecret123^ --master-usernameadmin^ --storage-typegp2^ --license-modelli^ --db-parameter-group-namesqlserver-ciphers-se-13Nota
Specifica una password diversa dal prompt mostrato qui come best practice per la sicurezza.
Per modificare un'istanza database e associare il gruppo di parametri
-
Eseguire uno dei seguenti comandi.
Per Linux, macOS o Unix:
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --db-parameter-group-namesqlserver-ciphers-se-13\ --apply-immediatelyPer Windows:
aws rds modify-db-instance ^ --db-instance-identifiermydbinstance^ --db-parameter-group-namesqlserver-ciphers-se-13^ --apply-immediately
