SSL

RDS では、MySQL サーバーおよび SQL サーバーに Secure Sockets Layer (SSL) が提供されています。RDS の提供するサーバーのルート証明書を使用して、宛先 IP アドレスおよびポートが RDS の提供したものであるかどうかを確認すると、中間者攻撃を効果的に回避できます。RDS では、セキュリティと正当性を保証するために、サーバーの SSL 証明書を有効にし、更新することができます。

アプリとデータベースとの間の通信は暗号化できますが、アプリによってサーバーでの認証が有効にされなければ SSL サービスは正常に動作しません。また、CPU リソースを無駄に消費し、RDS インスタンスのスループットと応答時間に多少の影響を及ぼします。実際の影響は、ユーザーの接続数やデータ転送の頻度によって変わってきます。

操作方法については、「SSL 暗号化の設定」をご参照ください。

TDE

RDS には、MySQL サーバーおよび SQL サーバーで透過的暗号化 (transparent data encryption: TDE) 機能が提供されています。RDS の TDE 機能は Alibaba Cloud が開発しており、SQL サーバーの TDE 機能は SQL Server Enterprise Edition に基づいています。

RDS インスタンスで TDE を有効にすると、暗号化するデータベースまたはテーブルを指定できます。指定したデータベースまたはテーブルのデータは、HDD、SDD、PCIe カードといったデバイス、また、OSS、Archive Storage といったサービスに書き込む前に暗号化されます。したがって、インスタンスのデータファイルおよびバックアップはすべて暗号文です。

TDE は、Advanced Encryption Standard (AES) アルゴリズムを採用しています。鍵は 128 ビット長です。TDE の鍵は、Key Management Service (KMS) によって暗号化および保存され、インスタンスが起動または移行されると、RDS は鍵を一度だけ動的に取得します。必要に応じて KMS コンソールで鍵を更新します。

操作方法については、「透過的データ暗号化の設定」をご参照ください。