09/15 2023

Amazon RDS 憑證將到期 三大策略無痛提升資料傳輸安全!

近期在使用AWS 後臺的Amazon RDS 關聯式資料庫服務時,您會發現到在介面上顯示了一則更新警示:

Amazon RDS 憑證到期
Amazon RDS 服務內出現告警畫面

裡面的警告內容寫道,資料庫得進行必要的更新,且其中在Amazon RDS 中的憑證管理中心(Certificate Authority (CA)) 的rds-ca-2019 憑證將在2024年8月停止支援。相信不少企業使用者在常見的服務中看見告警會相當緊張,因此博弘雲端架構師要來帶您用「三步驟」,無痛更新憑證管理中心,維護資料傳輸的安全性!

為甚麼會收到Amazon RDS 警告?

Amazon RDS 是常見關聯式資料庫服務,當企業在使用RDS的時候,會透過 SSL/TLS 連接,加密在客戶端和資料庫之間傳輸的數據,來提供一層安全性保護,通常會運用在網站服務或應用程式。而近期在Amazon RDS的使用介面中,就有告警顯示憑證管理中心中的rds-ca-2019 憑證將在2024年8月到期。而憑證管理中心裡面的憑證,也是發送SSL/TLS 憑證的重要工具。儘管目前這個告警對企業的資料庫並沒有立即性的影響,但企業仍然需要在指定日期前完成更新。

Amazon RDS 更新策略

由於距離Amazon RDS 的憑證rds-ca-2019 逾期日還有一段時間,若您的環境有大量的資料庫實例 (Database Instance),建議您分批次進行作業,先從測試環境開始,再進行正式環境的憑證管理更新,並且確認先執行作業的資料庫實例連線無異常,再接續進行其他實例的更新作業,以確保您目前在不受更新影響。

除此之外,由於在憑證更新的期間,可能會導致幾分鐘的資料庫連線中斷,對服務造成影響,因此博弘雲端架構師更建議盡量安排在業務離峰的時段再進行更新。

如何進行Amazon RDS 的更新?

為了在憑證到期前先更新,以利提升資料傳輸的安全性,博弘雲端架構師更歸納了「三步驟無痛更新憑證」教學守則,一步步帶您完整提升資料傳輸安全!

挑選資料庫實例憑證更新與時間點

更新憑證的首要步驟,您必須要先點選RDS頁面左下角的Certificate update,以顯示所有受影響的資料庫實例的臨時頁面。必須要注意的是,只有當您選擇適當的 AWS 區域時,此頁面才會顯示受影響的資料庫實例集。(如果您切換到沒有受影響的資料庫實例的 AWS 區域,您的頁面將為空白)。

接著選取您的需更新的所有資料庫實例,並點選右上角的apply now,立刻進行CA更新。或者點選Schedule來安排在下一個Amazon RDS本身所排定的維護時間進行更新。

Amazon RDS CA更新
按下Apply Now的按鈕,在Amazon RDS介面中啟動CA更新

更新加密憑證

點選Apply now或Schedule之後會出現以下CA選單,如果您希望和原先的rds-ca-2019保持相同的加密標準,建議您切換到 rds-ca-rsa2048-g1 的憑證,選擇完畢後請點選confirm完成更新動作。若您對要更新成何種CA有所考量,同步也可參考AWS的官方文件

Amazon RDS CA選擇
博弘雲端架構師建議可以根據客戶的需求,選擇合適的CA來更新

檢視更新狀態

完成更新後您可以檢視主控台中的 Connectivity & security (連線和安全) 索引標籤,來檢視資料庫執行個體憑證管理中心的詳細資訊。如下圖所示,確認憑證管理中心是否有順利更新為新的版本。

Amazon RDS 憑證更新 如何操作?
更新完憑證後,回到原先服務的介面確認是否已經完成。

Amazon RDS 更新常見QA分享

常見問題博弘雲端架構師建議
Amazon RDS 不同的實例級別是否會造成不同的停機時間?一般來說,不同的實例級別不是影響停機時間的主要因素。主要取決於您的資料庫引擎,以及您當下的資料庫活動所決定的。
資料量的多寡是否影響停機時間?資料量的多寡的確會影響到您的停機時間,為了確保資料的完整性,如果有大量未提交及尚未寫入磁碟的資料,那麼會需要較長的恢復時間。
使用排程更新與手動更新是否會有不同的停機時間?若您的資料庫實例需要重啟資料庫以套用新憑證,具體在背景的作業處理都是將您的資料庫進行重啟。因此,使用排程更新與手動更新不會有不同的停機時間。

如此一來,這三個步驟就能協助使用者更新Amazon RDS 內的憑證,並維護安全性。若您對RDS 更新還有需要更多技術上的支援,歡迎聯繫博弘雲端,具備專業的架構師讓您一次搞定所有資料庫實例安全設定的大小事。