AWS Advanced JDBC Wrapper でクライアント側の暗号化を提供開始
AWS Advanced JDBC Wrapper では、KMS 暗号化プラグインを使用して列レベルのクライアント側の暗号化が提供されるようになりました。このラッパーでは、フェイルオーバー処理、AWS 認証統合、Amazon Aurora および Amazon RDS オープンソースデータベースの拡張モニタリングなどの高度な機能が提供されます。これにより、Java アプリケーションは、アプリケーションコードを変更することなく、データベースに到達する前に機密データを暗号化できます。
データベース保管中の暗号化と転送中の TLS は、基本的なセキュリティコントロールです。ただし、これらのコントロールを使用すると、データベースエンジン内のデータが復号化されます。認証情報の侵害、過剰な管理者権限、または SQL インジェクション攻撃により、機密データがプレーンテキストで公開され、PCI DSS、HIPAA、GDPR で規定されるコンプライアンスリスクが生じる恐れがあります。KMS 暗号化プラグインは JDBC ドライバーレベルで動作することでこのギャップを埋めます。アプリケーションが暗号化された列に書き込むと、プラグインはデータベースに到達する前に値を暗号化します。読み取り時には、値を復号化してから返します。プレーンテキストはアプリケーションにのみ表示され、データベースには暗号化された値が表示されます。データベースは、暗号化キーを必要とせずに HMAC 検証によってデータの整合性を検証できます。このプラグインは、コードを変更することなく、既存の SQL、Spring、Hibernate、および接続プールの設定とシームレスに統合されます。
KMS 暗号化プラグインは Amazon RDS および Amazon Aurora PostgreSQL および MySQL 互換のデータベースで機能します。
このプラグインは、Apache 2.0 ライセンスの下でオープンソースプロジェクトとして利用できます。詳細については、AWS Advanced JDBC Wrapper のドキュメントを参照してください。