Problema: AWS ofrece el servicio de base de datos MySQL RDS administrado en el que puede cifrar y administrar claves utilizando el Sistema de administración de claves (KMS) de AWS. Desafortunadamente, las instantáneas de bases de datos cifradas no se pueden copiar ni utilizar en una región diferente, ya que KMS es específico de la región. (es decir, la clave KMS en la región de Irlanda solo funciona en las zonas de disponibilidad en Irlanda)
Requisito: ofrezca cifrado completo de la base de datos (por ejemplo, no almacenar DB en un volumen de base de datos cifrado) para mitigar la amenaza de la exfiltración completa de la base de datos, la administración de claves y la capacidad de conmutación por error a otro REGIÓN .
Restricciones: debe usar AWS y debe usar MySQL. Debe ser capaz de registrar centralmente las actividades de administración de claves.
Desafío: Algunos de los proveedores de seguridad en la nube populares que quería usar no se pueden usar. Porticor fue adquirida recientemente por Inuit y no está brindando apoyo. SafeNet no es compatible con MySQL. GreenSQL solo hace enmascaramiento. Townsend Security solo hace gestión de claves. He realizado la búsqueda de Google en todas partes, pero continúo encontrándome en callejones sin salida. La única posibilidad que estoy viendo ahora es Vormetric, pero cuando me acerqué a ellos después de una reunión cara a cara, no hubo respuesta. Tenga en cuenta que estoy basado en un lugar en Asia que no necesariamente tiene acceso a los mejores proveedores.
Pregunta: ¿Cómo puedo realizar el cifrado completo de la base de datos, la administración de claves y la capacidad de conmutación por error en diferentes regiones de AWS?
(Tenga en cuenta que entiendo que debe haber una adecuada Defensa en Profundidad; no cuento con que este requisito de cifrado de DB sea la panacea de la seguridad para el medio ambiente).