問:我們正在探討遷移專有數(shù)據(jù)庫(非PII)到AWS云的風(fēng)險預(yù)測。相比較傳統(tǒng)的數(shù)據(jù)庫遷移,哪些額外的安全措施應(yīng)該被考慮在內(nèi)?是否應(yīng)該應(yīng)用額外的AWS安全機制?
Dan Sullivan:將專有數(shù)據(jù)庫遷移至任何的云環(huán)境時,企業(yè)都應(yīng)該確保維持與身份認證、授權(quán)、服務(wù)器加強和根據(jù)數(shù)據(jù)庫管理員職責(zé)分隔相關(guān)的標(biāo)準(zhǔn)數(shù)據(jù)庫安全實踐。
如果你正在管理自己的數(shù)據(jù)庫服務(wù)器,而不是使用數(shù)據(jù)庫服務(wù),就要考慮加強你的服務(wù)器。為了實現(xiàn)這一點,要最小化運行的服務(wù)數(shù)量、移走編譯器、關(guān)閉未使用的網(wǎng)絡(luò)端口、最小化登錄訪問的用戶數(shù)量,并限制可信服務(wù)器的遠程連接。還要使用漏洞掃描器探測錯過的漏洞。提示:確保讓亞馬遜任何時候都知道你在運行漏洞掃描器或者執(zhí)行滲透測試,因為亞馬遜有可能認為你是一個實際的攻擊者;可以關(guān)注一下亞馬遜關(guān)于這類測試的指南。
如果你正在遷移至亞馬遜關(guān)系數(shù)據(jù)庫服務(wù),就不必測試和為服務(wù)器打補丁,亞馬遜會處理好這一切。然而,你還需要設(shè)置身份認證和授權(quán)。確定你是否直接使用亞馬遜身份認證和訪問管理服務(wù),或者你是否想要整合自己的活動目錄。可以查看AWS關(guān)于聯(lián)合IAM和活動目錄的技巧博客。
企業(yè)也可以考慮使用亞馬遜CloudWatch來監(jiān)控數(shù)據(jù)庫服務(wù)器上的活動。比如,監(jiān)測網(wǎng)絡(luò)流量可以找到不正常的流量點,顯示出未授權(quán)的訪問或者下載,或者終端用戶正在運行的新的大型報告的用例。不論發(fā)生哪種情況,監(jiān)控服務(wù)可以幫助企業(yè)注意到那些可能需要注意的遷移安全問題。