專有數(shù)據(jù)庫能否安全遷移至AWS云?
問:我們正在探討遷移專有數(shù)據(jù)庫(非PII)到AWS云的風險預測。相比較傳統(tǒng)的數(shù)據(jù)庫遷移,哪些額外的安全措施應該被考慮在內(nèi)?是否應該應用額外的AWS安全機制?
Dan Sullivan:將專有數(shù)據(jù)庫遷移至任何的云環(huán)境時,企業(yè)都應該確保維持與身份認證、授權(quán)、服務器加強和根據(jù)數(shù)據(jù)庫管理員職責分隔相關的標準數(shù)據(jù)庫安全實踐。
如果你正在管理自己的數(shù)據(jù)庫服務器,而不是使用數(shù)據(jù)庫服務,就要考慮加強你的服務器。為了實現(xiàn)這一點,要最小化運行的服務數(shù)量、移走編譯器、關閉未使用的網(wǎng)絡端口、最小化登錄訪問的用戶數(shù)量,并限制可信服務器的遠程連接。還要使用漏洞掃描器探測錯過的漏洞。提示:確保讓亞馬遜任何時候都知道你在運行漏洞掃描器或者執(zhí)行滲透測試,因為亞馬遜有可能認為你是一個實際的攻擊者;可以關注一下亞馬遜關于這類測試的指南。
如果你正在遷移至亞馬遜關系數(shù)據(jù)庫服務,就不必測試和為服務器打補丁,亞馬遜會處理好這一切。然而,你還需要設置身份認證和授權(quán)。確定你是否直接使用亞馬遜身份認證和訪問管理服務,或者你是否想要整合自己的活動目錄。可以查看AWS關于聯(lián)合IAM和活動目錄的技巧博客。
企業(yè)也可以考慮使用亞馬遜CloudWatch來監(jiān)控數(shù)據(jù)庫服務器上的活動。比如,監(jiān)測網(wǎng)絡流量可以找到不正常的流量點,顯示出未授權(quán)的訪問或者下載,或者終端用戶正在運行的新的大型報告的用例。不論發(fā)生哪種情況,監(jiān)控服務可以幫助企業(yè)注意到那些可能需要注意的遷移安全問題。
