問:我們正在探討遷移專有數據庫(非PII)到AWS云的風險預測。相比較傳統的數據庫遷移,哪些額外的安全措施應該被考慮在內?是否應該應用額外的AWS安全機制?
Dan Sullivan:將專有數據庫遷移至任何的云環境時,企業都應該確保維持與身份認證、授權、服務器加強和根據數據庫管理員職責分隔相關的標準數據庫安全實踐。
如果你正在管理自己的數據庫服務器,而不是使用數據庫服務,就要考慮加強你的服務器。為了實現這一點,要最小化運行的服務數量、移走編譯器、關閉未使用的網絡端口、最小化登錄訪問的用戶數量,并限制可信服務器的遠程連接。還要使用漏洞掃描器探測錯過的漏洞。提示:確保讓亞馬遜任何時候都知道你在運行漏洞掃描器或者執行滲透測試,因為亞馬遜有可能認為你是一個實際的攻擊者;可以關注一下亞馬遜關于這類測試的指南。
如果你正在遷移至亞馬遜關系數據庫服務,就不必測試和為服務器打補丁,亞馬遜會處理好這一切。然而,你還需要設置身份認證和授權。確定你是否直接使用亞馬遜身份認證和訪問管理服務,或者你是否想要整合自己的活動目錄。可以查看AWS關于聯合IAM和活動目錄的技巧博客。
企業也可以考慮使用亞馬遜CloudWatch來監控數據庫服務器上的活動。比如,監測網絡流量可以找到不正常的流量點,顯示出未授權的訪問或者下載,或者終端用戶正在運行的新的大型報告的用例。不論發生哪種情況,監控服務可以幫助企業注意到那些可能需要注意的遷移安全問題。
京公網安備 11010502049343號