Amazon EC2中保護SQL Server的數(shù)據(jù)

運行在Amazon EC2上的一個SQL Server實例是非常容易做到安全的。基本上，它類似于一個傳統(tǒng)的虛擬機運行一個普通的SQL Server實例。Amazon有一個防火墻，通常應(yīng)該配置為禁止訪問，它只允許在需要的時候被訪問。在SQL實例內(nèi)，所有正常的最佳做法必須遵循。例如，不允許應(yīng)用程序帳戶是sysadmin固定服務(wù)器角色或db_owner固定數(shù)據(jù)庫角色的成員。

該應(yīng)用程序帳戶應(yīng)該只有最少的權(quán)限執(zhí)行一些基本功能，如執(zhí)行應(yīng)用程序的存儲過程或使用ORM直接進行表查詢。如果表并不需要存儲由應(yīng)用程序刪除的數(shù)據(jù)，請確保應(yīng)用程序帳戶對數(shù)據(jù)庫表不具有刪除權(quán)限。而且正如使用SQL Azure，如果你是使用類ORM的EF編寫應(yīng)用程序代碼，ORM將會為你參數(shù)化數(shù)據(jù)庫調(diào)用。如果你不使用ORM，利用Azure還會確保所有應(yīng)用程序?qū)?shù)據(jù)庫的調(diào)用是參數(shù)化安全的。

管理服務(wù)器訪問。目前，在EC2和Azure上還不能防止管理輔助人員登錄你的數(shù)據(jù)庫并查詢數(shù)據(jù)。出于這個原因，我們強烈建議您加密云數(shù)據(jù)庫內(nèi)的任何敏感數(shù)據(jù)。這樣，如果一名管理員查看你的數(shù)據(jù)庫，他看到的數(shù)據(jù)將是毫無價值的。

這就是說，管理員和其他輔助員工在你應(yīng)用程序的數(shù)據(jù)庫中試圖竊取數(shù)據(jù)的可能性微乎其微。如果你不滿意于加密數(shù)據(jù)，則一開始就不應(yīng)該將數(shù)據(jù)存儲在云中。

如果正確的預(yù)防措施得到實施，數(shù)據(jù)云存儲是絕對安全的操作。從DBA的角度來看這是非常規(guī)范的。云中SQL Server數(shù)據(jù)保護的問題來自將數(shù)據(jù)放入云中的終端用戶或業(yè)務(wù)人員并不理解如何確保數(shù)據(jù)安全。