问:我们正在探讨迁移专有数据库(非PII)到AWS云的风险预测。相比较传统的数据库迁移,哪些额外的安全措施应该被考虑在内?是否应该应用额外的AWS安全机制?
Dan Sullivan:将专有数据库迁移至任何的云环境时,企业都应该确保维持与身份认证、授权、服务器加强和根据数据库管理员职责分隔相关的标准数据库安全实践。
如果你正在管理自己的数据库服务器,而不是使用数据库服务,就要考虑加强你的服务器。为了实现这一点,要最小化运行的服务数量、移走编译器、关闭未使用的网络端口、最小化登录访问的用户数量,并限制可信服务器的远程连接。还要使用漏洞扫描器探测错过的漏洞。提示:确保让亚马逊任何时候都知道你在运行漏洞扫描器或者执行渗透测试,因为亚马逊有可能认为你是一个实际的攻击者;可以关注一下亚马逊关于这类测试的指南。
如果你正在迁移至亚马逊关系数据库服务,就不必测试和为服务器打补丁,亚马逊会处理好这一切。然而,你还需要设置身份认证和授权。确定你是否直接使用亚马逊身份认证和访问管理服务,或者你是否想要整合自己的活动目录。可以查看AWS关于联合IAM和活动目录的技巧博客。
企业也可以考虑使用亚马逊CloudWatch来监控数据库服务器上的活动。比如,监测网络流量可以找到不正常的流量点,显示出未授权的访问或者下载,或者终端用户正在运行的新的大型报告的用例。不论发生哪种情况,监控服务可以帮助企业注意到那些可能需要注意的迁移安全问题。