問(wèn)：我們正在探討遷移專有數(shù)據(jù)庫(kù)（非PII）到AWS云的風(fēng)險(xiǎn)預(yù)測(cè)。相比較傳統(tǒng)的數(shù)據(jù)庫(kù)遷移，哪些額外的安全措施應(yīng)該被考慮在內(nèi)？是否應(yīng)該應(yīng)用額外的AWS安全機(jī)制？

Dan Sullivan：將專有數(shù)據(jù)庫(kù)遷移至任何的云環(huán)境時(shí)，企業(yè)都應(yīng)該確保維持與身份認(rèn)證、授權(quán)、服務(wù)器加強(qiáng)和根據(jù)數(shù)據(jù)庫(kù)管理員職責(zé)分隔相關(guān)的標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)安全實(shí)踐。

如果你正在管理自己的數(shù)據(jù)庫(kù)服務(wù)器，而不是使用數(shù)據(jù)庫(kù)服務(wù)，就要考慮加強(qiáng)你的服務(wù)器。為了實(shí)現(xiàn)這一點(diǎn)，要最小化運(yùn)行的服務(wù)數(shù)量、移走編譯器、關(guān)閉未使用的網(wǎng)絡(luò)端口、最小化登錄訪問(wèn)的用戶數(shù)量，并限制可信服務(wù)器的遠(yuǎn)程連接。還要使用漏洞掃描器探測(cè)錯(cuò)過(guò)的漏洞。提示：確保讓亞馬遜任何時(shí)候都知道你在運(yùn)行漏洞掃描器或者執(zhí)行滲透測(cè)試，因?yàn)閬嗰R遜有可能認(rèn)為你是一個(gè)實(shí)際的攻擊者；可以關(guān)注一下亞馬遜關(guān)于這類測(cè)試的指南。

如果你正在遷移至亞馬遜關(guān)系數(shù)據(jù)庫(kù)服務(wù)，就不必測(cè)試和為服務(wù)器打補(bǔ)丁，亞馬遜會(huì)處理好這一切。然而，你還需要設(shè)置身份認(rèn)證和授權(quán)。確定你是否直接使用亞馬遜身份認(rèn)證和訪問(wèn)管理服務(wù)，或者你是否想要整合自己的活動(dòng)目錄?？梢圆榭碅WS關(guān)于聯(lián)合IAM和活動(dòng)目錄的技巧博客。

企業(yè)也可以考慮使用亞馬遜CloudWatch來(lái)監(jiān)控?cái)?shù)據(jù)庫(kù)服務(wù)器上的活動(dòng)。比如，監(jiān)測(cè)網(wǎng)絡(luò)流量可以找到不正常的流量點(diǎn)，顯示出未授權(quán)的訪問(wèn)或者下載，或者終端用戶正在運(yùn)行的新的大型報(bào)告的用例。不論發(fā)生哪種情況，監(jiān)控服務(wù)可以幫助企業(yè)注意到那些可能需要注意的遷移安全問(wèn)題。