在 Amazon RDS 和 Amazon EC2 中稽核 SQL Server 執行個體、資料庫物件和登入 - AWS 方案指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon RDS 和 Amazon EC2 中稽核 SQL Server 執行個體、資料庫物件和登入

Ashish Srivastava、Bhavani Akundi 和 Sreenivas Nettem、Amazon Web Services (AWS)

2023 年 4 月 (文件歷史記錄)

本指南說明如何在 Amazon Elastic Compute Cloud (Amazon EC2) 和 Amazon Relational Database Service (Amazon RDS) for SQL Server 資料庫執行個體上實作 SQL Server 的 SQL Server 稽核程序。

資料庫稽核是一種 IT 稽核方法,用於驗證組織資料是否安全。它涉及在資料庫上評估資料和記錄關鍵業務操作。

資料庫稽核已變得強制性,特別是當資料包含個人身分識別資訊 (PII),且必須遵守安全和合規準則時。有些準則涉及由國家/地區的控管政策所發佈的資料類型和建議。稽核程序需要證據,可從資料庫日誌擷取。稽核有助於防止未經授權存取資料。透過追蹤資料用量,您可以調查錯誤活動並採取適當的動作。資料庫稽核資料機密性、完整性和可存取性有助於確保資料受到保護。為了防止資料違規,最佳實務是同時設定資料庫安全和稽核。

SQL Server 稽核是遵守 ISO/IEC 27001、支付卡產業資料安全標準 (PCI DSS)、BASEL III、歐盟一般資料保護法規 (GDPR)、資訊治理 (IG) 和健康保險流通與責任法案 (HIPAA) 等安全、財務和醫療保健標準的要求。

目標業務成果

組織實作資料庫和 SQL Server 稽核有幾個原因,包括下列項目:

  • 稽核人員需要有意義的內容資料,以進行合規和稽核。資料庫稽核日誌適合 DBA 團隊,但不適用於稽核人員。

  • 發生安全漏洞時產生重要提醒的功能,是大規模軟體的基本需求。您可以將稽核日誌用於此目的,因為記錄資訊有助於識別和追蹤控制檢查。

  • 資料庫稽核提供以下資訊:

    • 誰存取了資料,例如DBAs、開發人員、稽核人員、擷取、轉換和載入 (ETL) 程序、DevOps 工程師?

    • 資料的早期狀態為何?

    • 更新資料的時間、修改的內容,以及原因為何?

    • 獲得授權的人員是否核准請求?

    • 內部使用者是否正確使用其權限?

  • 由於稽核線索有助於識別滲透者,因此有助於阻止內部人員。知道自己的動作受到審查的人不太可能存取未經授權的資料庫或竄改特定資料。

  • 財務、醫療、能源、食品服務、公有工作和許多其他產業都需要分析資料存取,並定期為政府機構產生詳細報告。例如,HIPAA 法規要求醫療保健供應商提供稽核線索,詳細說明誰存取其記錄中的資料,並向下到資料列和記錄層級。GDPR 有類似的要求。沙賓法案 (SOX) 對公有企業制定了廣泛的會計法規。這些組織需要分析資料存取,並定期產生詳細報告。