在 Amazon RDS 和 Amazon EC2 中审计 SQL Server 实例、数据库对象和登录信息 - AWS Prescriptive Guidance
目标业务成果

在 Amazon RDS 和 Amazon EC2 中审计 SQL Server 实例、数据库对象和登录信息

Ashish Srivastava、Bhavani Akundi 和 Sreenivas Nettem,Amazon Web Services(AWS)

2023 年 4 月文档历史记录

本指南介绍如何对 Amazon Elastic Compute Cloud(Amazon EC2)上的 SQL Server 和 Amazon Relational Database Service(Amazon RDS)的 SQL Server 数据库实例实施 SQL Server 审计过程。

数据库审计是用于认证组织数据安全的一种 IT 审计方法。它涉及评估数据和记录数据库中的关键业务操作。

数据库审计已成为强制性要求,尤其是当数据包含个人身份信息(PII)并且必须遵守安全与合规准则时。一些准则涉及根据国家/地区治理策略发布的数据类型和建议。审计过程需要证据,这些证据可以从数据库日志中提取。审计有助于防止未经授权访问数据。通过跟踪数据使用情况,您可以调查虚假活动并采取适当的措施。针对数据机密性、完整性和可访问性的数据库审计有助于确保数据受到保护。为了防止数据违规,最佳实践是同时实施数据库安全和审计。

SQL Server 审计是遵循 ISO/IEC 27001、支付卡行业数据安全标准(PCI DSS)、BASEL III、欧盟通用数据保护条例(GDPR)、信息治理(IG)以及《健康保险流通与责任法案》(HIPAA)等安全、财务和医疗保健标准的必要条件。

目标业务成果

组织实施数据库和 SQL Server 审计的原因有很多,包括以下几点:

  • 审计师需要有意义的情境数据来满足合规与审计要求。数据库审计日志适用于 DBA 团队,但不适用于审计师。

  • 在发生安全违规时能够生成关键提醒是大型软件的基本要求。您可以出于此目的使用审计日志,因为日志记录信息有助于识别和跟踪控制检查。

  • 数据库审计提供如下信息:

    • 访问数据的人员:例如 DBA、开发人员、审计师、提取、转换、加载(ETL)过程处理、DevOps 工程师

    • 数据的早期状态是什么?

    • 数据更新的时间、修改内容和原因是什么?

    • 授权人员是否批准了该请求?

    • 内部用户是否正确使用其权限?

  • 由于审计跟踪记录有助于识别渗透者,因此其有助于遏制内部人员违规。知晓自身行为将受到审查的人员不太可能访问未经授权的数据库或篡改特定数据。

  • 金融、医疗、能源、餐饮服务、公共工程和许多其他行业都需要分析数据访问情况,并定期为政府机构生成详细的报告。例如,HIPAA 条例要求医疗保健提供者提供审计跟踪记录,详细说明访问其记录中数据的人员,精确到行和记录级别。GDPR 也有类似的要求。萨班斯–奥克斯利法案(SOX)对上市公司规定了广泛的会计法规。这些组织都需要分析数据访问情况并定期生成详细的报告。