从历史上看,对于在云端运行关键性应用的安全性一直存有许多忧虑,特别是基础系统。有些想成为微软SQL Azure云数据库服务用户的人仍然犹豫不决,但这并不是SQL Azure安全性所导致的。而是因为他们担心失去数据库环境的控制权。
SQL Server数据库咨询顾问Denny Cherry 说:“很多问题都源于一个事实,他们担心丧失控制权。” 微软关注数据中心的物理安全性而不是Windows的安全性。这让用户持怀疑态度,没有办法使他们可以得到一份过去30天中系统登录情况的统计报告,微软不打算这样做。
许多SQL Azure的爱好者和尝鲜者就云版本的安全问题展开辩论,特别是SQL Azure的强制安全性功能,包括一个服务器端的防火墙,它可以让DBA管理和控制从不同来源对特定IP地址或地址段的访问连接。此外,基于云的产品还支持SQL身份验证,同时保持一个基于SQL Server自定义加密协议的安全的数据库连接。
Cherry自己总结出新的SQL Azure世界和大多数DBA使用的传统SQL Server环境之间的安全性最佳实践的小差异。“SQL Server本身是一个安全平台,SQL Azure是另一种SQL Server实例。并没有一大堆与平台本身相关的安全性问题。”
通常情况下,问题都可以追溯到一个特定的用户或开发人员,他们不知道如何正确地限制访问权限。“我们谈论的问题与你在传统数据库上看到的问题是相同的,”Cherry说。
标准安全性指导
根据咨询专家Herve Roggero的说法,这些遗留的空白或共同失误不会破坏SQL Azure环境的安全性。例如,SQL Azure有一些有限制的审计工具,所以一些企业在SQL Server环境中使用这些工具来验证受信任用户。
“使用内部部署的SQL Server数据库,可以运行审计工具,如果发现不应该发生的事情,就会发出警告;然而在云端却没有这样的审计能力,”Roggero解释说:“这是一个重大的问题,因为它影响遵从性计划,遵从性计划要求你拥有完整的数据审计,知道它何时被改变,是谁改变的。在SQL Azure中你不知道这些信息。”
围绕SQL Azure安全性的另一个问题是:如果你认为云不是符合你环境的正确道路,那么如何轻松获得数据。“如果你断定这不是适合你的解决方案,你想改变供应商吗?”K. Brian Kelley说,他某银行的数据库管理员和架构师。“现在有很多解决方案不是无缝的,而这显然是一个问题。”
Cherry说,如果DBA遵循他们的标准安全性最佳实践,他们就无须担心大多数这些挥之不去的安全性忧虑。例如,SQL Azure防火墙默认是只访问微软内部的Azure服务器。Cherry说用户要小心地“尽可能少的在防火墙上戳几个洞”以确保最佳安全性。
他们也应该使用强密码保护,并最小化应用程序运行所需的权限。此外,DBA应该强制执行最起码的安全准则,授予用户履行其工作的最小权限。
“当可用性是非常重要的时候,请应用标准的安全性实践,”Roggero说:“数据库帐户使用强密码是关键,因为数据库架构的使用有助于保护特定的表。在这些所有的可用之前添加安全层。”
转载请注明:IT运维空间 » 安全防护 » 微软云数据库SQL Azure安全性考虑
发表评论