Security

將 sysadmin 角色授予需要它執行特定任務的服務帳戶是否危險?

  • February 5, 2017

我正在嘗試設置 Amazon DMS 以將數據從我們的生產 SQL Server 實例(目前在專用 EC2 實例中執行)複製到 Redshift 以用於數據倉庫。DMS 文件明確指出

AWS DMS 使用者賬戶在您要連接到的 Microsoft SQL Server 數據庫上必須具有sysAdmin固定伺服器角色。

不支持 Windows 身份驗證。

這與我們的 DBA 有關。他們對創建具有系統管理員權限的帳戶(實際上是 sql 或 AD)然後將該訪問權授予第 3 方服務持謹慎態度。雖然我理解這種擔憂,但我傾向於信任亞馬遜,創建服務帳戶,然後繼續我的一天。

他們建議在每晚同步之前設置一個作業,為帳戶授予必要的 sysAdmin 角色,然後在作業完成後恢復權限。這對我來說是不必要的偏執,如果我們轉向持續複製,那根本就不起作用。

所以我的問題是:創建這樣的帳戶有多危險(假設遵循其他最佳實踐,即:安全加密的密碼、通過 IP 地址限制訪問等)?是否有充分的理由不前進,或者這只是做生意的成本?

是否有充分的理由不前進,或者這只是做生意的成本?

我完全理解 DBA 的不情願,並且給出 SA 不是一個好的做法。如果伺服器符合任何行業法規(例如 PCI/SOX),其中需要監控 SA 登錄並有正當理由,這將變得特別粗糙。

但是,這是有業務需求的,而且您已經在使用 AWS,這使得這種擔憂變得毫無意義。我肯定會像亞馬遜一樣獲得權限列表,而不僅僅是 SA,但我也會(同時)繼續進行測試,而不是讓它成為障礙。

創建這樣的帳戶有多危險(假設遵循其他最佳做法,即:安全加密的密碼、通過 IP 地址限制訪問等)?

提供 SA 絕非易事,因為任何有權訪問它的人都可以做任何他們想做的事情而不會留下任何痕跡。假設此伺服器不能直接從 Internet 訪問,並且登錄受 IP 等限制,這將最好地限製表面積。在那之後,就取決於信任亞馬遜了,你似乎沒有理由信任他們。

總體而言,我會要求提供所需的最低權限列表,但會繼續使用該服務並根據需要設置帳戶。就個人而言,我會對該登錄進行額外的審核,並在我的測試環境中像鷹一樣觀察它,以了解它“真正”做了什麼……但如果你想使用該服務,這是必需的——做生意的價格那個服務所有者。

引用自:https://serverfault.com/questions/828638