保护亚马逊DynamoDB免受网络过度攻击

Question

我正在构建一个将极大地利用DynamoDb的体系结构。我的组织正在考虑在DynamoDb中存储敏感数据(配置信息)以及非敏感数据(例如遥测数据)的可能性。

历史上，我们的SQL服务器一直受到许多网络和物理安全层的保护。虽然我们喜欢DynamoDb这个看似无限规模的数据存储库的想法，但我们不确定DynamoDb这样的互联网数据库的最佳实践是什么。

除了简单的身份验证和授权之外，是否还有限制对DynamoDB中数据的访问的最佳实践？是否有任何网络级别的保护可以到位，以限制攻击配置文件？

Answer 1

除了简单的身份验证和授权之外，是否还有限制对DynamoDB中数据的访问的最佳实践？

对于DynamoDB来说，整个安全模型是由AWS提供的身份验证和授权(IAM)；除了这两者之外，没有任何东西。但是，您不会直接从互联网访问DynamoDB，而是通过某种形式的服务(例如API网关备份到Lambda函数，或者运行在EC2框上的一些自定义代码)。然后，AWS将为您管理授权(例如通过EC2的IAM角色)，而在AWS之外的任何东西都不需要知道发生了什么。您绝对不应该在应用程序中放置任何IAM密钥。

作为旁白：

在DynamoDb中存储敏感数据(配置信息)

我个人不会走这条路，不是因为数据的性质，而是因为在DynamoDB中缺乏原子性和隔离性。您不需要DynamoDB的速度太快，所以只需使用好的旧SQL即可。