Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Controllo delle istanze di SQL Server, degli oggetti di database e degli accessi in Amazon RDS e Amazon EC2
<a name="introduction"></a>

*Ashish Srivastava, Bhavani Akundi e Sreenivas Nettem, Amazon Web Services ()AWS*

*Aprile 2023* ([cronologia dei documenti](doc-history.md))

Questa guida spiega come implementare il processo di audit di SQL Server per SQL Server su istanze di database Amazon Elastic Compute Cloud (Amazon EC2) e Amazon Relational Database Service (Amazon RDS) per istanze di database SQL Server.

Il controllo del database è un metodo di controllo IT per certificare la sicurezza dei dati organizzativi. Implica la valutazione dei dati e la registrazione delle principali operazioni aziendali critiche sui database.

Il controllo dei database è diventato obbligatorio, soprattutto quando i dati includono informazioni di identificazione personale (PII) e devono rispettare le linee guida di sicurezza e conformità. Alcune linee guida riguardano i tipi di dati e le raccomandazioni emesse dalle politiche di governance di un paese. Un processo di controllo richiede prove, che possono essere estratte dai log del database. Il controllo aiuta a prevenire l'accesso non autorizzato ai dati. Monitorando l'utilizzo dei dati, puoi indagare sulle false attività e intraprendere le azioni appropriate. Il controllo del database per la riservatezza, l'integrità e l'accessibilità dei dati aiuta a garantire la protezione dei dati. Per prevenire le violazioni dei dati, la migliore pratica è disporre sia della sicurezza del database che del controllo.

L'audit di SQL Server è un requisito per la conformità a standard di sicurezza, finanziari e sanitari come ISO/IEC 27001, il Payment Card Industry Data Security Standard (PCI DSS), BASEL III, il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea, Information Governance (IG) e l'Health Insurance Portability and Accountability Act (HIPAA).

## Obiettivi aziendali specifici
<a name="targeted-business-outcomes"></a>

Le organizzazioni implementano il controllo dei database e di SQL Server per diversi motivi, tra cui:
+ I revisori necessitano di dati significativi e contestuali per la conformità e il controllo. I registri di controllo DB sono adatti per i team DBA ma non per i revisori.
+ La capacità di generare avvisi critici in caso di violazione della sicurezza è un requisito fondamentale per i software su larga scala. È possibile utilizzare i registri di controllo per questo scopo, poiché le informazioni di registrazione aiutano a identificare e tenere traccia dei controlli di controllo.
+ Il controllo del database fornisce informazioni come le seguenti:
  + Chi ha avuto accesso ai dati, ad esempio sviluppatori DBAs, revisori, ingegneri dei processi di estrazione, trasformazione e caricamento (ETL)? DevOps 
  + Qual era lo stato precedente dei dati?
  + Quando sono stati aggiornati i dati, cosa è stato modificato e perché?
  + Una persona autorizzata ha approvato la richiesta?
  + Gli utenti interni utilizzano correttamente i propri privilegi?
+ Poiché gli audit trail aiutano a identificare gli infiltrati, aiutano a scoraggiare gli addetti ai lavori. Le persone che sanno che le proprie azioni vengono esaminate attentamente hanno meno probabilità di accedere a database non autorizzati o di manomettere dati specifici.
+ La finanza, la medicina, l'energia, la ristorazione, i lavori pubblici e molti altri settori devono analizzare l'accesso ai dati e produrre regolarmente report dettagliati per le agenzie governative. Ad esempio, le normative [HIPAA](https://www.hhs.gov/hipaa/index.html) richiedono agli operatori sanitari di fornire audit trail che descrivano in dettaglio chi ha avuto accesso ai dati nei loro registri, fino al livello di riga e di record. [Il GDPR](https://gdpr.eu/what-is-gdpr/) ha requisiti simili. Il [Sarbanes Oxley Act (SOX)](https://www.sarbanes-oxley-101.com/sarbanes-oxley-audits.htm) impone un'ampia gamma di regolamenti contabili alle società pubbliche. Queste organizzazioni devono analizzare l'accesso ai dati e produrre regolarmente report dettagliati.