Sichere Bereitstellung (Integration Services)
Wie in jeder Phase des Lebenszyklus eines Integration Services-Pakets können Sie die Sicherheit beim Bereitstellen von Paketen von Entwicklungscomputern auf andere Computer mit folgenden Maßnahmen erhöhen:
Stellen Sie sicher, dass Sie nur Pakete von vertrauenswürdigen Quellen öffnen und ausführen.
Im Hinblick auf die Paketbereitstellung bedeutet dies, die Quelle von Paketen zu identifizieren, indem diese Pakete mit digitalen Zertifikaten signiert werden.
Stellen Sie sicher, dass Pakete nur von autorisierten Benutzern geöffnet und ausgeführt werden.
Im Hinblick auf die Paketbereitstellung bedeutet dies, dass Sie die in Integration Services, SQL Server und im Dateisystem verfügbaren Sicherheitsfeatures verwenden sollten, um folgende Ziele zu erreichen:
Schützen Sie den Inhalt von Paketen, indem Sie die Schutzebene des Pakets festlegen.
Kontrollieren Sie mithilfe der Dateisystemsicherheit den Zugriff sowohl auf die Pakete als auch auf die zusätzlichen Dateien, die mit diesen Paketen verknüpft sind.
Identifizieren der Quelle von Paketen mit digitalen Signaturen
Sie können ein Paket mit einem digitalen Zertifikat signieren, das die Einzelperson oder die Organisationseinheit identifiziert, die das Paket erstellt oder zuletzt geändert hat. Dann können Administratoren optionale Einstellungen in der Registrierung oder in der dtexec-Befehlszeile angeben, um Integration Services für die folgenden Tasks zu konfigurieren:
Anfordern einer gültigen und vertrauenswürdigen Signatur für das Paket.
Überprüfen der Signatur beim Öffnen eines Pakets.
Warnen bei nicht signierten Paketen oder Ablehnen dieser Pakete.
Weitere Informationen zu digitalen Signaturen finden Sie unter folgenden Themen:
Schützen des Inhalts von Paketen durch Festlegen der Schutzebene
Durch Festlegen der ProtectionLevel-Eigenschaft eines Pakets können Sie vertrauliche Daten wie Kennwörter, die das Paket enthält, oder den gesamten Inhalt des Pakets schützen. Sie können beispielsweise folgende Schutzebenen angeben:
Sie können vertrauliche Daten vollständig entfernen, indem Sie die DontSaveSensitive-Option aktivieren.
Durch Auswahl der EncryptSensitiveWithPassword-Option können Sie sicherstellen, dass nur die Benutzer, die ein Kennwort bereitstellen, die vertraulichen Daten sehen können.
Durch Auswahl der EncryptAllWithPassword-Option können Sie sicherstellen, dass nur die Benutzer, die ein Kennwort bereitstellen, das Paket laden und ausführen können.
Stellen Sie sicher, die EncryptSensitiveWithUserKey-Option und die EncryptAllWithUserKey-Option zu entfernen, wenn Sie ein Paket auf anderen Computern bereitstellen. Während der Entwicklungsphase kann ein Entwickler die EncryptSensitiveWithUserKey-Option festlegen, um zu gewährleisten, dass nur er die vertraulichen Daten sehen kann. Entsprechend kann ein Entwickler die EncryptAllWithUserKey-Option festlegen, um zu gewährleisten, dass nur er das Paket laden und ausführen kann. Wenn Sie ein Paket auf anderen Computern bereitstellen, verhindern diese Optionen, dass ein anderer Benutzer als der Ersteller des Pakets dieses Paket laden und ausführen kann. Außerdem verhindern diese beiden Optionen, dass Sie das Paket mit SQL Server-Agent planen.
Während der Entwicklung könnte ein Entwickler eine niedrigere Einstellung für die Schutzebenen verwenden. Beim Bereitstellen des Pakets bietet sich jedoch eine höhere Einstellung für die Schutzebene an.
Wenn Sie Pakete in SQL Server importieren oder bereitstellen, werden die ServerStorage-Schutzebene sowie die Integration Services-Rollen verfügbar. Weitere Informationen zu diesen Rollen finden Sie unter Verwenden von Integration Services-Rollen.
Weitere Informationen finden Sie unter Festlegen der Paketschutzebene.
Kontrollieren des Zugriffs auf bereitgestellte Pakete und auf Dateien, die von Paketen erstellt oder verwendet werden
Beim Bereitstellen von Paketen können Sie entscheiden, ob sie in der msdb-Datenbank in SQL Server oder im Dateisystem gespeichert werden sollen.
Wenn Sie Pakete in SQL Server speichern. Sie können die in SQL Server verfügbaren Sicherheitsfeatures und die festen Integration Services-Rollen auf Datenbankebene zum Steuern des Zugriffs auf gespeicherte Pakete verwenden. Weitere Informationen zu diesen Rollen finden Sie unter Verwenden von Integration Services-Rollen.
Wenn Sie Pakete im Dateisystem speichern. Sie können die in Microsoft Windows verfügbaren Sicherheitsfeatures und die im Dateisystem verfügbaren Zugriffssteuerungslisten zum Steuern des Zugriffs auf gespeicherte Pakete verwenden.
Wenn Sie Pakete bereitstellen, könnte die Bereitstellung weitere Dateien z. B. Konfigurationsdateien einschließen. Diese Dateien könnten auch vertrauliche Daten enthalten. Informationen zum Steuern des Zugriffs auf diese zusätzlichen Dateien finden Sie unter Steuern des Zugriffs auf Dateien, die von Paketen verwendet werden.
|