Mitigar amenazas y vulnerabilidades (replicación)
Se aplica a: SQL Server Azure SQL Managed Instance
En este tema se describen las técnicas para reducir las amenazas a una topología de replicación.
Cifrado
El cifrado es el proceso de convertir datos en un formato que no puede leerse sin una clave especial, por lo que solamente el destinatario previsto puede leer los datos. La replicación no cifra datos almacenados en tablas o enviados mediante conexiones de red. Es así por diseño, porque el cifrado está disponible en el nivel de transporte con varias tecnologías, incluidas las siguientes tecnologías estándar: redes privadas virtuales (VPN), Seguridad de la capa de transporte (TLS), capa de sockets seguros (SSL) y seguridad IP (IPSEC). Se recomienda utilizar uno de estos métodos de cifrado para las conexiones entre equipos en una topología de replicación. Para obtener más información, vea Habilitar conexiones cifradas en el motor de base de datos (Administrador de configuración de SQL Server). Para obtener información sobre cómo utilizar VPN y TLS para replicar datos en Internet, vea Proteger la replicación a través de Internet.
Si utiliza TLS para proteger las conexiones entre equipos en una topología de replicación, especifique un valor de 1 o 2 para el parámetro -EncryptionLevel de cada agente de replicación (se recomienda utilizar el valor 2). El valor 1 especifica que se debe utilizar el cifrado, pero el agente no comprueba si el certificado de servidor TLS/SSL está firmado por una entidad de confianza; un valor 2 indica que se debe comprobar el certificado. Los parámetros del agente se pueden especificar en los perfiles del agente y en la línea de comandos. Para más información, vea:
La replicación tiene el siguiente comportamiento respecto a las claves maestras de bases de datos, que se utilizan para cifrar datos:
Si existe una clave maestra en una base de datos que interviene en la replicación (una base de datos de publicaciones, una base de datos de suscripciones o una base de datos de distribución), la replicación cifra y descifra contraseñas de agentes en la base de datos con una clave simétrica de base de datos de SQL Server 2012 (11.x). Si se utilizan claves maestras, debe crearse una en cada base de datos que interviene en la replicación. Para más información sobre la creación de claves maestras, consulte CREATE MASTER KEY (Transact-SQL).
La replicación no replica claves maestras. Si necesita la clave maestra en el suscriptor, debe exportarla de la base de datos de publicación mediante BACKUP MASTER KEY y, a continuación, importarla en la base de datos de suscripciones con RESTORE MASTER KEY. Para más información, consulte BACKUP MASTER KEY (Transact-SQL) y RESTORE MASTER KEY (Transact-SQL).
Si se define una clave maestra para una base de datos de suscripciones que se puede adjuntar, especifique la contraseña de la clave maestra con el parámetro
@db_master_key_password
de sp_attachsubscription (Transact-SQL). Esto permite adjuntar la base de datos al suscriptor.
Para obtener más información sobre el cifrado y las claves maestras, vea Encryption Hierarchy.
La replicación le permite publicar datos de columna cifrados. Para descifrar y usar estos datos en el suscriptor, la clave usada para cifrar los datos en el publicador también debe estar presente en el suscriptor. La replicación no ofrece un mecanismo de seguridad para transportar las claves de cifrado. Debe volver a crear manualmente la clave de cifrado en el suscriptor. Para más información, consulte Replicar datos en columnas cifradas (SQL Server Management Studio).