Operação segura (Integration Services)
Em cada estágio do ciclo de vida de um pacote do Integration Services, é possível melhorar a segurança quando você gerencia pacotes implantados em um ambiente de produção adotando as seguintes medidas:
Você só deve abrir e executar pacotes de fontes confiáveis.
No que diz respeito ao funcionamento dos pacotes, isso significa verificar se existe uma assinatura válida todas as vezes que você abrir e executar um pacote.
Apenas usuários autorizados devem abrir e executar pacotes.
Quanto ao funcionamento dos pacotes, isso significa que você deve usar os recursos de segurança disponíveis no Integration Services, no SQL Server e no sistema de arquivos para atingir as seguintes metas:
Controlar o acesso a pacotes armazenados e aos arquivos adicionais associados a esses pacotes.
Controlar o acesso ao serviço Integration Services.
Verificar assinaturas digitais para identificar pacotes de origens confiáveis
Os pacotes podem ser assinados com certificados digitais. Esses certificados digitais identificam a pessoa ou a unidade organizacional que criou ou atualizou pela última vez os pacotes. Os administradores podem configurar o Integration Services para exigir uma assinatura válida e confiável para os pacotes, verificar as assinaturas quando abrir pacotes e alertar sobre pacotes não assinados ou rejeitá-los.
Os administradores podem configurar o Integration Services para verificar assinaturas em todos os pacotes ou em pacotes individuais:
Verifique as assinaturas de todos os pacotes definindo um valor do Registro. Você pode impor uma política que verifique as assinaturas de todos os pacotes carregados e executados em um computador; para isso, defina o valor opcional do Registro BlockedSignatureStates. Para obter mais informações, consulte Como implementar uma política de assinatura definindo um valor do Registro.
Verifique as assinaturas quando executar um pacote individual no utilitário dtexec (dtexec.exe). Você pode verificar a assinatura de um pacote individual especificando a opção VerifySigned na linha de comando dtexec. Para obter mais informações, consulte Utilitário dtexec (ferramenta SSIS).
Para obter mais informações sobre assinaturas digitais, consulte Usando assinaturas digitais com pacotes.
Controlar o acesso a pacotes e a arquivos criados ou usados por pacotes
Os pacotes podem ser armazenados no banco de dados msdb do SQL Server ou no sistema de arquivos:
Quando você armazena pacotes no SQL Server. É possível usar os recursos de segurança disponíveis no SQL Server e as funções de banco de dados fixas do Integration Services para controlar o acesso a pacotes armazenados. Para obter mais informações sobre essas funções, consulte Usando funções do Integration Services.
Quando você armazena pacotes no sistema de arquivos. É possível usar os recursos de segurança do Microsoft Windows e as ACLs (listas de controle de acesso) disponíveis no sistema de arquivos para controlar o acesso a pacotes armazenados.
Quando você executa pacotes, às vezes eles criam arquivos adicionais, como arquivos de configuração, de log e de ponto de verificação. Esses arquivos também podem conter dados confidenciais. Para obter informações sobre como controlar o acesso a esses arquivos adicionais, consulte Controlando o acesso aos arquivos usados por pacotes.
Controlar o acesso ao serviço Integration Services
Qualquer usuário que pode se conectar ao serviço Integration Services do Management Studio pode ver:
A lista de pacotes armazenados e os locais onde eles estão armazenados.
Os pacotes em execução iniciados pelo usuário. (Os administradores podem ver todos os pacotes em execução.)
Para obter informações sobre como controlar o acesso ao serviço Integration Services no Management Studio, consulte Controlando o acesso ao serviço Integration Services.
|