Обеспечение безопасности SQL Server
Обеспечение безопасности SQL Server можно представить как последовательность шагов в четырех областях: платформа, проверка подлинности, объекты (в том числе данные) и приложения, которые обращаются к системе. В приведенных ниже разделах описано создание и реализация эффективного плана обеспечения безопасности.
Дополнительные сведения о безопасности SQL Server см. на веб-сайте SQL Server. Они включают руководство с рекомендациями и контрольный список безопасности. Кроме того, этот веб-сайт содержит сведения о пакетах обновлений и файлы для загрузки.
Безопасность платформы и сети
Платформа для SQL Server включает в себя физическое оборудование и сетевые компьютеры, с помощью которых клиенты соединяются с серверами базы данных, а также двоичные файлы, применяемые для обработки запросов базы данных.
Физическая безопасность
Рекомендуется строго ограничивать доступ к физическим серверам и компонентам оборудования. Например, оборудование сервера базы данных и сетевые устройства должны находиться в закрытых охраняемых помещениях. Доступ к резервным носителям также следует ограничить. Для этого их рекомендуется хранить в отдельных охраняемых помещениях.
Реализация физической сетевой безопасности начинается с запрета доступа неавторизованных пользователей к сети. Следующая таблица содержит дополнительные сведения об источниках сведений по сетевой безопасности.
Сведения о |
См. |
---|---|
SQL Server Compact и сетевой доступ к другим выпускам SQL Server |
Раздел «Настройка и обеспечение безопасности среды сервера» в электронной документации по SQL Server Compact |
Безопасность операционной системы
В состав пакетов обновления и отдельных обновлений для операционной системы входят важные дополнения, позволяющие усилить безопасность. Все обновления для операционной системы необходимо устанавливать только после их тестирования с приложениями базы данных.
Кроме того, эффективную безопасность можно реализовать с помощью брандмауэров. Брандмауэр, распределяющий или ограничивающий сетевой трафик, можно настроить в соответствии с корпоративной политикой информационной безопасности. Использование брандмауэра повышает безопасность на уровне операционной системы, обеспечивая узкую область, на которой можно сосредоточить меры безопасности. Следующая таблица содержит дополнительные сведения по использованию брандмауэра с SQL Server.
Сведения о |
См. |
---|---|
Настройка брандмауэра для работы с SQL Server |
Настройка брандмауэра Windows для доступа к компоненту Database Engine |
Настройка брандмауэра для работы со службами Службы Integration Services |
Настройка параметров брандмауэра Windows для доступа к службам SSIS |
Настройка брандмауэра для работы со службами Analysis Services |
Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services |
Открытие конкретных портов брандмауэра, чтобы предоставить доступ к SQL Server |
Настройка брандмауэра Windows для разрешения доступа к SQL Server |
Настройка поддержки расширенной защиты для проверки подлинности с помощью привязки каналов и привязки служб |
Соединение с компонентом Database Engine с использованием расширенной защиты |
Уменьшение контактной зоны является мерой безопасности, предполагающей остановку или отключение неиспользуемых компонентов. Уменьшение контактной зоны повышает уровень безопасности за счет уменьшения числа возможных способов атаковать систему. Важную роль в ограничении контактной зоны SQL Server играет запуск необходимых служб по принципу «минимума прав доступа», согласно которому службам и пользователям предоставляются только необходимые для работы права. Следующая таблица содержит дополнительные сведения по службам и доступу к системе.
Сведения о |
См. |
---|---|
Службы, необходимые для SQL Server |
Если в системе SQL Server используются службы IIS, необходимы дополнительные действия для обеспечения безопасности контактной зоны платформы. Следующая таблица содержит сведения о SQL Server и службах IIS.
Сведения о |
См. |
---|---|
Безопасность служб IIS в SQL Server Compact |
«Безопасность служб IIS» в электронной документации по SQL Server Compact |
Проверка подлинности служб Службы Reporting Services |
|
SQL Server Compact и доступ к службам IIS |
«Блок-схема безопасности служб IIS» в электронной документации по SQL Server Compact |
Безопасность файлов операционной системы SQL Server
SQL Server использует файлы операционной системы для работы и хранения данных. Оптимальным решением для обеспечения безопасности файлов будет ограничение доступа к ним. Следующая таблица содержит сведения об этих файлах.
Сведения о |
См. |
---|---|
Исполняемые файлы SQL Server |
Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server |
Обновления и пакеты обновления для SQL Server позволяют повысить безопасность. Для определения новейшего доступного пакета обновления для SQL Server перейдите на веб-сайт SQL Server.
С помощью приведенного ниже скрипта можно определить установленный в системе пакет обновления.
SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
GO
Безопасность участников и объектов базы данных
Участники — это отдельные пользователи, группы и процессы, которым предоставлен доступ к ресурсам SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. У каждого из них существует набор разрешений, с помощью которых можно уменьшить контактную зону SQL Server. Следующая таблица содержит сведения об участниках и защищаемых объектах.
Сведения о |
См. |
---|---|
Пользователи, роли и процессы сервера и базы данных |
|
Безопасность объектов сервера и базы данных |
|
Иерархия безопасности SQL Server |
Шифрование и сертификаты
Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если главный компьютер, на котором установлена база данных, был настроен неправильно, и злонамеренный пользователь смог получить конфиденциальные данные (например, номера кредитных карточек), то украденная информация будет бесполезна, если она была предварительно зашифрована. В следующей таблице содержатся дополнительные сведения о шифровании в SQL Server.
Сведения о |
См. |
---|---|
Иерархия шифрования в SQL Server |
|
Реализация безопасных соединений |
Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server) |
Функции шифрования |
Сертификаты — это совместно используемые на двух серверах программные «ключи», которые позволяют обеспечить безопасную передачу данных с помощью надежной проверки подлинности. SQL Server позволяет создавать и использовать сертификаты для повышения безопасности объектов и соединений. Следующая таблица содержит дополнительные сведения об использовании сертификатов с SQL Server.
Сведения о |
См. |
---|---|
Создание сертификата, который будет использоваться SQL Server |
|
Использование сертификатов при зеркальном отображении базы данных |
Использование сертификатов для конечной точки зеркального отображения базы данных (Transact-SQL) |
Безопасность приложений
Безопасность в SQL Server, помимо прочего, обеспечивается разработкой защищенных клиентских приложений.
Дополнительные сведения об обеспечении безопасности клиентских приложений на сетевом уровне см. в разделе Конфигурация клиентской сети.
Средства, программы, представления и функции безопасности SQL Server
В SQL Server предусмотрены средства, программы, представления и функции, которые используются для настройки и управления безопасностью.
Средства и программы безопасности SQL Server
Следующая таблица содержит сведения о средствах и программах SQL Server, с помощью которых можно настраивать и администрировать безопасность.
Сведения о |
См. |
---|---|
Соединение с SQL Server, настройка сервера и управление им |
|
Соединение с SQL Server и запуск запросов из командной строки |
|
Настройка сети и управление SQL Server |
|
Включение и отключение компонентов с помощью средства управления на основе политики |
Администрирование серверов с помощью управления на основе политик |
Управление симметричными ключами для сервера отчетов |
Представления каталога и функции безопасности SQL Server
В компоненте Компонент Database Engine сведения о безопасности доступны через несколько представлений и функций, оптимизированных для наибольшей производительности и полезности. Следующая таблица содержит сведения о представлениях и функциях безопасности.
Сведения о |
См. |
---|---|
Представления каталога безопасности SQL Server возвращают сведения о разрешениях, участниках, ролях и других сущностях уровня базы данных и сервера. Кроме того, существуют представления каталога, содержащие сведения о ключах шифрования, сертификатах и учетных данных. |
|
Функции безопасности SQL Server, которые возвращают сведения о текущем пользователе, разрешениях и схемах. |
|
Динамические административные представления SQL Server. |
Динамические административные представления и функции, связанные с безопасностью (Transact-SQL) |
См. также
Анализ безопасности при установке SQL Server
Защита и обеспечение безопасности (компонент Database Engine)