Proteger SQL Server
Se aplica a: 
SQL Server
La protección de la seguridad en SQL Server conlleva una serie de pasos que afectan a cuatro áreas: la plataforma, la autenticación, los objetos (incluidos los datos) y las aplicaciones que tienen acceso al sistema. En este artículo se le guía por la creación e implementación de un plan de seguridad eficaz.
Puede buscar más información sobre la seguridad de SQL Server en Procedimiento recomendados de seguridad de SQL Server. En él encontrará una guía de prácticas recomendadas y una lista de comprobación de seguridad. Asegúrese de instalar los últimos Service Pack o las actualizaciones acumulativas.
Seguridad de plataformas y de redes
La plataforma de SQL Server incluye el hardware físico y los sistemas de redes que conectan los clientes con los servidores de bases de datos, así como los archivos binarios que se utilizan para procesar solicitudes de base de datos.
Seguridad física
Las recomendaciones de seguridad física limitan de forma estricta el acceso al servidor físico y a los componentes de hardware. Por ejemplo, use salas cerradas de acceso restringido para el hardware de servidor de base de datos y los dispositivos de red. Además, limite el acceso a los medios de copia de seguridad almacenándolos en una ubicación segura fuera de las instalaciones.
La implementación de la seguridad de la red física comienza por mantener a los usuarios no autorizados fuera de la red. Para más información, vea Procedimientos recomendados de seguridad de SQL Server: Amenazas de infraestructura.
Seguridad del sistema operativo
Los Service Packs y las actualizaciones del sistema operativo incluyen mejoras de seguridad importantes. Aplique todas las revisiones y actualizaciones al sistema operativo después de probarlas con las aplicaciones de base de datos.
Los firewalls también proporcionan formas eficaces de implementar la seguridad. Lógicamente, un firewall es un separador o limitador del tráfico de red, que puede configurarse para aplicar la directiva de seguridad de datos de su organización. Si utiliza un firewall, aumenta la seguridad del sistema operativo, ya que proporciona un cuello de botella en el que pueden concentrarse las medidas de seguridad. En la tabla siguiente se incluye más información sobre la forma de usar un firewall con SQL Server.
| Para obtener información sobre | Vea |
|---|---|
| Configurar un firewall para que funcione con SQL Server | Configuración de Firewall de Windows para el acceso al motor de base de datos |
| Configuración de un firewall para trabajar con Integration Services | Servicio Integration Services (servicio SSIS) |
| Configurar un firewall para que funcione con Analysis Services | Configurar Firewall de Windows para permitir el acceso a Analysis Services |
| Abrir puertos específicos de un firewall para permitir el acceso a SQL Server | Configure the Windows Firewall to Allow SQL Server Access (Configurar el Firewall de Windows para permitir el acceso a SQL Server) |
| Configurar la compatibilidad con Protección ampliada para la autenticación utilizando enlace de canal y enlace de servicio | Conectar al motor de base de datos con protección ampliada |
La reducción del área expuesta es una medida de seguridad que implica detener o deshabilitar los componentes que no se utilizan. La reducción del área expuesta ayuda a mejorar la seguridad al proporcionar menos accesos para ataques potenciales al sistema. La clave para limitar el área expuesta de SQL Server consiste en ejecutar los servicios requeridos que tienen "privilegios mínimos" concediendo exclusivamente los derechos necesarios a los servicios y los usuarios. En la tabla siguiente se incluye más información sobre el acceso al sistema y a los servicios.
| Para obtener información sobre | Vea |
|---|---|
| Servicios necesarios para SQL Server | Configurar los permisos y las cuentas de servicio de Windows |
Si el sistema SQL Server usa Internet Information Services (IIS), es necesario realizar pasos adicionales para proteger la superficie de la plataforma. En la tabla siguiente se incluye información sobre SQL Server e Internet Information Services.
| Para obtener información sobre | Vea |
|---|---|
| Seguridad de IIS con SQL Server Compact | Protección de SQL Server: seguridad del sistema operativo |
| Autenticación en Reporting Services | Autenticación de Windows en Reporting Services |
| Acceso a SQL Server Compact e IIS | Diagrama de flujo de seguridad de Internet Information Services |
Seguridad de los archivos del sistema operativo de SQL Server
SQL Server usa archivos del sistema operativo para el funcionamiento y el almacenamiento de datos. Los procedimientos recomendados de seguridad de archivos exigen que se restrinja el acceso a estos archivos. En la tabla siguiente se ofrece información sobre estos archivos.
| Para obtener información sobre | Vea |
|---|---|
| Archivos de programa de SQL Server | Ubicaciones de archivos para las instancias predeterminadas y con nombre de SQL Server |
SQL Server proporcionan una seguridad mejorada. Para determinar el último Service Pack disponible para SQL Server, vea el sitio web de SQL Server.
Puede usar el siguiente script para determinar el Service Pack instalado en el sistema:
SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
Entidades de seguridad y seguridad de objetos de base de datos
Las entidades de seguridad son los individuos, grupos y procesos que tienen acceso a SQL Server. Los "elementos protegibles" son el servidor, la base de datos y los objetos incluidos en la base de datos. Cada uno de estos elementos dispone de un conjunto de permisos que pueden configurarse para reducir el área expuesta de SQL Server. En la tabla siguiente se incluye información sobre las entidades de seguridad y los elementos protegibles.
| Para obtener información sobre | Vea |
|---|---|
| Usuarios, roles y procesos de servidor y base de datos | Entidades de seguridad (motor de base de datos) |
| Seguridad de objetos de servidor y base de datos | Elementos protegibles |
| Jerarquía de seguridad de SQL Server | Jerarquía de permisos (motor de base de datos) |
Cifrado y certificados
El cifrado no resuelve los problemas de control de acceso. Sin embargo, mejora la seguridad debido a que limita la pérdida de datos, incluso en el caso poco probable de que se superen los controles de acceso. Por ejemplo, si el equipo host de base de datos no está configurado correctamente y un usuario malintencionado obtiene datos confidenciales, como números de tarjetas de crédito, esa información robada podría resultar inservible si está cifrada. La tabla siguiente contiene más información acerca del cifrado en SQL Server.
| Para obtener información sobre | Vea |
|---|---|
| La jerarquía de cifrado en SQL Server | Jerarquía de cifrado |
| Implementar conexiones seguras | Habilitar conexiones cifradas en el motor de base de datos (Administrador de configuración de SQL Server) |
| Funciones de cifrado | Funciones criptográficas (Transact-SQL) |
Los certificados son "claves" de software que se comparten entre dos servidores que habilitan las comunicaciones seguras a través de una autenticación segura. Puede crear y usar certificados en SQL Server para mejorar la seguridad de objetos y conexiones. La tabla siguiente contiene información sobre cómo utilizar los certificados con SQL Server.
| Para obtener información sobre | Vea |
|---|---|
| Crear un certificado para utilizarlo con SQL Server | CREATE CERTIFICATE (Transact-SQL) |
| Usar un certificado para la creación de reflejo de la base de datos | Usar certificados para un punto de conexión de creación de reflejo de la base de datos (Transact-SQL) |
Seguridad de la aplicación
Programas de cliente
SQL Server incluye la escritura de aplicaciones cliente seguras. Para obtener más información sobre cómo proteger las aplicaciones cliente en el nivel de red, vea Client Network Configuration.
Control de aplicaciones de Windows Defender (WDAC)
Control de aplicaciones de Windows Defender (WDAC) evita la ejecución de código no autorizado. WDAC es una manera eficaz de mitigar la amenaza de malware basado en archivos ejecutables. Para obtener más información, vea la documentación Control de aplicaciones de Windows Defender.
Herramientas, utilidades, vistas y funciones de seguridad de SQL Server
SQL Server proporciona herramientas, utilidades, vistas y funciones que pueden utilizarse para configurar y administrar la seguridad.
Herramientas y utilidades de seguridad de SQL Server
En la tabla siguiente se incluye información acerca de las herramientas y utilidades de SQL Server que puede utilizar para configurar y administrar la seguridad.
| Para obtener información sobre | Vea |
|---|---|
| Conexión, configuración y control de SQL Server | Usar SQL Server Management Studio |
| Conectarse a SQL Server y ejecutar consultas en el símbolo del sistema | Utilidad sqlcmd |
| Control y configuración de red para SQL Server | Administrador de configuración de SQL Server |
| Habilitar y deshabilitar características con Administración basada en directiva | Administrar servidores mediante administración basada en directivas |
| Manipular claves simétricas para un servidor de informes | rskeymgmt (utilidad) (SSRS) |
Funciones y vistas de catálogo de seguridad de SQL Server
El motor de base de datos expone información de seguridad en varias vistas y funciones que se optimizan en cuanto a rendimiento y utilidad. En la tabla siguiente se incluye más información acerca de las funciones y vistas de seguridad.
| Para obtener información sobre | Vea |
|---|---|
| Vistas de catálogo de seguridad de SQL Server que devuelven información sobre los permisos de nivel de base de datos y de servidor, entidades de seguridad, roles, etc. También hay vistas de catálogo que proporcionan información acerca de las claves de cifrado, los certificados y las credenciales. | Vistas de catálogo de seguridad (Transact-SQL) |
| Las funciones de seguridad de SQL Server, que devuelven información sobre el usuario, los permisos y los esquemas actuales. | Funciones de seguridad (Transact-SQL) |
| Vistas de administración dinámica de seguridad de SQL Server | Funciones y vistas de administración dinámica relacionadas con la seguridad (Transact-SQL) |
Contenido relacionado
- Consideraciones de seguridad para una instalación de SQL Server
- Centro de seguridad para el Motor de base de datos de SQL Server y Azure SQL Database
- Procedimientos recomendados de seguridad de SQL Server 2012: tareas operativas y administrativas
- Cuaderno de estrategias para abordar requisitos de seguridad comunes con Azure SQL Database y Azure SQL Managed Instance
- Blog de seguridad de SQL Server
- Notas del producto de procedimientos recomendados de seguridad y seguridad de etiquetas
- Seguridad de nivel de fila
- Proteger su propiedad intelectual de SQL Server