Ajánlott replikációs biztonsági eljárások

A következőkre vonatkozik:SQL ServerAzure SQL Managed Instance

A replikáció elosztott környezetekben helyezi át az adatokat az egyetlen tartományban lévő intranetektől az olyan alkalmazásokig, amelyek nem megbízható tartományok és az interneten keresztül férnek hozzá az adatokhoz. Fontos megérteni a replikációs kapcsolatok biztonságossá tételének legjobb megközelítését ezekben a különböző körülmények között.

Az alábbi információk minden környezetben a replikáció szempontjából relevánsak:

• A replikációs topológiában lévő számítógépek közötti kapcsolatokat egy iparági szabványnak megfelelő módszerrel titkosíthatja, például a virtuális magánhálózatok (VPN), a transport layer security (TLS), korábbi nevén Secure Sockets Layer (SSL) vagy az IPSec használatával. További információ: Titkosított kapcsolatok engedélyezése az adatbázismotorhoz (SQL Server Configuration Manager) Az adatok interneten keresztüli replikálására szolgáló VPN és TLS használatával kapcsolatos információkért lásd : Replikáció biztonságossá tétele az interneten keresztül.

  Ha a TLS 1.2-t használja a replikációs topológiában lévő számítógépek közötti kapcsolatok védelmére, adja meg az 1 egyes replikációs ügynökök paraméterének 2-EncryptionLevel vagy paraméterének értékét (ez az érték 2 ajánlott). Az érték 1 azt határozza meg, hogy a rendszer titkosítást használ-e, de az ügynök nem ellenőrzi, hogy a TLS/SSL-kiszolgáló tanúsítványát megbízható kiállító írta-e alá; az érték 2 azt határozza meg, hogy a tanúsítvány hitelesítve van-e. A felügyelt Azure SQL-példány támogatja a TLS 1.3-at a felügyelt Azure SQL-példányokból, illetve az SQL Server 2025-ös és újabb verzióiból érkező kapcsolatokhoz egy érték 3megadásával. A felügyelt Azure SQL-példány, valamint az SQL Server 2025-ös és újabb verziói támogatják a TLS 1.3-at az SQL Serverrel való kapcsolatokhoz egy érték 4megadásával.

  Az ügynökökkel való munkával kapcsolatos információkért lásd:

  • Replikációs ügynök parancssori paramétereinek megtekintése és módosítása (SQL Server Management Studio)

  • Replikációs ügynökprofilok kezelése

  • A replikációs ügynök végrehajtható fájlok fogalmai

• Futtassa az egyes replikációs ügynököket egy másik Windows-fiókban, és használja a Windows-hitelesítést az összes replikációs ügynök kapcsolatához. További információ a fiókok megadásáról: Identitás és hozzáférés-vezérlés a replikációhoz.

• Csak a szükséges engedélyeket adja meg az egyes ügynököknek. További információt a replikációs ügynök biztonsági modelljének "Az ügynökök által szükséges engedélyek" című szakaszában talál.

• Győződjön meg arról, hogy az összes Merge Agent és Distribution Agent fiók szerepel a közzétételi hozzáférési listán (PAL). További információ: A közzétevő védelme.

• Kövesse a minimális jogosultság elvét úgy, hogy csak a replikációs feladatok elvégzéséhez szükséges engedélyeket engedélyezi a PAL-fiókok számára. Ne adja hozzá a bejelentkezéseket olyan rögzített kiszolgálói szerepkörökhöz, amelyek nem szükségesek a replikációhoz.

• Konfigurálja a pillanatkép-megosztást úgy, hogy az összes egyesítési ügynök és terjesztési ügynök olvasási hozzáférést engedélyezhessen. Paraméteres szűrőkkel rendelkező kiadványok pillanatképei esetén győződjön meg arról, hogy minden mappa úgy van konfigurálva, hogy csak a megfelelő egyesítési ügynökfiókokhoz engedélyezze a hozzáférést.

• Konfigurálja a pillanatkép-megosztást úgy, hogy a Pillanatkép-ügynök írási hozzáférést engedélyezhessen.

• Lekéréses előfizetések használata esetén a pillanatképmappa helyi elérési útja helyett használjon hálózati megosztást.

Ha a replikációs topológia olyan számítógépeket tartalmaz, amelyek nem ugyanabban a tartományban vannak, vagy olyan tartományokban vannak, amelyek nem rendelkeznek megbízhatósági kapcsolattal egymással, használhatja a Windows-hitelesítést vagy az SQL Server-hitelesítést az ügynökök által létesített kapcsolatokhoz (a tartományokkal kapcsolatos további információkért tekintse meg a Windows dokumentációját). Ajánlott biztonsági ajánlott eljárásként használni a Windows-hitelesítést.

• Windows-hitelesítés használata:

  • Adjon hozzá egy helyi Windows-fiókot (nem tartományi fiókot) minden ügynökhöz a megfelelő csomópontokon (használja ugyanazt a nevet és jelszót az egyes csomópontokon). A leküldéses előfizetés terjesztési ügynöke például a forgalmazónál fut, és kapcsolatot létesít a terjesztővel és az előfizetővel. A terjesztési ügynök Windows-fiókját hozzá kell adni a forgalmazóhoz és az előfizetőhöz.

  • Győződjön meg arról, hogy egy adott ügynök (például egy előfizetés terjesztési ügynöke) ugyanazon a fiókon fut minden számítógépen.

• SQL Server-hitelesítés használata:

  • Adjon hozzá egy SQL Server-fiókot minden ügynökhöz a megfelelő csomópontokon (használja ugyanazt a fióknevet és jelszót az egyes csomópontokon). A leküldéses előfizetés terjesztési ügynöke például a forgalmazónál fut, és kapcsolatot létesít a terjesztővel és az előfizetővel. A terjesztési ügynök SQL Server-fiókját hozzá kell adni a forgalmazóhoz és az előfizetőhöz.

  • Győződjön meg arról, hogy egy adott ügynök (például egy előfizetés terjesztési ügynöke) minden számítógépen ugyanazon fiók alatt létesít kapcsolatokat.

  • Az SQL Server-hitelesítést igénylő helyzetekben az UNC pillanatkép-megosztásokhoz való hozzáférés gyakran nem érhető el (például a hozzáférést tűzfal blokkolja). Ebben az esetben a pillanatképet fájlátviteli protokollon (FTP) keresztül továbbíthatja az előfizetőknek. További információ: Pillanatképek átvitele FTP-vel.

A biztonsági állapot javítása az adatbázis főkulcs használatával

Megjegyzés:

Az ebben a szakaszban található utasítások jelenleg az SQL Server 2022 CU18-at és újabb verzióit, valamint az SQL Server 2019 CU31-es és újabb verzióit tartalmazzák. Ezek az utasítások nem alkalmazhatók a felügyelt Azure SQL-példányokra.

Ha SQL Server-hitelesítést használ a replikációhoz, a replikáció konfigurálásakor megadott titkos kulcsok az SQL Serveren belül lesznek tárolva– különösen a terjesztési adatbázisban, illetve lekéréses előfizetések esetén az előfizetői adatbázisban is.

A replikáció biztonsági helyzetének javítása a replikáció konfigurálása előtt:

• Hozzon létre egy adatbázis-főkulcsot (DMK) a forgalmazót üzemeltető kiszolgáló terjesztési adatbázisában.
• Lekéréses előfizetésekhez hozzon létre egy DMK-t is az előfizetői adatbázisban.

Ha a replikáció a DMK előtt jött létre, először hozza létre a DMK-t, majd frissítse a replikációs titkos kulcsokat a replikációs feladatok jelszavainak frissítésével. Frissítheti a feladatot ugyanazzal a jelszóval, vagy használhat új jelszót.

A replikációs titkos kulcsok frissítéséhez használja az alábbi tárolt eljárások egyikét a replikációs feladatok jelszavainak frissítéséhez:

• sp_changelogreader_agent
• sp_changesubscriber
• sp_changedistpublisher
• sp_changepublication_snapshot

Ha DMK nélkül konfigurálja a tranzakciós replikációt, az SQL Server figyelmeztetést 14130 eredményezhet:

• Azure SQL Managed Instance
• SQL Server 2022 CU18 és újabb verziók
• SQL Server 2019 CU31 és újabb verziók

Kapcsolódó tartalom

• Titkosított kapcsolatok engedélyezése az adatbázismotorhoz (SQL Server Configuration Manager)
• Replikáció az interneten keresztül
• Az előfizető védelme
• A forgalmazó védelme
• A Közzétevő védelme
• Replikációs biztonsági beállítások megtekintése és módosítása