Praktik Terbaik Keamanan Replikasi
Berlaku untuk:
SQL Server
Replikasi memindahkan data di lingkungan terdistribusi mulai dari intranet pada satu domain ke aplikasi yang mengakses data antara domain yang tidak tepercaya dan melalui Internet. Penting untuk memahami pendekatan terbaik untuk mengamankan koneksi replikasi dalam keadaan yang berbeda ini.
Informasi berikut relevan dengan replikasi di semua lingkungan:
Enkripsi koneksi antara komputer dalam topologi replikasi menggunakan metode standar industri, seperti Virtual Private Networks (VPN), Transport Layer Security (TLS), yang sebelumnya dikenal sebagai Secure Sockets Layer (SSL), atau IP Security (IPSEC). Untuk informasi selengkapnya, lihat Mengaktifkan Koneksi terenkripsi ke Mesin Database (Pengelola Konfigurasi SQL Server). Untuk informasi tentang menggunakan VPN dan TLS untuk mereplikasi data melalui Internet, lihat Mengamankan Replikasi Melalui Internet.
Jika Anda menggunakan TLS untuk mengamankan koneksi antar komputer dalam topologi replikasi, tentukan nilai 1 atau 2 untuk parameter -EncryptionLevel dari setiap agen replikasi (nilai 2 disarankan). Nilai 1 menentukan bahwa enkripsi digunakan, tetapi agen tidak memverifikasi bahwa sertifikat server TLS/SSL ditandatangani oleh penerbit tepercaya; nilai 2 menentukan bahwa sertifikat diverifikasi. Parameter agen dapat ditentukan dalam profil agen dan pada baris perintah. Untuk informasi selengkapnya, lihat:
Jalankan setiap agen replikasi di bawah akun Windows yang berbeda, dan gunakan Autentikasi Windows untuk semua koneksi agen replikasi. Untuk informasi selengkapnya tentang menentukan akun, lihat Identitas dan kontrol akses untuk replikasi.
Hanya berikan izin yang diperlukan untuk setiap agen. Untuk informasi selengkapnya, lihat bagian "Izin yang Diperlukan oleh Agen" dari Model Keamanan Agen Replikasi.
Pastikan semua akun Agen Penggabungan dan Agen Distribusi berada dalam daftar akses publikasi (PAL). Untuk informasi selengkapnya, lihat Mengamankan Penerbit.
Ikuti prinsip hak istimewa paling sedikit dengan mengizinkan akun di PAL hanya izin yang mereka butuhkan untuk melakukan tugas replikasi. Jangan tambahkan login ke peran server tetap apa pun yang tidak diperlukan untuk replikasi.
Konfigurasikan berbagi rekam jepret untuk mengizinkan akses baca oleh semua Agen Penggabungan dan Agen Distribusi. Dalam kasus rekam jepret untuk publikasi dengan filter berparameter, pastikan bahwa setiap folder dikonfigurasi untuk mengizinkan akses hanya ke akun Agen Penggabungan yang sesuai.
Konfigurasikan berbagi rekam jepret untuk mengizinkan akses tulis oleh Agen Rekam Jepret.
Jika Anda menggunakan langganan penarikan, gunakan berbagi jaringan daripada jalur lokal untuk folder rekam jepret.
Jika topologi replikasi Anda menyertakan komputer yang tidak berada di domain yang sama atau berada di domain yang tidak memiliki hubungan kepercayaan satu sama lain, Anda dapat menggunakan Autentikasi Windows atau Autentikasi SQL Server untuk koneksi yang dibuat oleh agen (Untuk informasi selengkapnya tentang domain, lihat dokumentasi Windows). Disarankan sebagai praktik terbaik keamanan yang Anda gunakan Autentikasi Windows.
Untuk menggunakan Autentikasi Windows:
Tambahkan akun Windows lokal (bukan akun domain) untuk setiap agen pada simpul yang sesuai (gunakan nama dan kata sandi yang sama di setiap simpul). Misalnya, Agen Distribusi untuk langganan push berjalan di Distributor dan membuat koneksi ke Distributor dan Pelanggan. Akun Windows untuk Agen Distribusi harus ditambahkan ke Distributor dan Pelanggan.
Pastikan bahwa agen tertentu (misalnya Agen Distribusi untuk langganan) berjalan di bawah akun yang sama di setiap komputer.
Untuk menggunakan Autentikasi SQL Server:
Tambahkan akun SQL Server untuk setiap agen pada simpul yang sesuai (gunakan nama akun dan kata sandi yang sama di setiap simpul). Misalnya, Agen Distribusi untuk langganan push berjalan di Distributor dan membuat koneksi ke Distributor dan Pelanggan. Akun SQL Server untuk Agen Distribusi harus ditambahkan ke Distributor dan Pelanggan.
Pastikan bahwa agen tertentu (misalnya Agen Distribusi untuk langganan) membuat koneksi di bawah akun yang sama di setiap komputer.
Dalam situasi yang memerlukan Autentikasi SQL Server, akses ke berbagi rekam jepret UNC sering tidak tersedia (misalnya akses mungkin diblokir oleh firewall). Dalam hal ini, Anda dapat mentransfer rekam jepret ke Pelanggan melalui protokol transfer file (FTP). Untuk informasi selengkapnya, lihat Mentransfer Rekam Jepret Melalui FTP.
Lihat Juga
Mengaktifkan Koneksi terenkripsi ke Mesin Database (Pengelola Konfigurasi SQL Server)
Replikasi melalui Internet
Mengamankan Pelanggan
Mengamankan Distributor
Mengamankan Publisher
Menampilkan dan mengubah pengaturan keamanan replikasi
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk