Лучшие практики безопасности репликации

применимо к:SQL ServerУправляемому экземпляру SQL Azure

Репликация перемещает данные в распределенных средах, начиная с внутренних сетей в рамках одного домена и заканчивая приложениями, обеспечивающими передачу данных между доменами без доверия, а также через Интернет. Чтобы обеспечить безопасность соединения при репликации, важно выбрать способ, соответствующий конкретным обстоятельствам.

Сведения, указанные ниже, необходимо учитывать при проведении репликации в любых средах:

• При шифровании соединения между компьютерами, занятыми в топологии репликации, необходимо использовать общепризнанную стандартную технологию, такую как виртуальная частная сеть (VPN), протокол TLS (ранее — SSL) или IP-безопасность (IPSEC). Дополнительные сведения см. в статье Включение шифрования соединений в компоненте Database Engine (диспетчер конфигурации SQL Server). Сведения об использовании VPN и TLS для репликации данных через Интернет см. в разделе Защита репликации через Интернет.

  Если вы используете TLS 1.2 для защиты подключений между компьютерами в топологии репликации, укажите значение 1 или 2 параметр -EncryptionLevel каждого агента репликации ( 2 рекомендуется). Значение указывает, что используется шифрование, но агент не проверяет, подписан ли сертификат сервера TLS/SSL доверенным издателем. 1 Значение 2 указывает, что сертификат проверен. Управляемый экземпляр SQL Azure поддерживает TLS 1.3 для подключений, поступающих из управляемых экземпляров SQL Azure, или SQL Server 2025 и более поздних версий, указав значение 3. Управляемый экземпляр SQL Azure и SQL Server 2025 и более поздние версии поддерживают TLS 1.3 для подключений к SQL Server, указав значение 4.

  Сведения о работе с агентами см. в следующем разделе:

  • Просмотр и изменение параметров командной строки агента репликации (SQL Server Management Studio)

  • Работа с профилями агента репликации

  • Концепции исполняемых файлов репликационного агента

• При запуске каждого агента репликации необходимо использовать новую учетную запись Windows, а в отношении всех соединений агента репликации применять проверку подлинности Windows. Дополнительные сведения об указании учетных записей см. в статье Идентификатор и управление доступом для репликации.

• Предоставляйте каждому из агентов только те разрешения, которые необходимы. Дополнительные сведения см. в подразделе «Разрешения, необходимые для агентов» раздела Replication Agent Security Model.

• Убедитесь в том, что все учетные записи агента слияния и агента распространителя находятся в списке доступа к публикации (PAL). Дополнительные сведения см. в статье Организация безопасности издателя.

• Учетным записям в PAL необходимо давать только те права, которые им необходимы для выполнения задач репликации. Не добавляйте имена входа в фиксированные роли сервера, которые не требуются для репликации.

• Настройте хранилище моментального снимка таким образом, чтобы оно было доступно для чтения всем агентам слияния и агентам распространителя. При работе с моментальными снимками для публикаций с параметризованными фильтрами убедитесь, что настройки каждой папки разрешают доступ к ней только учетным записям соответствующих Merge Agent.

• Настройте хранилище моментального снимка таким образом, чтобы оно было доступно для записи агенту моментальных снимков.

• Если вы используете подписки по запросу, используйте общий сетевой ресурс для папки моментальных снимков, а не локальный путь.

Если топология репликации включает компьютеры, которые не находятся в одном домене или находятся в доменах, которые не имеют отношений доверия друг с другом, можно использовать проверку подлинности Windows или проверку подлинности SQL Server для подключений, сделанных агентами (Дополнительные сведения о доменах см. в документации По Windows). В качестве метода, обеспечивающего наилучшую защиту, рекомендуется использовать проверку подлинности Windows.

• Чтобы использовать проверку подлинности Windows:

  • Добавьте локальную учетную запись Windows (но не учетную запись домена) для каждого агента в соответствующих узлах (в каждом узле используйте одно и то же имя и пароль). Например, агент распространения для принудительной подписки работает на распространителе и устанавливает соединения с распространителем и подписчиком. Учетная запись Windows для агента распространения должна быть добавлена на распространитель и подписчика.

  • Убедитесь, что такой агент, например агент распространителя для подписки, запускается под одной и той же учетной записью на каждом компьютере.

• Чтобы использовать проверку подлинности SQL Server, выполните приведенные действия.

  • Добавьте учетную запись SQL Server для каждого агента на соответствующих узлах (используйте одно и то же имя учетной записи и пароль на каждом узле). Например, агент распространения для принудительной подписки работает на распространителе и устанавливает соединения с распространителем и подписчиком. Учетная запись SQL Server агента распространения должна быть добавлена к распространителю и подписчику.

  • Убедитесь, что такой агент, например агент распространителя для подписки, устанавливает соединения под одной и той же учетной записью на каждом компьютере.

  • В ситуациях, требующих аутентификации SQL Server, доступ к общим папкам снимков UNC часто недоступен (например, доступ может быть заблокирован брандмауэром). В таком случае моментальный снимок может быть передан подписчикам при помощи протокола передачи данных (FTP). Дополнительные сведения см. в статье Передача моментальных снимков через FTP.

Повышение уровня безопасности с помощью главного ключа базы данных

Замечание

Инструкции в этом разделе применимы к SQL Server 2022 CU18 и более поздних версий, а также к SQL Server 2019 CU31 и более поздним версиям. Эти инструкции не применимы к Управляемому экземпляру SQL Azure.

При использовании проверки подлинности SQL Server для репликации секреты, которые вы предоставляете при настройке репликации, хранятся в SQL Server — в частности, в распределительной базе данных и, для подписок, выполняемых с выборкой, также в базе данных подписчика.

Чтобы повысить уровень безопасности для репликации, перед началом настройки репликации выполните следующие действия.

• Создайте главный ключ базы данных (DMK) в базе данных распространителя сервера, на котором размещен распространитель.
• Для пулл-подписок также создайте DMK в базе данных подписчика.

Если репликация была создана перед dmK, сначала создайте dmK, а затем обновите секреты репликации, обновив пароли для заданий репликации. Задание можно обновить с тем же паролем или использовать новый пароль.

Чтобы обновить секреты репликации, используйте одну из следующих соответствующих хранимых процедур для обновления паролей для заданий репликации:

• sp_changelogreader_agent
• sp_changesubscriber
• sp_changedistpublisher
• sp_changepublication_snapshot

Настройка репликации транзакций без мастер-ключа базы данных может привести к предупреждению 14130 в SQL Server:

• Управляемый экземпляр SQL Azure
• SQL Server 2022 CU18 и более поздние версии
• SQL Server 2019 CU31 и позже

Связанный контент

• Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server)
• Репликация через Интернет
• Защита подписчика
• Защита распространителя
• Защита издателя
• Просмотр и изменение параметров безопасности репликации