Безопасное развертывание (службы Integration Services)
Как и на любой другой стадии жизненного цикла пакета служб Integration Services, при развертывании пакетов с компьютеров разработчиков на другие компьютеры можно повысить безопасность пакетов, приняв следующие меры.
Открывать и запускать только пакеты из доверенных источников.
По отношению к развертыванию пакетов это означает, что источник пакета должен быть обозначен с помощью цифрового сертификата.
Обеспечение открытия и запуск пакетов только зарегистрированными пользователями
В отношении развертывания пакетов это значит, что необходимо использовать средства безопасности служб Integration Services, SQL Server и файловой системы в следующих целях.
Защита содержимого пакетов заданием уровня защиты пакета.
Управлять доступом к пакету и связанным с ним дополнительным файлам с помощью средств безопасности файловой системы.
Определение источника пакетов с помощью цифровых подписей
Пакет можно подписать цифровым сертификатом, который идентифицирует частное лицо или организационную единицу, создавшую этот пакет или изменившую ее в последний раз. Кроме того, администраторы могут указать в системном реестре или командной строке команды dtexec дополнительные параметры, чтобы настроить службы Integration Services для выполнения следующих задач.
Требование действительной доверенной подписи для пакета.
Проверка цифровой подписи при открывании пакета.
Предупредить об отсутствии подписи или отклонить неподписанные пакеты.
Дополнительные сведения о цифровых подписях см. в следующих разделах:
Защита содержимого пакетов с помощью установки уровня защиты
Установив свойство пакета ProtectionLevel, можно зашифровать все конфиденциальные данные, содержащиеся в этом пакете — например, пароли, или все содержимое пакета. Например, можно установить следующие уровни защиты.
Можно полностью удалить конфиденциальные данные, выбрав параметр DontSaveSensitive.
Выбрав параметр EncryptSensitiveWithPassword, можно обеспечить видимость конфиденциальных данных только для тех пользователей, кто вводит пароль.
Выбрав параметр EncryptAllWithPassword, можно обеспечить загрузку и выполнение пакета только для тех пользователей, кто вводит пароль.
Не забудьте удалить параметры EncryptSensitiveWithUserKey и EncryptAllWithUserKey при развертывании пакетов на других компьютерах. Во время разработки можно установить параметр EncryptSensitiveWithUserKey, чтобы только разработчик мог видеть конфиденциальные данные. Также во время разработки можно установить параметр EncryptAllWithUserKey, чтобы только разработчик мог загружать и запускать пакет. Однако при развертывании этого пакета на других компьютерах указанные параметры не дадут никому, кроме создателя пакета, загружать и запускать его. Более того, эти два параметра препятствуют созданию расписания выполнения пакета с помощью агента SQL Server.
Во время разработки можно использовать пониженный уровень защиты пакета. Однако после развертывания пакета, вероятно, понадобится установить более высокий уровень защиты.
При импорте или развертывании пакетов в SQL Server становится доступен уровень защиты ServerStorage для совместного использования с ролями служб Integration Services. Дополнительные сведения об этих ролях см. в разделе Использование ролей служб Integration Services.
Дополнительные сведения см. в разделе Установка уровня защиты пакетов.
Управление доступом к развернутым пакетам и файлам, созданным или используемым этими пакетами
При развертывании пакетов их можно сохранять либо в базе данных msdb в SQL Server, либо в файловой системе.
При хранении пакетов в SQL Server. Для управления доступом к хранящимся пакетам можно использовать средства безопасности SQL Server и предопределенные роли базы данных служб Integration Services. Дополнительные сведения об этих ролях см. в разделе Использование ролей служб Integration Services.
При хранении пакетов в файловой системе. Для управления доступом к хранящимся пакетам можно использовать средства безопасности Microsoft Windows и списки управления доступом файловой системы.
При развертывании пакетов иногда используются дополнительные файлы, например файлы конфигурации. Эти файлы также могут содержать конфиденциальные данные. Дополнительные сведения об управлении доступом к таким дополнительным файлам см. с разделе Управление доступом к файлам, используемым пакетами.
|