Обеспечение безопасности SQL Server
Применимо к:
SQL Server
Защиту SQL Server можно рассматривать как последовательность шагов, затрагивающих четыре области: платформу, проверку подлинности, объекты (включая данные) и приложения, получающие доступ к системе. В приведенных ниже разделах описано создание и реализация эффективного плана обеспечения безопасности.
Дополнительные сведения о безопасности SQL Server см. на веб-сайте SQL Server . Они включают руководство с рекомендациями и контрольный список безопасности. Кроме того, этот веб-сайт содержит сведения о пакетах обновлений и файлы для загрузки.
Безопасность платформы и сети
Платформа для SQL Server включает в себя физическое оборудование и сетевые компьютеры, с помощью которых клиенты соединяются с серверами базы данных, а также двоичные файлы, применяемые для обработки запросов базы данных.
Физическая безопасность
Рекомендуется строго ограничивать доступ к физическим серверам и компонентам оборудования. Например, оборудование сервера базы данных и сетевые устройства должны находиться в закрытых охраняемых помещениях. Доступ к резервным носителям также следует ограничить. Для этого их рекомендуется хранить в отдельных охраняемых помещениях.
Реализация физической сетевой безопасности начинается с запрета доступа неавторизованных пользователей к сети. Следующая таблица содержит дополнительные сведения об источниках сведений по сетевой безопасности.
| Сведения о | См. |
|---|---|
| SQL Server Compact и сетевой доступ к другим выпускам SQL Server | Раздел «Настройка и обеспечение безопасности среды сервера» в электронной документации по SQL Server Compact |
Безопасность операционной системы
В состав пакетов обновления и отдельных обновлений для операционной системы входят важные дополнения, позволяющие усилить безопасность. Все обновления для операционной системы необходимо устанавливать только после их тестирования с приложениями базы данных.
Кроме того, эффективную безопасность можно реализовать с помощью брандмауэров. Брандмауэр, распределяющий или ограничивающий сетевой трафик, можно настроить в соответствии с корпоративной политикой информационной безопасности. Использование брандмауэра повышает безопасность на уровне операционной системы, обеспечивая узкую область, на которой можно сосредоточить меры безопасности. Следующая таблица содержит дополнительные сведения по использованию брандмауэра с SQL Server.
| Сведения о | См. |
|---|---|
| Настройка брандмауэра для работы со службами SQL Server | Настройка брандмауэра Windows для доступа к компоненту Database Engine |
| Настройка брандмауэра для работы со службами Службы Integration Services | Службы Integration Services (службы SSIS) |
| Настройка брандмауэра для работы со службами Службы Analysis Services | Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services |
| Открытие конкретных портов брандмауэра, чтобы предоставить доступ к SQL Server | Настройка брандмауэра Windows для разрешения доступа к SQL Server |
| Настройка поддержки расширенной защиты для проверки подлинности с помощью привязки каналов и привязки служб | Соединение с компонентом Database Engine с использованием расширенной защиты |
Уменьшение контактной зоны является мерой безопасности, предполагающей остановку или отключение неиспользуемых компонентов. Уменьшение контактной зоны повышает уровень безопасности за счет уменьшения числа возможных способов атаковать систему. Важную роль в ограничении контактной зоны SQL Server играет запуск необходимых служб по принципу «минимума прав доступа», согласно которому службам и пользователям предоставляются только необходимые для работы права. Следующая таблица содержит дополнительные сведения по службам и доступу к системе.
| Сведения о | См. |
|---|---|
| Службы, необходимые для SQL Server | Настройка учетных записей службы Windows и разрешений |
Если в системе SQL Server используются службы IIS, необходимы дополнительные действия для обеспечения безопасности контактной зоны платформы. Следующая таблица содержит сведения о SQL Server и службах IIS.
| Сведения о | См. |
|---|---|
| Безопасность служб IIS в SQL Server Compact | «Безопасность служб IIS» в электронной документации по SQL Server Compact |
| Службы Reporting Services Проверка подлинности | Проверка подлинности в службах Reporting Services |
| SQL Server Compact и доступ к службам IIS | «Блок-схема безопасности служб IIS» в электронной документации по SQL Server Compact |
Безопасность файлов операционной системы SQL Server
SQL Server использует файлы операционной системы для работы и хранения данных. Оптимальным решением для обеспечения безопасности файлов будет ограничение доступа к ним. Следующая таблица содержит сведения об этих файлах.
| Сведения о | См. |
|---|---|
| SQL Server программные файлы | Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server |
SQL Server позволяют повысить безопасность. Для определения новейшего доступного пакета обновления для SQL Serverперейдите на веб-сайт SQL Server .
С помощью приведенного ниже скрипта можно определить установленный в системе пакет обновления.
SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
Безопасность участников и объектов базы данных
Участники — это отдельные пользователи, группы и процессы, которым предоставлен доступ к ресурсам SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. У каждого из них существует набор разрешений, с помощью которых можно уменьшить контактную зону SQL Server . Следующая таблица содержит сведения об участниках и защищаемых объектах.
| Сведения о | См. |
|---|---|
| Пользователи, роли и процессы сервера и базы данных | Субъекты (компонент Database Engine) |
| Безопасность объектов сервера и базы данных | Защищаемые объекты |
| Иерархия безопасности SQL Server | Иерархия разрешений (компонент Database Engine) |
Шифрование и сертификаты
Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если главный компьютер, на котором установлена база данных, был настроен неправильно, и злонамеренный пользователь смог получить конфиденциальные данные (например, номера кредитных карточек), то украденная информация будет бесполезна, если она была предварительно зашифрована. В следующей таблице содержатся дополнительные сведения о шифровании в SQL Server.
| Сведения о | См. |
|---|---|
| Иерархия шифрования в SQL Server | Иерархия средств шифрования |
| Реализация безопасных соединений | Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server) |
| Функции шифрования | Криптографические функции (Transact-SQL) |
Сертификаты — это совместно используемые на двух серверах программные «ключи», которые позволяют обеспечить безопасную передачу данных с помощью надежной проверки подлинности. SQL Server позволяет создавать и использовать сертификаты для повышения безопасности объектов и соединений. Следующая таблица содержит дополнительные сведения об использовании сертификатов с SQL Server.
| Сведения о | См. |
|---|---|
| Создание сертификата, который будет использоваться SQL Server | Инструкция CREATE CERTIFICATE (Transact-SQL) |
| Использование сертификатов при зеркальном отображении базы данных | Использование сертификатов для конечной точки зеркального отображения базы данных (Transact-SQL) |
Безопасность приложений
Клиентские программы
SQL Server рекомендуется разрабатывать защищенные клиентские приложения. Дополнительные сведения об обеспечении безопасности клиентских приложений на сетевом уровне см. в разделе Client Network Configuration.
Управление приложениями в Защитнике Windows (WDAC)
Управление приложениями в Защитнике Windows (WDAC) предотвращает попытки несанкционированного выполнения кода. WDAC является эффективным способом устранения угрозы со стороны вредоносных программ с исполняемыми файлами. Дополнительные сведения см. в подразделе документации Управление приложениями в Защитнике Windows.
Средства, программы, представления и функции безопасности SQL Server
SQL Server предусмотрены средства, программы, представления и функции, которые используются для настройки и управления безопасностью.
Средства и программы безопасности SQL Server
Следующая таблица содержит сведения о средствах и программах SQL Server , с помощью которых можно настраивать и администрировать безопасность.
| Сведения о | См. |
|---|---|
| Соединение с SQL Server | Использование среды SQL Server Management Studio |
| Соединение с SQL Server и запуск запросов из командной строки | Программа sqlcmd |
| Настройка сети и управление SQL Server | Диспетчер конфигурации SQL Server |
| Включение и отключение компонентов с помощью средства управления на основе политики | Администрирование серверов с помощью управления на основе политик |
| Управление симметричными ключами для сервера отчетов | Программа rskeymgmt (SSRS) |
Представления каталога и функции безопасности SQL Server
В компоненте Компонент Database Engine сведения о безопасности доступны через несколько представлений и функций, оптимизированных для наибольшей производительности и полезности. Следующая таблица содержит сведения о представлениях и функциях безопасности.
| Сведения о | См. |
|---|---|
| SQL Server представления каталога безопасности, которые возвращают сведения о разрешениях, участниках, ролях и других сущностях уровня базы данных и сервера. Кроме того, существуют представления каталога, содержащие сведения о ключах шифрования, сертификатах и учетных данных. | Представления каталога безопасности (Transact-SQL) |
| SQL Server , которые возвращают сведения о текущем пользователе, разрешениях и схемах. | Функции безопасности (Transact-SQL) |
| SQL Server . | Динамические административные представления и функции, связанные с безопасностью (Transact-SQL) |
См. также
Вопросы безопасности при установке SQL Server
Центр безопасности для ядра СУБД SQL Server и Базы данных Azure SQL
Оптимальные методы обеспечения безопасности SQL Server 2012 — рабочие и административные задачи
Сборник схем для выполнения типовых требований к безопасности Базы данных SQL Azure и Управляемого экземпляра SQL Azure
Блог по безопасности SQL Server
Оптимальные методы обеспечения безопасности и безопасность на уровне меток (технические описания)
Безопасность на уровне строк
Защита интеллектуальной собственности SQL Server