Обеспечение безопасности SQL Server
Применимо к:
SQL Server
Защита SQL Server может рассматриваться как ряд шагов, включающих четыре области: платформу, проверку подлинности, объекты (включая данные) и приложения, которые обращаются к системе. В этой статье описывается создание и реализация эффективного плана безопасности.
Дополнительные сведения о безопасности SQL Server см. в рекомендациях по обеспечению безопасности SQL Server. Они включают руководство с рекомендациями и контрольный список безопасности. Не забудьте установить последний пакет обновления или накопительное обновление.
Безопасность платформы и сети
Платформа SQL Server включает физические аппаратные и сетевые системы, подключающие клиентов к серверам базы данных, а также двоичные файлы, используемые для обработки запросов к базе данных.
Физическая безопасность
Рекомендуется строго ограничивать доступ к физическим серверам и компонентам оборудования. Например, оборудование сервера базы данных и сетевые устройства должны находиться в закрытых охраняемых помещениях. Кроме того, ограничьте доступ к резервному копированию носителей, сохраняя его в безопасном расположении вне сайта.
Реализация физической сетевой безопасности начинается с запрета доступа неавторизованных пользователей к сети. Дополнительные сведения см . в рекомендациях по обеспечению безопасности SQL Server — угрозы инфраструктуры.
Безопасность операционной системы
В состав пакетов обновления и отдельных обновлений для операционной системы входят важные дополнения, позволяющие усилить безопасность. Все обновления для операционной системы необходимо устанавливать только после их тестирования с приложениями базы данных.
Кроме того, эффективную безопасность можно реализовать с помощью брандмауэров. Брандмауэр, распределяющий или ограничивающий сетевой трафик, можно настроить в соответствии с корпоративной политикой информационной безопасности. Если вы используете брандмауэр, вы повышаете безопасность на уровне операционной системы, предоставляя задушевную точку, в которой можно сосредоточить меры безопасности. В следующей таблице содержатся дополнительные сведения об использовании брандмауэра с SQL Server.
| Сведения | Смотрите |
|---|---|
| Настройка брандмауэра для работы с SQL Server | Настройка брандмауэра Windows для доступа к компоненту Database Engine |
| Настройка брандмауэра для работы со службами Integration Services | Службы Integration Services (службы SSIS) |
| Настройка брандмауэра для работы с службами Analysis Services | Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services |
| Открытие определенных портов в брандмауэре для включения доступа к SQL Server | Настройка брандмауэра Windows для разрешения доступа к SQL Server |
| Настройка поддержки расширенной защиты для проверки подлинности с помощью привязки каналов и привязки служб | Соединение с компонентом Database Engine с использованием расширенной защиты |
Уменьшение контактной зоны является мерой безопасности, предполагающей остановку или отключение неиспользуемых компонентов. Уменьшение контактной зоны повышает уровень безопасности за счет уменьшения числа возможных способов атаковать систему. Ключ к ограничению области поверхности SQL Server включает выполнение обязательных служб, имеющих "наименьшие привилегии", предоставляя службы и пользователям только соответствующие права. Следующая таблица содержит дополнительные сведения по службам и доступу к системе.
| Сведения | Смотрите |
|---|---|
| Службы, необходимые для SQL Server | Настройка учетных записей службы Windows и разрешений |
Если в системе SQL Server используется службы IIS (IIS), необходимо выполнить дополнительные действия, чтобы защитить поверхность платформы. В следующей таблице содержатся сведения о SQL Server и службы IIS.
| Сведения | Смотрите |
|---|---|
| Безопасность IIS с помощью SQL Server Compact | Защита SQL Server — безопасность операционной системы |
| Проверка подлинности служб Reporting Services | Проверка подлинности в службах Reporting Services |
| Доступ к SQL Server Compact и IIS | Блок-схема безопасности службы IIS |
Безопасность файлов операционной системы SQL Server
SQL Server использует файлы операционной системы для операций и хранилища данных. Рекомендации по обеспечению безопасности файлов требуют ограничения доступа к этим файлам. Следующая таблица содержит сведения об этих файлах.
| Сведения | Смотрите |
|---|---|
| Файлы программы SQL Server | Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server |
Пакеты обновления и обновления SQL Server обеспечивают повышенную безопасность. Чтобы определить последний доступный пакет обновления для SQL Server, см . веб-сайт SQL Server .
С помощью приведенного ниже скрипта можно определить установленный в системе пакет обновления.
SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
Субъекты и безопасность объектов базы данных
Субъекты — это лица, группы и процессы, которым предоставлен доступ к SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. Каждый из них имеет набор разрешений, которые можно настроить для уменьшения области поверхности SQL Server. Следующая таблица содержит сведения об участниках и защищаемых объектах.
| Сведения | Смотрите |
|---|---|
| Пользователи, роли и процессы сервера и базы данных | Субъекты (ядро СУБД) |
| Безопасность объектов сервера и базы данных | Защищаемые объекты |
| Иерархия безопасности SQL Server | Иерархия разрешений (ядро СУБД) |
Шифрование и сертификаты
Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если главный компьютер, на котором установлена база данных, был настроен неправильно, и злонамеренный пользователь смог получить конфиденциальные данные (например, номера кредитных карточек), то украденная информация будет бесполезна, если она была предварительно зашифрована. В следующей таблице содержатся дополнительные сведения о шифровании в SQL Server.
| Сведения | Смотрите |
|---|---|
| Иерархия шифрования в SQL Server | Иерархия средств шифрования |
| Реализация безопасных соединений | Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server) |
| Функции шифрования | Криптографические функции (Transact-SQL) |
Сертификаты — это совместно используемые на двух серверах программные «ключи», которые позволяют обеспечить безопасную передачу данных с помощью надежной проверки подлинности. Вы можете создавать и использовать сертификаты в SQL Server для повышения безопасности объектов и подключений. В следующей таблице содержатся сведения об использовании сертификатов с SQL Server.
| Сведения | Смотрите |
|---|---|
| Создание сертификата для использования SQL Server | CREATE CERTIFICATE (Transact-SQL) |
| Использование сертификатов при зеркальном отображении базы данных | Использование сертификатов для конечной точки зеркального отображения базы данных (Transact-SQL) |
Безопасность приложений
Клиентские программы
Рекомендации по безопасности SQL Server включают написание защищенных клиентских приложений. Дополнительные сведения об обеспечении безопасности клиентских приложений на сетевом уровне см. в разделе Client Network Configuration.
Управление приложениями в Защитнике Windows (WDAC)
Управление приложениями в Защитнике Windows (WDAC) предотвращает попытки несанкционированного выполнения кода. WDAC является эффективным способом устранения угрозы со стороны вредоносных программ с исполняемыми файлами. Дополнительные сведения см. в подразделе документации Управление приложениями в Защитнике Windows.
Средства безопасности SQL Server, служебные программы, представления и функции
SQL Server предоставляет средства, служебные программы, представления и функции, которые можно использовать для настройки и администрирования безопасности.
Средства безопасности и служебные программы SQL Server
В следующей таблице содержатся сведения о средствах и служебных программах SQL Server, которые можно использовать для настройки и администрирования безопасности.
| Сведения | Смотрите |
|---|---|
| Подключение для, настройки и управления SQL Server | Использование среды SQL Server Management Studio |
| Подключение в SQL Server и выполнение запросов в командной строке | Программа sqlcmd |
| Конфигурация сети и управление для SQL Server | Диспетчер конфигурации SQL Server |
| Включение и отключение компонентов с помощью средства управления на основе политики | Администрирование серверов с помощью управления на основе политик |
| Управление симметричными ключами для сервера отчетов | Служебная программа rskeymgmt (SSRS) |
Представления и функции каталога безопасности SQL Server
Ядро СУБД предоставляет сведения о безопасности в нескольких представлениях и функциях, оптимизированных для производительности и служебной программы. Следующая таблица содержит сведения о представлениях и функциях безопасности.
| Сведения | Смотрите |
|---|---|
| Представления каталога безопасности SQL Server, возвращающие сведения о разрешениях уровня базы данных и уровня сервера, субъектах, ролях и т. д. Кроме того, существуют представления каталога, содержащие сведения о ключах шифрования, сертификатах и учетных данных. | Представления каталога безопасности (Transact-SQL) |
| Функции безопасности SQL Server, возвращающие сведения о текущем пользователе, разрешениях и схемах. | Функция безопасности (Transact-SQL) |
| Динамические административные представления SQL Server. | Динамические административные представления и функции, связанные с безопасностью (Transact-SQL) |
Связанный контент
- Вопросы безопасности при установке SQL Server
- Центр безопасности для ядра СУБД SQL Server и Базы данных Azure SQL
- Оптимальные методы обеспечения безопасности SQL Server 2012 — рабочие и административные задачи
- Сборник схем для выполнения типовых требований к безопасности Базы данных SQL Azure и Управляемого экземпляра SQL Azure
- Блог по безопасности SQL Server
- Оптимальные методы обеспечения безопасности и безопасность на уровне меток (технические описания)
- Безопасность на уровне строк
- Защита интеллектуальной собственности SQL Server
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по