David Gešvindr MCSA: SQL Server | MSP | MCITP | MCPD.

Slides:



Advertisements
Podobné prezentace
Základy jazyka SQL Jan Tichava
Advertisements

Základy databázových systémů
Aplikační a programové vybavení
Přednáška č. 5 Proces návrhu databáze
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
Souborové systémy.
Microsoft SQL server Databázový systém. Úvod  aktuální verze na trhu je MS SQL  verze: plná komerční - Enterprise Edition pro vyzkoušení volně.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
SQL Lukáš Masopust Historie  Předchůdcem databází byly papírové kartotéky  děrný štítek  1959 konference  1960 – vytvořen jazyk COBOL.
Uživatelé, Role, Schémata
Caché Security. Jak vypadá zabezpečení dnes Jak bude vypadat a co by Caché měla umět v budoucnu Včera, dnes a zítra.
Databázové systémy II Přednáška č. 2 RNDr. David Žák, Ph.D. Fakulta elektrotechniky a informatiky
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Petr Šetka, MVP Exchange, MCSE:Messaging, MCT Windows Small Business Server 2003 R2.
Adresářová služba Active directory
Databázové systémy II Přednáška č. 8 – Pohledy (Views)
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
Databázové systémy teorie a návrh relačních databázových systémů část II.
JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.
Tomáš Urych, ESO9 Intranet a.s.
Vypracoval: Ondřej Dvorský Třída: VIII.A
Databázové systémy. Práce s daty Ukládání dat Aktualizace dat Vyhledávání dat Třídění dat Výpočty a agregace.
Bezpečnost IS David Krch Solutions Specialist IS Technolog. Fyzická Osobní Organizační Komplexní pohled na bezpečnost Technolog. IS.
Informatika pro ekonomy II přednáška 10
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
Principals, Securables, Schema Vít Ochozka. Entity databáze - zdroje Securables –Entity databáze (zdroje), ke kterým SQL reguluje přístup podle práv –Hierachie.
Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s
Administrace Oracle Práva a role, audit Filip Řepka 2010.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Databázové systémy II Přednáška V Ing. Tomáš Váňa, Ing. Jiří Zechmeister Fakulta elektrotechniky a informatiky
Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant.
Databázové systémy II Přednáška č. 9. Transakce je logická jednotka práce sestávající z jednoho nebo více SQL příkazů, které jsou atomické z hlediska.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Using Cache’s Security Features Štefan Havlíček. Proč se starat o zabezpečení aplikací Když to neuděláte: Když to neuděláte: –Vaše rodina bude prodána.
Aplikační role Vít Ochozka. K čemu nám slouží Omezit přístup k databázi AKORD jen prostřednictvím konkrétní aplikace Jiné aplikace – MS excel, MS access,
Copyright (C) 2000 Vema, a. s.1 V3 klient Michal Máčel Provozní integrace G2, HR/Win a internetu.
DATABÁZOVÉ SYSTÉMY. 2 DATABÁZOVÝ SYSTÉM SYSTÉM ŘÍZENÍ BÁZE DAT (SŘBD) PROGRAM KTERÝ ORGANIZUJE A UDRŽUJE NASHROMÁŽDĚNÉ INFORMACE DATABÁZOVÁ APLIKACE PROGRAM.
Autentizace a účty v AD. Autentizace stanice v AD.
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
Obchodní akademie, Ostrava-Poruba, příspěvková organizace Vzdělávací materiál/DUM VY_32_INOVACE_01B13 Autor Ing. Jiří Kalousek Období vytvoření březen.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
OCHRANA DAT – JEDNODUŠE A ZCELA BEZPEČNĚ! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.,
T - SOFT spol. s r.o. Systém integrované bezpečnosti Mgr. Pavel Hejl, CSc 2007.
Selektivní šifrování dat v databázích
Microsoft SQL server Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí.
Delphi a databáze MS SQL Server.
Databázové systémy Zabezpečení DBS. Cíle, které je třeba vzít v úvahu při návrhu databázové aplikace z pohledu bezpečnosti: Důvěrnost - informace by neměly.
Pohled uživatele.
Skupinové politiky.
1. 2 Zabezpečená mobilní komunikace 3 Private Circle chrání Vaši komunikaci před odposlechem či narušením. Jedná se o komplexní řešení pro zabezpečení.
Zabezpečení. GPO Security Settings Comp Conf – Win Settings – Security Settings Account Policies – Password Policy – požadavky na hesla uživatelů Doménová.
Uživatelské účty, Skupiny
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Šifrování Boot možnosti Sedí dva velmi smutní informatici v serverové místnosti. Přijde k nim třetí a ptá se: "A.
Bezpečnostní popisovače ACL. Popisovač zabezpečení  Popisovač zabezpečení – sada informací o řízení přístupu - zabezpečení, spojené se zabezpečeným objektem.
© 2016 InterSystems Corporation. All rights reserved. Integrace OAuth 2.0 a OpenID Connect.
Bezpečnost a ochrana dat. SODATSW spol. s r.o. SODATSW od roku 1997 pomáhá svými unikátními řešeními zvyšovat ochranu informací je výrobcem softwarových.
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Bc. David Gešvindr MCT | MSP | MCTS | MCITP | MCPD.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Bezpečnostní technologie I
Databázové systémy přednáška 6 – Indexy
Roman Danel Institut ekonomiky a systémů řízení 2016
Soubor Soubor v informatice označuje pojmenovanou sadu dat uloženou na nějakém datovém médiu, se kterou lze pracovat nástroji operačního systému jako.
Databázové systémy I Přednáška 11 Databázové systémy 1 – KIT/IDAS1
Identity management v UIS
Informatika pro ekonomy přednáška 8
Zabezpečení www stránek
Přednáška 9 Triggery.
Transkript prezentace:

David Gešvindr MCSA: SQL Server | MSP | MCITP | MCPD

1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

Fyzické zabezpečení serveru Použití firewallů Izolace služeb Virtualizace jednotlivých serverů Servisní účty mají minimální oprávnění Domain User

Výchozí instance (Default Instance) Identifikována jménem počítače na kterém běží mssql.fi.muni.cz Pojmenovaná instance (Named Instance) Identifikována jménem počítače a navíc i jménem instance mssql.fi.muni.cz\web mssql.fi.muni.cz\studenti Browser Service

1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

Autentizace Proces ověření identity uživatele Autorizace Přiřazení oprávnění uživateli

Windows Autentication Nezasílá se jméno a heslo při ověření Proces/služba přistupující k SQL je ověřen automaticky operačním systémem Doporučený postup Mixed SQL and Windows Autentication SQL ověřování kvůli starším aplikacím a scénářům, kde nelze využít Windows ověřování Nevýhodou je vznik většího množství účtů

Je určen loginem připojeným k dané session Autentizační token obsahuje informace o primární a sekundárních identitách Určuje práva přístupu k securables objektům v daném spojení Může se během spojení měnit!

dbo Speciální uživatel s nejvyššími právy v DB Automaticky se na něj mapují SA a sysadmins Nemůže být odstraněn Guest Mapují se na něj loginy, které nemají přístup k databázi Lze jej zakázat

Novinka v SQL Serveru 2012 User with password Pozor na Ztrátu kontroly nad správou uživatelů Připojení contained databáze (restricted_user) Politiky hesel, off-line útok na hesla Překrytí loginu Účet Guest

1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

Přidělení oprávnění k provedení operace nad objektem (securable) danému uživateli (principal) Securable objekty Server Database Schema

Kontejner na objekty, jmenný prostor Vždy existuje výchozí schéma DBO Uživatel může mít určeno výchozí schéma Vyhledání objektu bez určeného schématu: 1.Výchozí schéma uživatele 2.Schéma DBO 3.Objekt neexistuje

GRANT přiřadí právo k dané operaci DENY explicitně zakazuje provedení operace REVOKE odebírá definici oprávnění Permissions Granted Permissions Granted Permissions Denied Permissions Denied GRANT REVOKE No Permissions DENY REVOKE

WITH GRANT Stejné jako GRANT ale navíc právo předávat dál Při odebírání možnost CASCADE

Operace SELECT Možné definovat oprávnění i na úrovni sloupců Narušení principu DENY/GRANT Operace INSERT, UPDATE, DELETE Právo REFERENCES

EXECUTE Spuštění uložené procedury ALTER Změna zdrojového kódu VIEW DEFINITION Zobrazení původního zdrojového kódu EXECUTE AS Možnost spustit USP jako někdo jiný

1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

SQLAgentUserRole Správa vlastních jobů SQLAgentReaderRole Předchozí + ostatní joby ke čtení SQLAgentOperatorRole Plná správa SQL Agenta

T-SQL steps Vlastník Pokud je to sysadmin SQL Server Agent service account může určit někoho jiného Ostatní druhy kroků Členové sysadmin mohou použít SQL Server Agent account Použití proxy účtů

Obsahují Windows Autentication informace pro přístup k zdrojům mimo SQL Server SQL Login může být svázán jen s jedním objektem Credential

Je třeba určit subsystém pro použití Nastavují se práva, kdo jej smí použít Job stepProxyCredentialResource

1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

Proč dělat v SQL Serveru audit? Podporované způsoby auditování: C2 Audit Mode Common Criteria Triggery SQL Trace SQL Audit

Trusted Computer System Evaluation Criteria (TCSEC) C2 – kontrolovaná ochrana přístupu jemněji definované řízení přístupu individuální zodpovědnost díky přihlašovacím procedurám sledování auditem opětovné užití izolace zdrojů

Loguje se každý přístup ke každému securable objektu Obrovské množství informací v logu Pokud nefunguje auditování, je zastaven SQL Server Pozor na volné místo na disku Tento režim bude v budoucí verzi odebrán Standard je překonán Common Criteria

Mezinárodní standard (ISO/IEC 15408) pro certifikaci počítačové bezpečnosti Target of Evaluation (ToE) Protection Profile (PP) Security Target (ST) Security Functional Requirements (SFRs) Security Assurance Requirements (SARs) Evaluation Assurance Level (EAL)

Po aktivaci se v SQL Serveru změní: Residual Information Protection (RIP) The ability to view login statistics That column GRANT should not override table DENY Pro plnou podporu CC je třeba instalovat skript co změní další nastavení

DML Triggery DDL Triggery Logon Triggery Nevýhody Brzdí zpracování dotazů Mohou být zakázány Neleze logovat přístup k datům přes SELECT Zákaz rekurzivních triggerů Problém s pořadím spouštění

SQL Server Profiler Spouštěn interaktivně Náročný na zdroje Sleduje operace v SQL Serveru SQL Trace Sada uložených procedur které umožňují vytvořit sledování Může být aktivován z aplikace Malý dopad na výkon pokud jsou události dobře filtrované

Od verze 2008 nativní podpora auditování Využívá Extended Events Nový mechanizmus pro zpracování událostí Snadno rozšiřitelný Database-level audit pouze Enterprise verze Vytvoření auditu Vytvoření specifikace auditu

1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

Zabezpečení dat před off-line přístupem Způsoby: BitLocker Transparent Data Encryption (TDE) Zabudované šifrovací funkce SQL Serveru Ukládání šifrovaných dat již z aplikace

Symetrické Stejný klíč použit pro šifrování i dešifrování Asymetrické Pár klíčů, jeden pro šifrování, druhý pro dešifrování

Šifrovací klíče s identifikací vlastníka Veřejný klíč subjektu Identifikační údaje Platnost Identifikace vydavatele Podpis vydavatele

Šifrování dat a transakčního logu v reálném čase 1.Vytvořit „master key“ 2.Vytvořit nebo získat certifikát zabezpečený „master key“ 3.Vytvořit encryption key a zabezpečit jej certifikátem 4.Povolit šifrování

1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat