Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

David Gešvindr MCSA: SQL Server | MSP | MCITP | MCPD.

ZveřejnilAntonín Marek

Podobné prezentace

Prezentace na téma: "David Gešvindr MCSA: SQL Server | MSP | MCITP | MCPD."— Transkript prezentace:

1 David Gešvindr MCSA: SQL Server | MSP | MCITP | MCPD

2 1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

3 1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

4 Fyzické zabezpečení serveru Použití firewallů Izolace služeb Virtualizace jednotlivých serverů Servisní účty mají minimální oprávnění Domain User

5 Výchozí instance (Default Instance) Identifikována jménem počítače na kterém běží mssql.fi.muni.cz Pojmenovaná instance (Named Instance) Identifikována jménem počítače a navíc i jménem instance mssql.fi.muni.cz\web mssql.fi.muni.cz\studenti Browser Service

6 1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

7 Autentizace Proces ověření identity uživatele Autorizace Přiřazení oprávnění uživateli

8 Windows Autentication Nezasílá se jméno a heslo při ověření Proces/služba přistupující k SQL je ověřen automaticky operačním systémem Doporučený postup Mixed SQL and Windows Autentication SQL ověřování kvůli starším aplikacím a scénářům, kde nelze využít Windows ověřování Nevýhodou je vznik většího množství účtů

9

10 Je určen loginem připojeným k dané session Autentizační token obsahuje informace o primární a sekundárních identitách Určuje práva přístupu k securables objektům v daném spojení Může se během spojení měnit!

11 dbo Speciální uživatel s nejvyššími právy v DB Automaticky se na něj mapují SA a sysadmins Nemůže být odstraněn Guest Mapují se na něj loginy, které nemají přístup k databázi Lze jej zakázat

12 Novinka v SQL Serveru 2012 User with password Pozor na Ztrátu kontroly nad správou uživatelů Připojení contained databáze (restricted_user) Politiky hesel, off-line útok na hesla Překrytí loginu Účet Guest

13 1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

14 Přidělení oprávnění k provedení operace nad objektem (securable) danému uživateli (principal) Securable objekty Server Database Schema

15

16 Kontejner na objekty, jmenný prostor Vždy existuje výchozí schéma DBO Uživatel může mít určeno výchozí schéma Vyhledání objektu bez určeného schématu: 1.Výchozí schéma uživatele 2.Schéma DBO 3.Objekt neexistuje

17 GRANT přiřadí právo k dané operaci DENY explicitně zakazuje provedení operace REVOKE odebírá definici oprávnění Permissions Granted Permissions Granted Permissions Denied Permissions Denied GRANT REVOKE No Permissions DENY REVOKE

18 WITH GRANT Stejné jako GRANT ale navíc právo předávat dál Při odebírání možnost CASCADE

19 Operace SELECT Možné definovat oprávnění i na úrovni sloupců Narušení principu DENY/GRANT Operace INSERT, UPDATE, DELETE Právo REFERENCES

20 EXECUTE Spuštění uložené procedury ALTER Změna zdrojového kódu VIEW DEFINITION Zobrazení původního zdrojového kódu EXECUTE AS Možnost spustit USP jako někdo jiný

21 1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

22 SQLAgentUserRole Správa vlastních jobů SQLAgentReaderRole Předchozí + ostatní joby ke čtení SQLAgentOperatorRole Plná správa SQL Agenta

23 T-SQL steps Vlastník Pokud je to sysadmin SQL Server Agent service account může určit někoho jiného Ostatní druhy kroků Členové sysadmin mohou použít SQL Server Agent account Použití proxy účtů

24 Obsahují Windows Autentication informace pro přístup k zdrojům mimo SQL Server SQL Login může být svázán jen s jedním objektem Credential

25 Je třeba určit subsystém pro použití Nastavují se práva, kdo jej smí použít Job stepProxyCredentialResource

26 1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

27 Proč dělat v SQL Serveru audit? Podporované způsoby auditování: C2 Audit Mode Common Criteria Triggery SQL Trace SQL Audit

28 Trusted Computer System Evaluation Criteria (TCSEC) C2 – kontrolovaná ochrana přístupu jemněji definované řízení přístupu individuální zodpovědnost díky přihlašovacím procedurám sledování auditem opětovné užití izolace zdrojů

29 Loguje se každý přístup ke každému securable objektu Obrovské množství informací v logu Pokud nefunguje auditování, je zastaven SQL Server Pozor na volné místo na disku Tento režim bude v budoucí verzi odebrán Standard je překonán Common Criteria

30 Mezinárodní standard (ISO/IEC 15408) pro certifikaci počítačové bezpečnosti Target of Evaluation (ToE) Protection Profile (PP) Security Target (ST) Security Functional Requirements (SFRs) Security Assurance Requirements (SARs) Evaluation Assurance Level (EAL)

31 Po aktivaci se v SQL Serveru změní: Residual Information Protection (RIP) The ability to view login statistics That column GRANT should not override table DENY Pro plnou podporu CC je třeba instalovat skript co změní další nastavení

32 DML Triggery DDL Triggery Logon Triggery Nevýhody Brzdí zpracování dotazů Mohou být zakázány Neleze logovat přístup k datům přes SELECT Zákaz rekurzivních triggerů Problém s pořadím spouštění

33 SQL Server Profiler Spouštěn interaktivně Náročný na zdroje Sleduje operace v SQL Serveru SQL Trace Sada uložených procedur které umožňují vytvořit sledování Může být aktivován z aplikace Malý dopad na výkon pokud jsou události dobře filtrované

34 Od verze 2008 nativní podpora auditování Využívá Extended Events Nový mechanizmus pro zpracování událostí Snadno rozšiřitelný Database-level audit pouze Enterprise verze Vytvoření auditu Vytvoření specifikace auditu

35

36 1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

37 Zabezpečení dat před off-line přístupem Způsoby: BitLocker Transparent Data Encryption (TDE) Zabudované šifrovací funkce SQL Serveru Ukládání šifrovaných dat již z aplikace

38

39 Symetrické Stejný klíč použit pro šifrování i dešifrování Asymetrické Pár klíčů, jeden pro šifrování, druhý pro dešifrování

40 Šifrovací klíče s identifikací vlastníka Veřejný klíč subjektu Identifikační údaje Platnost Identifikace vydavatele Podpis vydavatele

41 Šifrování dat a transakčního logu v reálném čase 1.Vytvořit „master key“ 2.Vytvořit nebo získat certifikát zabezpečený „master key“ 3.Vytvořit encryption key a zabezpečit jej certifikátem 4.Povolit šifrování

42

43

44

45 1.Úvod do bezpečnosti SQL Serveru 2.Autentizace 3.Autorizace 4.Bezpečnost SQL Agenta 5.Auditování 6.Šifrování dat

Stáhnout ppt "David Gešvindr MCSA: SQL Server | MSP | MCITP | MCPD."

Podobné prezentace

Základy jazyka SQL Jan Tichava

Základy jazyka SQL Jan Tichava
Základy databázových systémů

Základy databázových systémů
Aplikační a programové vybavení

Aplikační a programové vybavení
Přednáška č. 5 Proces návrhu databáze

Přednáška č. 5 Proces návrhu databáze
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.

Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
Souborové systémy.

Souborové systémy.
Microsoft SQL server Databázový systém. Úvod  aktuální verze na trhu je MS SQL 2008.  verze: plná komerční - Enterprise Edition pro vyzkoušení volně.

Microsoft SQL server Databázový systém. Úvod  aktuální verze na trhu je MS SQL  verze: plná komerční - Enterprise Edition pro vyzkoušení volně.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.

ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
SQL Lukáš Masopust 2009. Historie  Předchůdcem databází byly papírové kartotéky  1890 - děrný štítek  1959 konference  1960 – vytvořen jazyk COBOL.

SQL Lukáš Masopust Historie  Předchůdcem databází byly papírové kartotéky  děrný štítek  1959 konference  1960 – vytvořen jazyk COBOL.
Uživatelé, Role, Schémata

Uživatelé, Role, Schémata
Caché Security. Jak vypadá zabezpečení dnes Jak bude vypadat a co by Caché měla umět v budoucnu Včera, dnes a zítra.

Caché Security. Jak vypadá zabezpečení dnes Jak bude vypadat a co by Caché měla umět v budoucnu Včera, dnes a zítra.
Databázové systémy II Přednáška č. 2 RNDr. David Žák, Ph.D. Fakulta elektrotechniky a informatiky

Databázové systémy II Přednáška č. 2 RNDr. David Žák, Ph.D. Fakulta elektrotechniky a informatiky
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.

Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Petr Šetka, MVP Exchange, MCSE:Messaging, MCT Windows Small Business Server 2003 R2.

Petr Šetka, MVP Exchange, MCSE:Messaging, MCT Windows Small Business Server 2003 R2.
Adresářová služba Active directory

Adresářová služba Active directory
Databázové systémy II Přednáška č. 8 – Pohledy (Views)

Databázové systémy II Přednáška č. 8 – Pohledy (Views)
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/34.0292 Číslo materiálu: VY_32_INOVACE_PSK-4-14.

Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
Databázové systémy teorie a návrh relačních databázových systémů část II.

Databázové systémy teorie a návrh relačních databázových systémů část II.
JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.

JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.
Tomáš Urych, ESO9 Intranet a.s.

Tomáš Urych, ESO9 Intranet a.s.

Podobné prezentace

Reklamy Google