Презентация Сравнительный анализ моделей безопасности в SQL Server 2000 и SQL Server 2005 онлайн

Содержание слайда: Сравнительный анализ моделей безопасности в SQL Server 2000 и SQL Server 2005 Андрей Синкин Системный инженер Microsoft Мартин Рахманов Старший инженер-программист Рексофт

Содержание слайда: Компоненты SQL Server Реляционный сервер Внутризапросный параллелизм Распределенные фрагментированные представления Службы тиражирования Средства создания резервных копий БД Механизмы отказоустойчивости (Log Shipping, MSCS) Графические средства администрирования и отладки Утилиты настройки и оптимизации Службы репликации Службы формирования отчетов (Reporting Services) Cлужбы оповещения (Notification Services) Службы анализа данных (OLAP, DataMining) Инструменты управления (Management tools) Программные интерфейсы доступа и разработки ODBC, OLE DB, ADO, OLE DB for OLAP, ADO MD, ADOX, интерфейсы дистрибутора и согласования, SQL DMO, DSO, …

Содержание слайда: По своей природе веб-приложения электронной коммерции чувствительны к защите информации. Это послужило причиной внесения в сервер SQL Server 2000 новых значительных улучшений системы безопасности, не только обеспечивающих наиболее высокий в отрасли уровень безопасности, но также упрощающих применение средств, необходимых для достижения этого уровня. Прежде всего, SQL Server 2000 устанавливается по умолчанию с более высоким уровнем безопасности, при этом используются средства, встроенные в новейшую интегрированную систему безопасности операционной системы Windows 2000. Это упрощает и ускоряет изоляцию сервера в производственной среде. По своей природе веб-приложения электронной коммерции чувствительны к защите информации. Это послужило причиной внесения в сервер SQL Server 2000 новых значительных улучшений системы безопасности, не только обеспечивающих наиболее высокий в отрасли уровень безопасности, но также упрощающих применение средств, необходимых для достижения этого уровня. Прежде всего, SQL Server 2000 устанавливается по умолчанию с более высоким уровнем безопасности, при этом используются средства, встроенные в новейшую интегрированную систему безопасности операционной системы Windows 2000. Это упрощает и ускоряет изоляцию сервера в производственной среде. SQL Server 2000 также включает в себя набор новых средств обеспечения безопасности: мощную и гибкую систему безопасности сервера на ролевой основе, профили БД и приложений, интегрированные средства аудита безопасности (отслеживающие 18 различных видов событий и дополнительные события), поддержку шифрования файлов и сетевых сообщений (включая SSL), а также поддержку протокола Kerberos и возможность делегирования полномочий. SQL Server 2000 прошел проверку в рамках программы правительства США Trusted Product Evaluation Program и Агентство национальной безопасности подтвердило его соответствие уровню безопасности C2

Содержание слайда: Редакции SQL Server

Содержание слайда: Безопасность SQL Profiler - мониторинг событий класса безопасности Add/drop SQL login, Add/remove database user, Add/remove database role member, Password change, GRD - statement perms, GRD – object perms, ... Для каждого записывается время, пользователь, хост, успех/неудача и т.д. Шифрация трафика для всех сетевых библиотек при помощи SSL / TLS Поддержка делегирования на основе Kerberos, интеграция с Active Directory

Содержание слайда: Кластеризация

Содержание слайда: Передача журналов (Log Shipping)

Содержание слайда: Расширенный список параллельных операций Операция создания индекса выполняется одновременно на нескольких потоках Линейная масштабируемость в зависимости от числа процессоров Каждый поток получает свой диапазон значений На основе известной статистики распределения индексных ключей поддерживается баланс нагрузки между потоками На заключительном этапе поддеревья объединяются в единый индекс

Содержание слайда: Индексированные представления Обычное представление – всего лишь удобная форма записи сложного оператора SELECT Чтобы обращаться к нему как к якобы таблице Хранится только определение SQL-запроса, который выполняется всякий раз при обращении к представлению Как только над представлением создается индекс, его результаты «материализуются» И обновляются при модификации данных в исходных таблицах Т.е. ведут себя как все приличные индексы Представление может содержать агрегаты, операторы связывания таблиц или их комбинацию Первый индекс над представлением должен быть Кластерным -> для сохранения представления как таблицы Уникальным -> для поддержки индекса актуальным при внесении изменений в таблицы

Содержание слайда: Поддержка XML SQL -> XML SELECT … FOR XML XML -> SQL OpenXML в T-SQL UpdateGrams XML-описание операций INSERT, UPDATE, DELETE Bulk Load XML-файлов в БД XML View Mapper Отображение XML-документа на таблицу

Содержание слайда: Содержание Обзор модели безопасности SQL Server 2000 Ограничения модели безопасности и способы их устранения Рекомендации по настройке Что нового в SQL Server 2005? Новая модель разрешений Безопасность метаданных Более гранулярные разрешения Покрывающие разрешения Разделение схемы и владельца Контекст выполнения хранимого кода

Содержание слайда: Составляющие модели безопасности SQL Server 2000 Аутентификация Учётные записи Windows и SQL Server Авторизация Проверки разрешений на доступ к объектам и на выполнение операций Аудит Трассировка, журналы сервера и системы

Содержание слайда: Модель безопасности SQL Server 2000

Содержание слайда: Режимы доступа к SQL Server Windows® Authentication Доступ разрешен только с использованием бюджета Windows NT®/ Windows 2000/2003 Обеспечивает единую регистрацию Mixed security Принимает доступ под бюджетом Windows Принимает доступ через авторизацию на SQL Server Сложнее поддается защите

Содержание слайда: Учётная запись и Пользователь Учётная запись (login) дает право на подключение Хранится в БД master Относится к серверу в целом Сама по себе не дает прав Исключение: Членство в фиксированной серверной роли Пользователь (user) БД ассоциируется с правами С ним ассоциируется схема (коллекция объектов БД) Права назначаются пользователям БД Действует в рамках конкретной БД

Содержание слайда: Роли SQL Server Фиксированные роли сервера Гибкое администрирование сервера Фиксированные роли БД Гибкое администрирование БД Пользовательские роли БД Пользовательские комбинации прав Прикладные роли Ассоциация прав с приложением, а не с пользователем

Содержание слайда: Разрешения SQL Server поддерживает три команды для работы с разрешениями (Data Control Language - DCL): GRANT назначает разрешение DENY запрещает разрешение REVOKE отзывает сделанное ранее при помощи GRANT или DENY действие

Содержание слайда: Содержание Обзор модели безопасности SQL Server 2000 Ограничения модели безопасности и способы их устранения Рекомендации по настройке Что нового в SQL Server 2005? Новая модель разрешений Безопасность метаданных Более гранулярные разрешения Покрывающие разрешения Разделение схемы и владельца Контекст выполнения хранимого кода

Содержание слайда: Ограничения модели безопасности SQL Server 2000 и способы их устранения 1. Неограничен доступ к метаданным для любого пользователя БД. Решение: разрабатывать приложение так, чтобы доступ к хранимому коду на стороне SQL Server не позволил злоумышленнику нанести существенный ущерб 2. Невозможно назначить пользователю БД разрешения на выполнение определённых команд без повышения уровня его привилегий. Решение: в SQL2k решение отсутствует 3. По умолчанию непривилегированный пользователь может выполнить ряд расширенных хранимых процедур, предоставляющих доступ к важной информации. Решение: отозвать разрешения на выполнение ряда хранимых процедур для встроенной группы public 4. Отсутствуют встроенные средства шифрования данных. Решение: использовать средства сторонних производителей 5. Нет возможности ограничить количество попыток соединения с сервером при указании неверной пары учётная запись/пароль для учётных записей SQL Server. Решение: использовать для соединения с сервером только учётные записи Windows, либо использовать средства сторонних производителей

Содержание слайда:

Содержание слайда: Содержание Обзор модели безопасности SQL Server 2000 Ограничения модели безопасности и способы их устранения Рекомендации по настройке Что нового в SQL Server 2005? Новая модель разрешений Безопасность метаданных Более гранулярные разрешения Покрывающие разрешения Разделение схемы и владельца Контекст выполнения хранимого кода

Содержание слайда: Рекомендации по настройке Установить самые свежие пакеты обновлений и исправлений Отключить ненужные сетевые протоколы Включить протоколирование (аудит) неудачных попыток подключения Разместить файлы данных на файловой системе NTFS и настроить доступ к ним Использовать только аутентификацию Windows Указать сложные пароли для учётных записей SQL Server Использовать непривилегированные (не административные, как минимум) учётные записи для запуска службы mssqlserver и службы SQL Server Agent. Подробнее в разделе “SQLSecurity Checklist” на сайте www.sqlsecurity.com

Содержание слайда: Рекомендации по настройке Microsoft Baseline Security Analyzer

Содержание слайда: Содержание Обзор модели безопасности SQL Server 2000 Ограничения модели безопасности и способы их устранения Рекомендации по настройке Что нового в SQL Server 2005? Новая модель разрешений Безопасность метаданных Более гранулярные разрешения Покрывающие разрешения Разделение схемы и владельца Контекст выполнения хранимого кода

Содержание слайда: SQL Server 2005

Содержание слайда: Что нового в модели безопасности SQL Server 2005 Более жесткие настройки по умолчанию Сокрытие метаданных Парольная политика Новые разрешения и уровни разрешений Разделение схемы и владельца Контекст выполнения хранимого кода Безопасность .NET кода Встроенное шифрование данных Триггеры на DDL

Содержание слайда: Настройки по умолчанию Требуется явное включение дополнительной функциональности Microsoft .NET Framework SQL Service Broker Network Connectivity Analysis Services http connectivity Следующие службы находятся в режиме запуска Manual SQL Server Agent full-text search Новый сервис Data Transformation Services При установке требуется задание пароля учётной записи sa даже если сервер будет применять исключительно режим аутентификации Windows

Содержание слайда: Сокрытие метаданных Системные объекты теперь находятся в скрытой базе mssqlsystemresource Catalog Views – замена и расширение системных таблиц, данные из Catalog Views фильтруются в зависимости от того, кто делает запрос Разрешение VIEW DEFINITION позволяет обойти сокрытие метаданных и его можно выдать на трех уровнях: базы, схемы, объекта Шифрование хранимого кода стало надёжным

Содержание слайда: Парольная политика Для учётной записи SQL Server можно указать следующие параметры команды CREATE/ALTER LOGIN: Необходимость сменить пароль при первом соединении с сервером (MUST_CHANGE) Необходимость проверки срока действия пароля (CHECK_EXPIRATION) Необходимость применения локальной парольной политики Windows (CHECK_POLICY) CHECK_EXPIRATION и CHECK_POLICY работают полноценно на Windows 2003 Server и более новых системах, а на Windows 2000 это сводится к проверке жестко зашитых правил

Содержание слайда: Парольная политика

Содержание слайда: Новые разрешения Разрешения можно выдавать на четырех уровнях: Сервера Базы Схемы Объекта Выданные разрешения уровня сервера и уровня базы данных можно получить через опрос представлений sys.server_permissions и sys.database_permissions

Содержание слайда: Содержание Обзор модели безопасности SQL Server 2000 Ограничения модели безопасности и способы их устранения Рекомендации по настройке Что нового в SQL Server 2005? Новая модель разрешений Безопасность метаданных Более гранулярные разрешения Покрывающие разрешения Разделение схемы и владельца Контекст выполнения хранимого кода

Содержание слайда: Проблема неразделения схемы и пользователя

Содержание слайда: Удаление пользователя => изменение кода приложения

Содержание слайда: Разделение схемы и владельца База данных может содержать множество схем Каждая схема имеет только одного владельца – пользователя или роль Каждый пользователь имеет схему по умолчанию Большинство объектов БД находятся в схемах Создание объекта внутри схемы требует полномочий CREATE и полномочий ALTER или CONTROL на эту схему Цепочка владения по-прежнему основана на владельцах, а не на схемах

Содержание слайда: Разделение схемы и владельца

Содержание слайда: Удаление пользователя не приводит к изменению кода приложения

Содержание слайда: Разделение схемы и владельца Разделение владельцев (principals) и схем Владелец (Principal) Сущность от которой защищают объекты Доступны через представление sys.database_principals Схема (Schema) Контейнер объектов; 3-я часть полного наименования Доступны через представление sys.schemas Понятие схемы по умолчанию Присуще пользователю или роли приложения Используется при разрешении имен; механизм для поиска объектов Содержится в представлении sys.database_principals Удаление пользователя не требует изменения кода приложения

Содержание слайда:

Содержание слайда: Схема по умолчанию Используется для разрешения имен Не всем пользователям нужно управлять схемами Один и тот же процесс разрешения имён для нескольких пользователей Схема dbo может является не обязательно единственной общей схемой в плане разрешения имен Зачем это нужно? для того, чтобы объект мог быть доступен из любого контекста, его не обязательно создавать в схеме dbo Разрешение создания объектов в схеме dbo может привести к некоторому риску безопасности при использовании цепочек владения

Содержание слайда: Содержание Обзор модели безопасности SQL Server 2000 Ограничения модели безопасности и способы их устранения Рекомендации по настройке Что нового в SQL Server 2005? Новая модель разрешений Безопасность метаданных Более гранулярные разрешения Покрывающие разрешения Разделение схемы и владельца Контекст выполнения хранимого кода

Содержание слайда: Контекст выполнения хранимого кода

Содержание слайда: Контекст выполнения хранимого кода Возможность указывать контекст выполнения процедуры, функции, триггеры Цепочка владения теперь не является единственным механизмом упрощающим назначение прав Правила цепочек владения по-прежнему применимы Разрешения проверяются для тек.контекста В отличие от цепочек владения применимо и к командам DDL Применимо и к динамическому SQL

Содержание слайда: Контекст выполнения хранимого кода Для хранимых процедур и определяемых пользователем функций (кроме inline table-valued) предусмотрено четыре выражения для указания контекста выполнения, т.е. пользователя, который будет использоваться при проверке разрешений на объекты, на которые ссылается процедура или функция. CALLER – выполнять под вызвавшим пользователем SELF – под создавшим процедуру USER = username - под указанным пользователем OWNER – под текущим владельцем процедуры

Содержание слайда: Контекст выполнения хранимого кода По умолчанию – EXECUTE AS CALLER. Для указания имени пользователя username (отличного от своего) необходимо выполнение одного из условий: Входить в фиксированную серверную роль sysadmin Входить в фиксированную роль базы данных db_owner Обладать разрешением на имперсонализацию учетной записи, соответствующей пользователю username. Можно использовать EXECUTE AS USER = username в качестве “обертки” команд, разрешения на которые нельзя передавать. Например так можно делегировать TRUNCATE.

Содержание слайда: Создание набора разрешений с помощью EXECUTE AS Сценарий: Database Admin хочет дать возможность делать усечение (truncate) ряда таблиц каждую ночь. Проблема: Truncate непередаваемое разрешение Минимальное покрывающее разрешение - ALTER, но оно дает больше прав чем нужно Решение: нам поможет EXECUTE AS! Создать процедуру, которая усекает нужные таблицы Указать в строке execute as пользователя с правами ALTER Дать разрешение на выполнение процедуры нужному пользователю Результат: Мы только что сделали Truncate назначаемым разрешением!

Содержание слайда: Безопасность .NET кода Для .NET сборок предусмотрено указание одного из трех уровней безопасности при загрузке в SQL Server командой CREATE ASSEMBLY: SAFE - доступ ко внешним ресурсам не допускается EXTERNAL_ACCESS – допускается доступ к файлам, сетевым ресурсам, реестру, переменным окружения UNSAFE - доступ ко всем ресурсам, в том числе к неуправляемому коду Если сборка в процессе работы выйдет за указанные при ее загрузке пределы, то CLR сгенерирует исключение и выполнение прекратится.

Содержание слайда: Поддержка криптографии В SQL Server 2005 есть встроенные средства шифрования, цифровой подписи и верификации Поддерживаемые типы ключей: Симметричные ключи RC4, RC2, DES, AES Асимметричные ключи Rivest-Shamir-Adelman Encryption (RSA)

Содержание слайда: Поддержка криптографии

Содержание слайда: Триггеры на DDL Появилась возможность создавать триггеры для DDL, что позволяет вести расширенный аудит. Создаются на базу или сервер, не могут быть INSTEAD OF.

Содержание слайда: Конечные точки (Endpoints) Абстракция номера порта, транспортного протокола и принципала Как происходит соединение: Клиент указывает номер порта Сервер вычисляет Endpoint, который соответствует указанному порту Сервер проверят, что этот Endpoint правильно сконфигурирован Сервер проверят, что указанные принципал имеет разрешение на соединение с данным Endpoint

Содержание слайда: Человеку свойственно ошибаться SQL Injection Как избежать: Отказаться от динамических запросов в пользу хранимых процедур или параметризованных запросов. Использовать регулярные выражения для проверки пользовательского ввода до того, как он будет отправлен в СУБД. Использовать функции для экранирования специальных символов Проверка пользовательского ввода Соответствие типов Никогда не строить T-SQL команды непосредственно из введенных пользователем данных Использовать процедуры для проверки ввода либо вынести проверку на уровень приложения Никогда не принимать строки, участвующие в создании имени файла и содержащие: AUX, CLOCK$, COM1, .., COM8, CON, CONFIG$, LPT1, .., LPT8, NUL и PRN

Содержание слайда: Подведение итогов SQL Server 2000 – промышленная СУБД с надежным механизмом контроля доступа к информации SQL Server 2005 – упростит жизнь разработчикам и администраторам при создании и поддержке надежных и безопасных приложений

Содержание слайда: Официальная страница о SQL Server 2005 Официальная страница о SQL Server 2005 http://www.microsoft.com/sql/2005 Один из самых интересных сайтов, посвященных безопасности SQL Server http://www.sqlsecurity.com Российское сообщество по SQL Server http://www.sql.ru Каждый месяц в Microsoft Russia проводится семинар, посвященный SQL Server (уже 18 - в Москве, 4 – в Питере, до 70 участников)

Содержание слайда: