Новые возможности безопасности и управления Кирилл Панов Специалист по технологиям
реклама
Новые возможности безопасности
и управления
Кирилл Панов
Специалист по технологиям
Microsoft Rus
Темы
Прозрачное шифрование
Управление основанное на политиках
Прозрачное шифрование
Transparent Data Encryption (TDE)
SQL Server 2008
DEK
Зашифрованная
страница
Приложение
Шифрование/Дешифрование
на уровне базы данных
DEK зашифрован:
Сервисным Мастер Ключом
(Service Master Key)
Для хранения ключей можно
задействовать аппаратные модули
безопасности (HSM)
DEK должен быть
дешифрован при
Присоединении файлов БД
Восстановлении резервной копии
DEK - database encryption key
Иерархия ключей TDE
Operating System Level
Data Protection API (DPAPI)
SQL Server 2008
Instance Level
Service Master Key
SQL Server 2008
Master Database
CREATE MASTER KEY ENCRYPTION BY
PASSWORD = 'password'
Пароль
Database Master Key
Сертификат
SQL Server 2008
Master Database
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = { AES_128 |
AES_192 | AES_256 | TRIPLE_DES_3KEY
} ENCRYPTION BY SERVER CERTIFICATE
Encryptor_Name
ALTER DATABASE database_name
SET ENCRYPTION ON
Database Encryption Key
SQL Server 2008
Пользовательская база
Сценарии использования
Потеря или
кража жесткого
диска хранения
БД
Неавторизованный доступ к
резервным
копиям
Без ключа или HSM базу данных не
открыть.
Неавторизованный доступ к
файлам БД
Использование прозрачного шифрования
База данных защищена
Не требуется изменения приложения!
Нет ограничения по типам данных и индексам (за
исключениям Filestream)
Небольшое падение производительности CPU
Резервные копии и файлы данных бесполезны
без ключа
Использование прозрачного шифрования
Компрессия баз данных
Включайте компрессию до шифрования
Компрессия резервных копий
Не использовать
Зеркалирование
Скопируйте сертификат с основного сервера на
зеркальный
Расширяемое управление ключом
Extensible Key Management KEM
HSM
SQL EKM Provider DLL
SQL EKM Key
(HSM key proxy)
Data
SQL Server
Хранение ключа,
управление и шифрование
производится HSM
Реализуется через SQL
EKM Provider DLL
Преимущества использования EKM
Безопасность
Данные и ключи физически разделены
(ключи хранятся на Смарт-картах, USB
устройствах, HSM )
Шифрование
Реализация на уровне оборудования
Другие алгоритмы шифрования
Прозрачное шифрование
Демо
Темы
Прозрачное шифрование
Управление основанное на политиках
Управление основанное на
политиках
Управление одним
экземпляром
Управление в корпоративной
среде
Управление основанное
на политиках
Определение политики
Фасеты
Условия
Политики
Объекты
Категории
Примеры политик
Ограничения
XPCmdShell == False
SQLCLR == True
DBMail == False
Имена таблиц должны
заканчиваться на “%_tbl”
Только редакции
Express и Developer
могут быть
установлены на
рабочих станциях
разработчиков
Мониторинг выполнения
условиям политик
По требованию
Ручная проверка администратором
По расписанию, в журнал записывается о
несоответствиях политикам
Задание SQL Server Agent проверяет по расписанию и пишет в
журнал о несоответствиях
При попытке изменений, предотвращает не
соответствующие изменения
DDL триггера откатывают не соответствующие изменения
При попытке изменений , в журнал записывается о
несоответствиях политикам
Информация о несоответствующих изменениях пишется в журнал
Управление при помощи политик
Демо
Итоги
SQL Server 2008 позволяет эффективно
управлять инфраструктурой серверов
При помощи управления основанного на
политиках для выполнения задач безопасности
и администрирования
Усилить безопасность данных используя
прозрачное шифрование
Ссылки
Российская группа пользователей SQL Server
http://sql.ineta.ru
Ссылки
Форум Российской группы пользователей SQL
Server
http://sqlclub.ru
Ссылки
Блоги наших участников
http://blogs.gotdotnet.ru/personal/yliberman/
http://blogs.gotdotnet.ru/personal/denish/
Ссылки
Сайт http://sql.ru переводит форум на SQL Server
2008
