Telepítés előtt, közben Hitelesítés, loginok Sémák Végrehajtási környezet AuditálásTitkosítás.

Slides:



Advertisements
Hasonló előadás
7. előadás.  Zend_Auth komponens  Authentikációs típusok  Az authentikáció menete  Zend_Acl_Resource  Zend_Acl_Role  Jogosultságkezelés ZF-ben.
Advertisements

64 bites architektúra, csapdák és átjárók Tóth Sándor Terméktámogatási tanácsadó.
Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest
Ker-Soft Kft. Quest Spotlight for SQL Quest AccessManager Ker-Soft Kft. Kovács Gábor - rendszermérnök Nagy Dániel - rendszermérnök.
Hálózati és Internet ismeretek
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Az SQL Server 2005 relációs motorjának újdonságai
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Windows hálózati infrastruktúra kialakítása
Active Directory.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.
1 Informatikai Szakképzési Portál Adatbázis kezelés DCL – Adatvezérlő nyelv.
Hálózati architektúrák
Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
FSMO –Egyedi szerepkörök a címtárszolgáltatásban Ezeket a szerepköröket csak egy tartományvezérlő tudhatja magáénak; alapértelmezettként az első, de átadható.
Az ETR technológia DEXTER Informatikai kft..
Adatbázis alapú rendszerek
Készítette: Sárközi Anikó
Jelszavak helyes megválasztása, szótáras törés
Közös kinézet Mester oldal, témák, skin-ek, css Webalkalkalmazás fejlesztése ASP.NET-ben Krizsán Zoltán.
ADATBÁZISOK
Biztonságos SQL Server
Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.
Előadó: Kárpáti Péter Üzleti folyamatvezérlés nagyvállalati környezetben (BizTalk Server 2004, Office InfoPath 2003 és Windows.
Erős bástya – biztonsági újdonságok
SQL Server 2005 Reporting Services Kószó Károly rendszermérnök Microsoft Magyarország.
SharePoint Adminisztráció
Storage Virtualization Presentation Virtualization Server Virtualization Desktop Virtualization Application Virtualization SYSTEM CENTER.
Compressed backup Policy Based Management (DMF) AuditEncryption Data encryption Key Management PowerShell (Agent Jobokba is berakható) Page Recovery,Miroring.
Adatbázis-kezelés Papp-Varga Zsuzsanna. Elérhetőségek    as.
Operációs Rendszerek WindowsXP®.
Delphi programozás 8. ELŐADÁS ADO ActiveX Data Objects.
Module 1: A Microsoft Windows XP Professional telepítése
1 Operációs rendszerek Az NT folyamatok kezelése.
Operációs rendszerek.
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Magas Rendelkezésreállás I.
Hálózati Bombermen Belicza András Konzulens: Rajacsics Tamás BME-AAIT.
Felhasználók azonosítása és jogosultságai, személyre szabás Borsi Katalin és Fóti Marcell NetAcademia Oktatóközpont.
Adatbázis adminisztrátori ismeretek
Felhasználók és jogosultságok
APEX BMF, II. félév.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
1 Verseny 2000 gyakorlat ODBC Adatforrás létrehozása.
A gyakorlatok munkakörnyezete
XML fejlesztések TSQL fejlesztések Tábla paraméter SQLCLR fejlesztések 8k limit feloldása Több paraméteres UDA-ek Ordered UDF-ek Entity Framework ADO.NET.
{ PKI } Active Directory Certificate Services
ORACLE ORDBMS adminisztrációs feladatok 3. rész dr. Kovács László 2004.
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Alkalmazás és megjelenítés virtualizáció Micskei Zoltán.
Magas rendelkezésre állású Hyper-V rendszer építése
A teljes infrastruktúra egységesített felügyelete és védelme.
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Automatizálási folyamatok az SQL 2012-ben
Webprogramozó tanfolyam
1 Verseny 2000 gyakorlat SQL 2000 Server Portál adatbázis létrehozása.
DNS Domain Name System. DNS - WINS WINSDNS Barátságos NetBIOS nevek LAN-okonBarátságos DNS nevek WAN-okonSík névtér, 15 karakteres névHierarchikus névtér,
Adatbáziskezelés. Adat és információ Információ –Új ismeret Adat –Az információ formai oldala –Jelsorozat.
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
Java web programozás 5..
SQL Server 7 installálása. A szükséges hardver és szoftver Processzor Memória Háttértár OS Hálózat Kliensek.
A Windows Server 2003 telepítése. Javasolt, minimális hardver CPU1 GHz RAM512 MB HDD2-2,5 GB + Exchange, SQL…
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
AZURE RÉGIÓK Szoftver szolgáltatás SaaS Platform szolgáltatás PaaS Infrastruktúra szolgáltatás IaaS.
Triggerek gyakorlás.
Hálózati architektúrák
DDL parancsok – Tábla műveletek, mezőtulajdonságok
Előadás másolata:

Telepítés előtt, közben Hitelesítés, loginok Sémák Végrehajtási környezet AuditálásTitkosítás

Fizikai biztonság Szerviz accountok Alapértelmezett jogosultságok Tűzfal és SQL szerver

„Hideg szoba”, azaz biztonságos elhelyezés Tűzfal „mögé” dugva Mentés valahol Európában Tartományvezérlő ellenjavallt

Eddigi népszokás: Domain Admins vagy LocalSystem, oszt hajrá Domain User vagy Lokális account Minimális privilégium (pl. nem kell hogy az op.rendszer részeként fusson) Szolgáltatásonként külön account Csak a szükséges szervizeket telepítsük Account Váltás SQL szerver configuration managerrel

ServicePrivilégiumJogosultság SQL ServerLog on as a service Log on as a batch job Replace a process-level token Adjust memory quotas for a process start SQL Server Active Directory Helper start SQL Writer Full Controll adatbázis fájlt tartalmazó mappákon SQL Server AgentLog on as a service Act as part of the operating system (Csak Windows 2000) Log on as a batch job Replace a process-level token Adjust memory quotas for a process Sysadmin szerepkör

Tűzfal mögé. De legalább DMZ-be (DMZ-be nem kell NetBios és SMB) Többrétegű alkalmazás, rétegenként külön szerver, köztük tűzfal Default példány1433-as port Nevesített példány dinamikus port induláskor ( statikusan hozzárendelhetjük SQL Server Configuration Managerrel ), UDP 1434 (SQL Server Browser, ami használja az SQL Server Resolution Protocol (SSRP)-t) Shared Memory,NamedPipe, TCP/IP

Hitelesítés Alapértelmezett loginok Credential, Proxy Accountok

Windows Biztonságos Egyszeri bejelentkezés SQL Jelszó megy a hálón SQL Hitelesítés biztonságának fokozása: Account Policy minden loginra,IPSEC, SSL Vásárolt alkalmazás, illetve több különböző platformú réteg esetén szükséges lehet

Telepítéskor meghatározható admin Builtin\administrators (csak SQL 2005) SA Szerviz accountok NT AUTHORITY\SYSTEM ##MS_PolicyEventProcessin gLogin## (csak SQL 2008) ##MS_PolicyTsqlExecutionL ogin## (csak SQL 2008) Cluster esetén Cluster admin account loginja

Windows accountok rögzítése az SQL szerveren SQL-en kívüli erőforrások elérése esetén (mivel a szerviz account a tápláléklánc alján van) Proxy Accountként használhatjuk jobokban Kinek a nevében fusson a oprendszer beli batch, ActiveX komponens

Séma Objektumok tulajdonlása Adatbázis tulajdonos

Adatbázis és objektumok közti konténer, illetve névterület Vátozik az objektumra való hivatkozás szerver.db.tulaj.tábla ->szerver.db.séma.tabla Tulajdonos váltás nem gond többé Új „probléma”: névfeloldás Új adminisztrációs lehetőségek, jogot adhatunk simán a sémán

A sémában létrehozott objektum tulajdonosa a séma tulajdonosa, nem pedig az objektum „gyártója”. Objektum létrehozáshoz, kell alter schema jog

„ISV modell” Külön adatbázis, különböző adatbázis tulajdonos Letiltott Cross- Database Ownership Chaining „IT modell” Sysadmin egyben adatbázis tulajdonos

Tárolt eljárások „Exceute As” Caller – hívó nevében, kompatibilitás Owner- tulajdonos Self – aki csinálta ‘user’ –egy adott adatbázis felhasználó (nem kell hogy login legyen mögötte) Revert az ellenpárja Application role szerepére pályázik Egyesítheti adott felhasználó és egy bizonyítvány biztonsági lehetőségeit

SQL Server 2005 SQL Trace DDL/DML Trigger Third-party eszközök tranzakciós log olvasásra Menedzsment eszközök nem támogatják SQL Server 2008 –SQL Server Audit

Audit szerver objektum DDL utasításokkal beállítható, vezérelhető Security támogatás Egy Audit objektum logolhat Fájlba Windows Application Logba Windows Security Logba Felhasználó, szerepkör, adatbázis objektumtól függhet az auditálás

Audit objektum Security Event Log Application Event Log Fájl rendszer 0..1 Audit objektumonként több szerver audit specifikáció 0..1 Adatbázisonként több adatbázis audit specifikáció CREATE SERVER AUDIT SPECIFICATION SvrAC TO SERVER AUDIT PCI_Audit ADD (FAILED_LOGIN_GROUP); CREATE DATABASE AUDIT SPECIFICATION AuditAC TO SERVER AUDIT PCI_Audit ADD (SELECT ON Customers BY public) Szerver Audit Specifikáció Server Audit Akció Server Audit Action Server Audit Akció Database Audit Components Adatbázis Audit Specifikáció AdatbázisAudit Akció Database Audit Action AdatbázisAudit Akció FájlFájl

Esemény alapú nagy teljesítményű infrastruktúra Adatbázis motoron belül fut, nem külön alkalmazás Felülmúlja a 2005 trace képességeit Kevesebb erőforrást használ mint az SQL Trace (11- 45%) Önfeljelentő, audit paramétereine k változtatás a bekerül az auditba Konfigurálható az adminisztrátori eszközön keresztül SSMS (Enterprise Edition )

Kiszolgáló akció csoportok –Szerver paraméter változások, login/logoff, szerepkör tagság változás,stb. Kiszolgáló és adatbázis audit specifikáció –Előre definiált akció csoportok –Egyedi akció szűrők Adatbázis akció csoportok –Séma objektum elérés, adatbázis szerepkör változás, adatbázis opciók változása

DokumentációÁttekintésekArchitektúra Fejlesztői útmutatások Üzemeltetési leírás Tutorial-okKeresés

SQL Server Auditálás

Szerviz mester kulcs SQL példányonként jön létre telepítés utáni első indításkor. Titkosítása a szerviz és számítógép account kulcsával történik Adatbázis mester kulcs Kétszeresen is titkosítható: jelszóval, illetve szerviz master kulcsal. Ekkor a master adatbázisban is tárolódik Szimmetrikus Adat titkosításra Aszimmetrikus, bizonyítvány Szimmetrikus kulcs titkosításra, kód modul aláírására DDL utasításokkal menthető

Titkosítás/visszafejtés adatbázis szinten Adatbázis titkosító kulcs segítségével (DEK). Csak az adatbázisban van titkosítva (memóriában nem). Alkalmazásnak nem kell kezelnie, nem is tud róla Nincs különbség titkosított és nem titkosított adatok elérése között (erőforrás!) Adatbázis Titkosító Kulcs titkosítható JelszóTanúsítvány Service Master Key/Szolgáltatás Fő Kulcs Hardveres biztonsági modullal Adatbázis visszatöltéshez, fájlok csatlakoztatásához (attach) decryptálni kell a DEK-et Titkosított adatlap DEK Kliens program

Adatbázis nem nyitható meg a DEK-et védő kulcs hiányában

Kulcs tárolás kezelés, titkosítás HSM-lal SQL EKM key proxy kűlső HSM kulccsal SQL EKM Provider DLL biztosítja SQLEKM interfészt, hívja a HSM modult SQL EKM Provider DLL SQL EKM Kulcs (HSM kulcs proxy) Adat SQL Server HSM

Csatlakoztatható hardveres titkosító eszköz Adat és az azt titkosító kulcs elkülönül (kulcsok a HSM modulban vannak tárolva) Központi kulcs kezelés cég szinten Még egy hitelesítőréteg Elválasztható az adat tulajdonos a adatbázis tulajdonostól

EKM provider egy szerver objektum EKM kulcs úgy használható mint az SQL kulcs Azonos TSQL parancsok Ugyanabban a katalógusban látható Adat titkosítás beépített standard parancsokkal SQL kulcsok is titkosíthatóak CREATE CRYPTOGRAPHIC PROVIDER DataSafeProvider FROM FILE = ‘DataSafeProvider.dll’ CREATE SYMMETRIC KEY SymmKeyEkm FROM Provider DataSafeProvider WITH ALGORITHM AES_256 …

adatadatadatadat Eredeti Szimmetrikus kulcs TDE DEK kulcs EKM Szimmetrikus kulcsEKM Asszimmetrikus kulcs Szimmetrikus kulcsAszimmetrikus kulcs SQL Server HSM

SQL Server Adattitkosítás

Figyeljünk a biztonságra! Az SQL Server egészen komplex biztonsági igényeknek is meg tud felelni Gondoljuk meg, hogy mire van szükségünk Ne féljünk alkalmazni a megfelelő eszközöket!