Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Telepítés előtt, közben Hitelesítés, loginok Sémák Végrehajtási környezet AuditálásTitkosítás.

KiadtaRudolf Orosz Megváltozta több, mint 10 éve

Hasonló előadás

Az előadások a következő témára: "Telepítés előtt, közben Hitelesítés, loginok Sémák Végrehajtási környezet AuditálásTitkosítás."— Előadás másolata:

1

2 Telepítés előtt, közben Hitelesítés, loginok Sémák Végrehajtási környezet AuditálásTitkosítás

3 Fizikai biztonság Szerviz accountok Alapértelmezett jogosultságok Tűzfal és SQL szerver

4 „Hideg szoba”, azaz biztonságos elhelyezés Tűzfal „mögé” dugva Mentés valahol Európában Tartományvezérlő ellenjavallt

5 Eddigi népszokás: Domain Admins vagy LocalSystem, oszt hajrá Domain User vagy Lokális account Minimális privilégium (pl. nem kell hogy az op.rendszer részeként fusson) Szolgáltatásonként külön account Csak a szükséges szervizeket telepítsük Account Váltás SQL szerver configuration managerrel

6 ServicePrivilégiumJogosultság SQL ServerLog on as a service Log on as a batch job Replace a process-level token Adjust memory quotas for a process start SQL Server Active Directory Helper start SQL Writer Full Controll adatbázis fájlt tartalmazó mappákon SQL Server AgentLog on as a service Act as part of the operating system (Csak Windows 2000) Log on as a batch job Replace a process-level token Adjust memory quotas for a process Sysadmin szerepkör

7 Tűzfal mögé. De legalább DMZ-be (DMZ-be nem kell NetBios és SMB) Többrétegű alkalmazás, rétegenként külön szerver, köztük tűzfal Default példány1433-as port Nevesített példány dinamikus port induláskor ( statikusan hozzárendelhetjük SQL Server Configuration Managerrel ), UDP 1434 (SQL Server Browser, ami használja az SQL Server Resolution Protocol (SSRP)-t) Shared Memory,NamedPipe, TCP/IP

8 Hitelesítés Alapértelmezett loginok Credential, Proxy Accountok

9 Windows Biztonságos Egyszeri bejelentkezés SQL Jelszó megy a hálón SQL Hitelesítés biztonságának fokozása: Account Policy minden loginra,IPSEC, SSL Vásárolt alkalmazás, illetve több különböző platformú réteg esetén szükséges lehet

10 Telepítéskor meghatározható admin Builtin\administrators (csak SQL 2005) SA Szerviz accountok NT AUTHORITY\SYSTEM ##MS_PolicyEventProcessin gLogin## (csak SQL 2008) ##MS_PolicyTsqlExecutionL ogin## (csak SQL 2008) Cluster esetén Cluster admin account loginja

11 Windows accountok rögzítése az SQL szerveren SQL-en kívüli erőforrások elérése esetén (mivel a szerviz account a tápláléklánc alján van) Proxy Accountként használhatjuk jobokban Kinek a nevében fusson a oprendszer beli batch, ActiveX komponens

12 Séma Objektumok tulajdonlása Adatbázis tulajdonos

13 Adatbázis és objektumok közti konténer, illetve névterület Vátozik az objektumra való hivatkozás szerver.db.tulaj.tábla ->szerver.db.séma.tabla Tulajdonos váltás nem gond többé Új „probléma”: névfeloldás Új adminisztrációs lehetőségek, jogot adhatunk simán a sémán

14 A sémában létrehozott objektum tulajdonosa a séma tulajdonosa, nem pedig az objektum „gyártója”. Objektum létrehozáshoz, kell alter schema jog

15 „ISV modell” Külön adatbázis, különböző adatbázis tulajdonos Letiltott Cross- Database Ownership Chaining „IT modell” Sysadmin egyben adatbázis tulajdonos

16 Tárolt eljárások „Exceute As” Caller – hívó nevében, kompatibilitás Owner- tulajdonos Self – aki csinálta ‘user’ –egy adott adatbázis felhasználó (nem kell hogy login legyen mögötte) Revert az ellenpárja Application role szerepére pályázik Egyesítheti adott felhasználó és egy bizonyítvány biztonsági lehetőségeit

17 SQL Server 2005 SQL Trace DDL/DML Trigger Third-party eszközök tranzakciós log olvasásra Menedzsment eszközök nem támogatják SQL Server 2008 –SQL Server Audit

18 Audit szerver objektum DDL utasításokkal beállítható, vezérelhető Security támogatás Egy Audit objektum logolhat Fájlba Windows Application Logba Windows Security Logba Felhasználó, szerepkör, adatbázis objektumtól függhet az auditálás

19 Audit objektum Security Event Log Application Event Log Fájl rendszer 0..1 Audit objektumonként több szerver audit specifikáció 0..1 Adatbázisonként több adatbázis audit specifikáció CREATE SERVER AUDIT SPECIFICATION SvrAC TO SERVER AUDIT PCI_Audit ADD (FAILED_LOGIN_GROUP); CREATE DATABASE AUDIT SPECIFICATION AuditAC TO SERVER AUDIT PCI_Audit ADD (SELECT ON Customers BY public) Szerver Audit Specifikáció Server Audit Akció Server Audit Action Server Audit Akció Database Audit Components Adatbázis Audit Specifikáció AdatbázisAudit Akció Database Audit Action AdatbázisAudit Akció FájlFájl

20 Esemény alapú nagy teljesítményű infrastruktúra Adatbázis motoron belül fut, nem külön alkalmazás Felülmúlja a 2005 trace képességeit Kevesebb erőforrást használ mint az SQL Trace (11- 45%) Önfeljelentő, audit paramétereine k változtatás a bekerül az auditba Konfigurálható az adminisztrátori eszközön keresztül SSMS (Enterprise Edition )

21 Kiszolgáló akció csoportok –Szerver paraméter változások, login/logoff, szerepkör tagság változás,stb. Kiszolgáló és adatbázis audit specifikáció –Előre definiált akció csoportok –Egyedi akció szűrők Adatbázis akció csoportok –Séma objektum elérés, adatbázis szerepkör változás, adatbázis opciók változása

22 DokumentációÁttekintésekArchitektúra Fejlesztői útmutatások Üzemeltetési leírás Tutorial-okKeresés

23 SQL Server Auditálás

24

25

26 Szerviz mester kulcs SQL példányonként jön létre telepítés utáni első indításkor. Titkosítása a szerviz és számítógép account kulcsával történik Adatbázis mester kulcs Kétszeresen is titkosítható: jelszóval, illetve szerviz master kulcsal. Ekkor a master adatbázisban is tárolódik Szimmetrikus Adat titkosításra Aszimmetrikus, bizonyítvány Szimmetrikus kulcs titkosításra, kód modul aláírására DDL utasításokkal menthető

27 Titkosítás/visszafejtés adatbázis szinten Adatbázis titkosító kulcs segítségével (DEK). Csak az adatbázisban van titkosítva (memóriában nem). Alkalmazásnak nem kell kezelnie, nem is tud róla Nincs különbség titkosított és nem titkosított adatok elérése között (erőforrás!) Adatbázis Titkosító Kulcs titkosítható JelszóTanúsítvány Service Master Key/Szolgáltatás Fő Kulcs Hardveres biztonsági modullal Adatbázis visszatöltéshez, fájlok csatlakoztatásához (attach) decryptálni kell a DEK-et Titkosított adatlap DEK Kliens program

28 Adatbázis nem nyitható meg a DEK-et védő kulcs hiányában

29 Kulcs tárolás kezelés, titkosítás HSM-lal SQL EKM key proxy kűlső HSM kulccsal SQL EKM Provider DLL biztosítja SQLEKM interfészt, hívja a HSM modult SQL EKM Provider DLL SQL EKM Kulcs (HSM kulcs proxy) Adat SQL Server HSM

30 Csatlakoztatható hardveres titkosító eszköz Adat és az azt titkosító kulcs elkülönül (kulcsok a HSM modulban vannak tárolva) Központi kulcs kezelés cég szinten Még egy hitelesítőréteg Elválasztható az adat tulajdonos a adatbázis tulajdonostól

31 EKM provider egy szerver objektum EKM kulcs úgy használható mint az SQL kulcs Azonos TSQL parancsok Ugyanabban a katalógusban látható Adat titkosítás beépített standard parancsokkal SQL kulcsok is titkosíthatóak CREATE CRYPTOGRAPHIC PROVIDER DataSafeProvider FROM FILE = ‘DataSafeProvider.dll’ CREATE SYMMETRIC KEY SymmKeyEkm FROM Provider DataSafeProvider WITH ALGORITHM AES_256 …

32 adatadatadatadat Eredeti Szimmetrikus kulcs TDE DEK kulcs EKM Szimmetrikus kulcsEKM Asszimmetrikus kulcs Szimmetrikus kulcsAszimmetrikus kulcs SQL Server HSM

33 SQL Server Adattitkosítás

34 Figyeljünk a biztonságra! Az SQL Server egészen komplex biztonsági igényeknek is meg tud felelni Gondoljuk meg, hogy mire van szükségünk Ne féljünk alkalmazni a megfelelő eszközöket!

35

Letölteni ppt "Telepítés előtt, közben Hitelesítés, loginok Sémák Végrehajtási környezet AuditálásTitkosítás."

Hasonló előadás

7. előadás.  Zend_Auth komponens  Authentikációs típusok  Az authentikáció menete  Zend_Acl_Resource  Zend_Acl_Role  Jogosultságkezelés ZF-ben.

7. előadás.  Zend_Auth komponens  Authentikációs típusok  Az authentikáció menete  Zend_Acl_Resource  Zend_Acl_Role  Jogosultságkezelés ZF-ben.
64 bites architektúra, csapdák és átjárók Tóth Sándor Terméktámogatási tanácsadó.

64 bites architektúra, csapdák és átjárók Tóth Sándor Terméktámogatási tanácsadó.
Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest

Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest
Ker-Soft Kft. Quest Spotlight for SQL Quest AccessManager Ker-Soft Kft. Kovács Gábor - rendszermérnök Nagy Dániel - rendszermérnök.

Ker-Soft Kft. Quest Spotlight for SQL Quest AccessManager Ker-Soft Kft. Kovács Gábor - rendszermérnök Nagy Dániel - rendszermérnök.
Hálózati és Internet ismeretek

Hálózati és Internet ismeretek
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET 2012.03.06.

Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Az SQL Server 2005 relációs motorjának újdonságai

Az SQL Server 2005 relációs motorjának újdonságai
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.

Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Windows hálózati infrastruktúra kialakítása

Windows hálózati infrastruktúra kialakítása
Active Directory.

Active Directory.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! 2012. január 16.

Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.

2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.
1 Informatikai Szakképzési Portál www.itszp.hu Adatbázis kezelés DCL – Adatvezérlő nyelv.

1 Informatikai Szakképzési Portál Adatbázis kezelés DCL – Adatvezérlő nyelv.
Hálózati architektúrák

Hálózati architektúrák
Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI

Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.

Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
FSMO –Egyedi szerepkörök a címtárszolgáltatásban Ezeket a szerepköröket csak egy tartományvezérlő tudhatja magáénak; alapértelmezettként az első, de átadható.

FSMO –Egyedi szerepkörök a címtárszolgáltatásban Ezeket a szerepköröket csak egy tartományvezérlő tudhatja magáénak; alapértelmezettként az első, de átadható.
Az ETR technológia DEXTER Informatikai kft..

Az ETR technológia DEXTER Informatikai kft..
Adatbázis alapú rendszerek

Adatbázis alapú rendszerek
Készítette: Sárközi Anikó

Készítette: Sárközi Anikó

Hasonló előadás

Google Hirdetések