Кирилл Панов Специалист по технологиям Microsoft Rus Новые возможности безопасности и управления

Темы Прозрачное шифрование Управление основанное на политиках

Прозрачное шифрование Transparent Data Encryption (TDE) Шифрование/Дешифрование на уровне базы данных DEK зашифрован: Сервисным Мастер Ключом (Service Master Key) Для хранения ключей можно задействовать аппаратные модули безопасности (HSM) DEK должен быть дешифрован при Присоединении файлов БД Восстановлении резервной копии SQL Server 2008 DEK Приложение Зашифрованная страница DEK - database encryption key

Иерархия ключей TDE Пароль CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = { AES_128 | AES_192 | AES_256 | TRIPLE_DES_3KEY } ENCRYPTION BY SERVER CERTIFICATE Encryptor_Name ALTER DATABASE database_name SET ENCRYPTION ON CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'password'

Сценарии использования Потеря или кража жесткого диска хранения БД Неавторизован- ный доступ к файлам БД Неавторизован- ный доступ к резервным копиям Без ключа или HSM базу данных не открыть.

Использование прозрачного шифрования База данных защищена Не требуется изменения приложения! Нет ограничения по типам данных и индексам (за исключениям Filestream) Небольшое падение производительности CPU Резервные копии и файлы данных бесполезны без ключа

Использование прозрачного шифрования Компрессия баз данных Включайте компрессию до шифрования Компрессия резервных копий Не использовать Зеркалирование Скопируйте сертификат с основного сервера на зеркальный

Расширяемое управление ключом Extensible Key Management KEM Хранение ключа, управление и шифрование производится HSM Реализуется через SQL EKM Provider DLL SQL EKM Provider DLL SQL EKM Key (HSM key proxy) Data SQL Server

Преимущества использования EKM Безопасность Данные и ключи физически разделены (ключи хранятся на Смарт-картах, USB устройствах, HSM ) Шифрование Реализация на уровне оборудования Другие алгоритмы шифрования

Прозрачное шифрование Демо

Темы Прозрачное шифрование Управление основанное на политиках

Управление в корпоративной среде Управление одним экземпляром Управление основанное на политиках

Управление основанное на политиках Определение политики КатегорииКатегории ОбъектыОбъекты ФасетыФасетыУсловияУсловияПолитикиПолитики

Примеры политик Ограничения XPCmdShell == False SQLCLR == True DBMail == False Ограничения XPCmdShell == False SQLCLR == True DBMail == False Имена таблиц должны заканчиваться на %_tbl Только редакции Express и Developer могут быть установлены на рабочих станциях разработчиков

Ручная проверка администратором По требованию Задание SQL Server Agent проверяет по расписанию и пишет в журнал о несоответствиях По расписанию, в журнал записывается о несоответствиях политикам DDL триггера откатывают не соответствующие изменения При попытке изменений, предотвращает не соответствующие изменения Информация о несоответствующих изменениях пишется в журнал При попытке изменений, в журнал записывается о несоответствиях политикам Мониторинг выполнения условиям политик

Управление при помощи политик Демо

Итоги SQL Server 2008 позволяет эффективно управлять инфраструктурой серверов При помощи управления основанного на политиках для выполнения задач безопасности и администрирования Усилить безопасность данных используя прозрачное шифрование

Ссылки Российская группа пользователей SQL Server

Ссылки Форум Российской группы пользователей SQL Server

Ссылки Блоги наших участников

Ссылки Сайт переводит форум на SQL Server 2008http://sql.ru