La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad en SQL Server 2005 para Desarrolladores.

Publicada porGuilermo Fontanilla Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Seguridad en SQL Server 2005 para Desarrolladores."— Transcripción de la presentación:

1 Seguridad en SQL Server 2005 para Desarrolladores

2 © 2006 Solid Quality Learning Agenda SQL y la Seguridad Separación de Usuarios y Esquemas Contexto de Ejecución Cifrado de Datos Integración de CLR

3 © 2006 Solid Quality Learning SQL y la Seguridad Seguridad por Defecto Principio de Menor privilegio

4 © 2006 Solid Quality Learning Seguridad por defecto Parte de la iniciativa Trustworthy Servicios y Características deshabilitados de forma predeterminada Nueva herramienta para gestionarlo –Surface Area Configuration Tool

5 © 2006 Solid Quality Learning Principio del Menor Privilegio Por defecto: Sin acceso, sin derechos, sin permisos Mayor Granularidad de Permisos en SQL Server 2005 –Ej: CREATE TRACE, ALTER TRACE Seguridad en Metadatos –Solo veo los objetos a los que puedo acceder

6 © 2006 Solid Quality Learning Agenda SQL y la Seguridad Separación de Usuarios y Esquemas Contexto de Ejecución Cifrado de Datos Integración de CLR

7 © 2006 Solid Quality Learning Separación de Usuarios y Esquemas ¿Qué son los esquemas? Beneficios de los esquemas Esquema Predeterminado

8 © 2006 Solid Quality Learning ¿Qué son los esquemas? Espacio de Nombres para objetos de Base de Datos Maestros Productos (Server1.AdventureWorks.maestros.Productos) Ventas Pedidos (Server1.AdventureWorks.SalesData.Orders)

9 © 2006 Solid Quality Learning Beneficios de los Esquemas Los objetos están agrupados en el esquema Podemos administrar usuarios (borrar, cambiar nombre) sin modificar el esquema de nombres Podemos asignar permisos a nivel de esquema

10 © 2006 Solid Quality Learning Esquema Predeterminado Productos Pedidos SELECT * FROM Productos SELECT * FROM Pedidos SELECT * FROM Productos SELECT * FROM Pedidos Fernando (no default schema) Antonio (Default schema = ventas) Resolución de Nombres ventas dbo

11 © 2006 Solid Quality Learning Agenda SQL y la Seguridad Separación de Usuarios y Esquemas Contexto de Ejecución Cifrado de Datos Integración de CLR

12 © 2006 Solid Quality Learning Contexto de Ejecución ¿Qué es el Contexto de Ejecución? Cambios de Contexto

13 © 2006 Solid Quality Learning ¿Qué es el Contexto de Ejecución? Representado por dos testigos de seguridad: –Inicio de Sesión y Usuario –Existirán tantos testigos de usuario como bases de datos acceda el usuario sys.login_token / sys.user_token

14 © 2006 Solid Quality Learning Cambios de Contexto Podemos impersonalizar al usuario con EXECUTE AS –Nivel LOGIN USER –Tipo CALLER SELF OWNER Usuario Duración –Se borra la sesión –Se completa el batch –Se cambia el contexto –Se revierte el contexto (REVERT)

15 © 2006 Solid Quality Learning Agenda SQL y la Seguridad Separación de Usuarios y Esquemas Contexto de Ejecución Cifrado de Datos Integración de CLR

16 © 2006 Solid Quality Learning Cifrado de Datos Jerarquía de Cifrado Claves Maestras Escenarios

17 © 2006 Solid Quality Learning Jerarquía de Cifrado

18 © 2006 Solid Quality Learning Claves Maestras Servicio –Clave Simétrica creada para el Servicio de SQL Server –Utilizada para cifrar: Contraseñas de servidores vinculados Cadenas de Conexión Credenciales de cuentas Todas las claves de Base de Datos Base de Datos –Clave Simétrica –Propósito: Cifrar Certificados y Claves dentro de la BBDD si no especificamos un mecanismo –Cifrada con la Clave de Servicio y almacenada en la master (para abrir automáticamente la clave) –Se almacena en la propia BBDD cifrada con contraseña

19 © 2006 Solid Quality Learning Escenarios Buenas Prácticas –Cifrar datos utilizando claves simétricas –Utilizar certificados de orígenes de confianza –Utilizar certificados para asegurar comunicaciones Service Broker Database Mirroring HTTP Endpoints Intentar Evitar –Cifrar utilizando claves asimétricas y certificados (Rendimiento) –Cifrar todos los datos No se pueden indexar No se pueden utilizar en joins

20 © 2006 Solid Quality Learning Agenda SQL y la Seguridad Separación de Usuarios y Esquemas Contexto de Ejecución Cifrado de Datos Integración de CLR

21 © 2006 Solid Quality Learning Integración de CLR ¿Será mi base de datos menos segura? Seguridad de Acceso a Código Buenas Prácticas

22 © 2006 Solid Quality Learning ¿Será mi Base de Datos menos segura? Integración de CLR deshabilitada por defecto Podemos asignar tres niveles de seguridad en CREATE ASSEMBLY –SAFE –EXTERNAL ACCESS –UNSAFE Para External Access y Unsafe es necesario habilitar la propiedad de BBDD Trusworthy y asignar el permiso al Inicio de Sesión Podemos asignar permisos a CREATE ASSEMBLY El propietario puede asignar permiso de REFERENCE a un ensamblado

23 © 2006 Solid Quality Learning Seguridad de Acceso a Código (CAS) SAFEEXTERNAL_ACCESSUNSAFE Permisos CAS EjecuciónEjecución + acceso a recursos externos Sin restricciones (P/Invoke) Acceso datos locales Si Restricciones modelo programación Si No Comprobación requerida Si No Garantiza Seguridad / Fiabilidad Fiabilidad & Seguridad Fiabilidad Ninguno

24 © 2006 Solid Quality Learning Buenas Prácticas Utilizar el menor permiso necesario EXTERNAL ACCESS utiliza la cuenta de servicio de SQL Server –Solo para inicios de sesión de confianza –Utilizar impersonalización Aplicar técnicas de revisión de código para ensamblados EXTERNAL_ACCESS y UNSAFE Si se necesitan estos permisos intentar separar el código en un ensamblado separado Exponer solo los ensamblados necesarios

Descargar ppt "Seguridad en SQL Server 2005 para Desarrolladores."

Presentaciones similares

Código: HOL-SQL29. Permite la encriptación de ficheros de registro y de datos mediante clave de encriptación de datos (Database Encryption Key) Encriptación.

Código: HOL-SQL29. Permite la encriptación de ficheros de registro y de datos mediante clave de encriptación de datos (Database Encryption Key) Encriptación.
Girish Chander Administrador del Programa, Seguridad SQL Server

Girish Chander Administrador del Programa, Seguridad SQL Server
Rocío Contreras Aguila Primer Semestre 2010

Rocío Contreras Aguila Primer Semestre 2010
Diseño de Bases de Datos

Diseño de Bases de Datos
Algunos tips en Seguridad ASP.NET 2.0

Algunos tips en Seguridad ASP.NET 2.0
TNT4-05 <SLIDETITLE>Entry Slide</SLIDETITLE>

TNT4-05 <SLIDETITLE>Entry Slide</SLIDETITLE>
TNT4-05 <SLIDETITLE>Entry Slide</SLIDETITLE>

TNT4-05 <SLIDETITLE>Entry Slide</SLIDETITLE>
Componentes de ASP.NET Leonardo Diez Dolinski Servicios Profesionales Danysoft.

Componentes de ASP.NET Leonardo Diez Dolinski Servicios Profesionales Danysoft.
Seguridad en SQL Server 2005

Seguridad en SQL Server 2005
Implementación de SQL Server 2000 Reporting Services

Implementación de SQL Server 2000 Reporting Services
Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.

Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.
Fernando Punzón Ortiz fpunzon@informatica64.com Código: HOL-SQL 08 Administración y seguridad Fernando Punzón Ortiz fpunzon@informatica64.com.

Fernando Punzón Ortiz Código: HOL-SQL 08 Administración y seguridad Fernando Punzón Ortiz
Amenazas o vulnerabilidades de procesos Directivas de seguridad Principio de Privilegios mínimos Boletines de Seguridad Amenazas o vulnerabilidades.

Amenazas o vulnerabilidades de procesos Directivas de seguridad Principio de Privilegios mínimos Boletines de Seguridad Amenazas o vulnerabilidades.
Microsoft® SQL Server 2008 Usuarios, Roles, Encriptación y Back Up de la base de datos.

Microsoft® SQL Server 2008 Usuarios, Roles, Encriptación y Back Up de la base de datos.
SISTEMAS OPERATIVOS GESTION DE MEMORIA INTEGRANTES Lizeth Chandi

SISTEMAS OPERATIVOS GESTION DE MEMORIA INTEGRANTES Lizeth Chandi
Rocío Contreras Águila Primer Semestre 2010

Rocío Contreras Águila Primer Semestre 2010
Primer Semestre 2010 Rocío Contreras Aguila

Primer Semestre 2010 Rocío Contreras Aguila
Procedimientos de Almacenado

Procedimientos de Almacenado
Administración del estado

Administración del estado
Administración de transacciones y bloqueos

Administración de transacciones y bloqueos

Presentaciones similares

Anuncios Google