Кирилл Панов Специалист по технологиям Microsoft Rus

1. Новые возможности безопасности и управления Кирилл Панов Специалист по технологиям Microsoft Rus

2. Темы • Прозрачное шифрование • Управление основанное на политиках

3. Прозрачное шифрованиеTransparent Data Encryption (TDE) • Шифрование/Дешифрование на уровне базы данных • DEK зашифрован: • Сервисным Мастер Ключом (Service Master Key) • Для хранения ключей можно задействовать аппаратные модули безопасности (HSM) • DEK должен быть дешифрован при • Присоединении файлов БД • Восстановлении резервной копии SQL Server 2008 DEK Зашифрованная страница Приложение DEK - database encryption key

4. Иерархия ключей TDE CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'password' Пароль CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = { AES_128 | AES_192 | AES_256 | TRIPLE_DES_3KEY } ENCRYPTION BY SERVER CERTIFICATE Encryptor_Name ALTER DATABASE database_name SET ENCRYPTION ON

5. Сценарии использования Без ключа или HSM базу данных не открыть.

6. Использование прозрачного шифрования • База данных защищена • Не требуется изменения приложения! • Нет ограничения по типам данных и индексам (за исключениямFilestream) • Небольшое падение производительности CPU • Резервные копии и файлы данных бесполезны без ключа

7. Использование прозрачного шифрования • Компрессия баз данных • Включайте компрессию до шифрования • Компрессия резервных копий • Не использовать • Зеркалирование • Скопируйте сертификат с основного сервера на зеркальный

8. Расширяемое управление ключом Extensible Key ManagementKEM • Хранение ключа, управление и шифрование производится HSM • Реализуется через SQL EKM Provider DLL SQL EKM Provider DLL SQL EKM Key (HSM key proxy) Data SQL Server

9. Преимущества использования EKM • Безопасность • Данные и ключи физически разделены (ключи хранятся на Смарт-картах, USB устройствах, HSM ) • Шифрование • Реализация на уровне оборудования • Другие алгоритмы шифрования

10. Прозрачное шифрование Демо

11. Темы • Прозрачное шифрование • Управление основанное на политиках

12. Управление основанное на политиках Управление в корпоративной среде Управление одним экземпляром

13. Управление основанное на политиках Определение политики Фасеты Условия Политики Объекты Категории

14. Примеры политик • Ограничения • XPCmdShell == False • SQLCLR == True • DBMail == False • Имена таблиц должны заканчиваться на “%_tbl” • Только редакцииExpress и Developer могут быть установлены на рабочих станциях разработчиков

15. Мониторингвыполнения условиям политик По требованию По расписанию, в журнал записывается о несоответствиях политикам • Ручная проверка администратором При попытке изменений, предотвращает не соответствующие изменения • Задание SQL Server Agent проверяет по расписанию и пишет в журнал о несоответствиях При попытке изменений , в журнал записывается о несоответствиях политикам • DDL триггера откатывают не соответствующие изменения • Информация о несоответствующих изменениях пишется в журнал

16. Управление при помощи политик Демо

17. Итоги • SQL Server 2008 позволяет эффективно управлять инфраструктурой серверов • При помощи управления основанного на политиках для выполнения задач безопасности и администрирования • Усилить безопасность данных используя прозрачное шифрование

18. Ссылки • Российская группа пользователей SQL Server • http://sql.ineta.ru

19. Ссылки • Форум Российской группы пользователей SQL Server • http://sqlclub.ru

20. Ссылки • Блоги наших участников • http://blogs.gotdotnet.ru/personal/yliberman/ • http://blogs.gotdotnet.ru/personal/denish/

21. Ссылки • Сайт http://sql.ruпереводит форум на SQLServer 2008