安全
文章平均质量分 91
發糞塗牆
MVP, TOGAF, MCSE, Azure Solution Architect
展开
-
【Azure 架构师学习笔记】- Azure Service Endpoint 和 Azure Private Endpoint
前面两章【Azure 架构师学习笔记】- Azure Private Endpoint和【Azure 架构师学习笔记】- Azure Service Endpoint分别介绍了PE 和SE的内容。那么这两者的区别在哪里,什么时候用?通过网上搜集资料和测试,总结了以下内容。原创 2024-03-12 09:25:08 · 584 阅读 · 0 评论 -
【Azure 架构师学习笔记】- Azure Private Endpoint
公有云的其中一个特点是默认允许公网访问, 这就对企业环境带来风险,也是很多年前企业对公有云抵触的其中一个原因,现在这类问题已经很少,因为有了很多技术来确保云上的资源被安全地访问。其中Private endpoint(PE)就起到了很重要的作用。云上的某个资源如VM会创建在特定的网络(VNet/Subnet)上, 而其他如Storage Account , Azure SQL等PaaS服务则没有。如果你需要用VM 来访问这些PaaS资源,VM 就会通过资源的公网IP 来访问。原创 2024-03-07 09:26:04 · 1257 阅读 · 0 评论 -
【Azure 架构师学习笔记】- Azure Service Endpoint
在做Azure 架构时,经常会被问到Service Endpoint这个点,那么这篇文章来介绍一下Service Endpoint(SE)。原创 2024-03-05 09:11:50 · 713 阅读 · 0 评论 -
【Azure 架构师学习笔记】-Azure Storage Account(7)- 权限控制
存储帐户作为其中一个数据终端存储,对安全性的要求非常高,不管在云还是本地环境中,基于角色的权限定义(RBAC: Role-based Access Control)变得越来越普及。RBAC通过预设或者自定义一些通用角色,然后分配常规权限,用户只需要于这些角色进行关联就可以获得对应的权限。这种方式不是新东西,但是在云环境这种大规模,多租户的情况下,很好地降低了权限管理的难度和工作量。原创 2023-11-22 09:00:21 · 514 阅读 · 0 评论 -
SQL Server 安全篇——SQL Server 审核(3)——自定义审核事件
本文属于SQL Server安全专题系列 接上文:SQL Server 安全篇——SQL Server 审核(2)——审核实操,很多时候,原生的审核功能并不能完全满足需求,这个时候,就可以使用服务器审核规范或者数据库审核规范来捕获USER_DEFINED_AUDIT_GROUP审核操作组,然后手动在应用程序中触发。自定义服务器审核和数据库审核规范: 下面原创 2018-01-22 11:08:06 · 919 阅读 · 0 评论 -
SQL Server 安全篇——数据层面安全性(1)——架构
本文属于SQL Server安全专题系列 在安全性主体层级之下,SQL Server 为保护数据提供了一组丰富的功能。本章将介绍架构、所有权链接和继承。本文集中介绍架构(Schema)。正文: 如果学过编程语言特别是JAVA、C#等的话,应该听过命名空间(namespace)这个术语。是一个逻辑的容器,schema把数据库对象包在里面。并且在对象和它们的拥有原创 2018-01-24 10:51:26 · 3087 阅读 · 2 评论 -
SQL Server 安全篇——数据层面安全性(2)——所有权链接( Ownership Chaining)
本文属于SQL Server安全专题系列 接上文:SQL Server 安全篇——数据层面安全性(1)——架构Ownership Chaining SQL Server 2016提供了一种叫行级安全性(row-level security,RLS)的功能,但是这种功能是比较有限制的,标准的方式是使用视图或存储过程来限制数据返回。并且通过对视图或存储过程的授权原创 2018-01-25 15:50:58 · 988 阅读 · 0 评论 -
SQL Server 安全篇——数据层面安全性(3)——模拟(Impersonation)
本文属于SQL Server安全专题系列接上文:SQL Server 安全篇——数据层面安全性(2)——所有权链接( Ownership Chaining) 模拟是指在不同安全主体的上下文下执行T-SQL语句或代码模块的做法。用来最小化权限授予和授予权限的用户数,但是不影响执行时提升到所需的权限。实际上,在会话或模块的执行期间,模拟起到了用户或登录名切换的过程。也可原创 2018-01-26 12:00:12 · 948 阅读 · 0 评论 -
SQL Server 安全篇——安全元数据(3)——审核元数据
本文属于SQL Server安全专题系列 审核除了应对用户行为之外,还能进行“审核审核”以避免别人对自己的怀疑。比如一个恶意的 DBA关闭了审核, 然后执行的是一个危险的行为, 则该操作本身将不会被审核, 但 由于DBA已经关闭了审计, 然后再次将其重新打开的时候,这个打开操作将被审核。 SQL Server提供了很多元数据对象来实现审核增强,其中一个最常用的就是sys.fn_ge原创 2018-02-05 09:24:36 · 987 阅读 · 0 评论 -
SQL Server 安全篇——SQL Server 审核(2)——审核实操
本文属于SQL Server安全专题系列 接上文:SQL Server 安全篇——SQL Server 审核(1)——概览 ,本文介绍如何创建服务器审核、服务器审核规范(specification)和 数据库审核规范。创建服务器审核:可以使用CREATE SERVER AUDIT来创建服务器审核,其可选项有:服务器审核选项原创 2018-01-22 11:07:05 · 2140 阅读 · 0 评论 -
SQL Server 安全篇——SQL Server 审核(1)——概览
本文属于SQL Server安全专题系列 在SQL Server 安全篇——SQL Server 安全模型(1)——安全性主体层级中提到过,安全分为主动安全和被动安全,前面关于账号权限的算主动安全,那么被动安全指的是记录用户活动以避免不可抵赖性威胁。这个很重要,因为如果攻击是由特权用户发起,那么基本上是很难阻止。SQL Server审核则可以从很大程度上帮助实现被动安全。 但原创 2018-01-22 11:05:17 · 1630 阅读 · 0 评论 -
SQL Server 安全篇——SQL Server 安全模型(3)——数据库级别安全性
本文属于SQL Server安全专题系列 接上文SQL Server 安全篇——SQL Server 安全模型(2)——实例级别安全性 在数据库层面,以授权到安全主体来实现安全性。 相对于服务器级别,数据库级别称为数据库用户和数据库角色。用户: 通常情况下,数据库用户是从实例层面创建的登录名来实现。相同实例下,一个登录名可以映射到多个数据库用户中,并原创 2018-01-22 11:03:25 · 1773 阅读 · 0 评论 -
SQL Server 安全篇——SQL Server 安全模型(2)——实例级别安全性
本文属于SQL Server安全专题系列 接上文http://blog.csdn.net/dba_huangzj/article/details/79030680实例级别安全性包含创建和管理登录名、凭证(credentials)和服务器角色。相对的安全主体在实例级别包含数据库、端点和AlwaysON Availability Groups。本文将讨论登录名、服务器角色和凭证。原创 2018-01-22 10:59:51 · 2224 阅读 · 0 评论 -
SQL Server 安全篇——SQL Server 安全模型(1)——安全性主体层级
本文属于SQL Server安全专题系列前言: 随着数据安全性的越来越重要,很有必要介绍一下数据库的安全方面的内容。本文兼容SQL Server 2016,但是由于安全这个范围太大,不可能完全说清楚,所以以重点介绍常用功能,同时兼顾新特性。系列中以SQL Server 演示库AdventureWorks2016CTP3为演示,下载地址:AdventureWorks sa原创 2018-01-22 10:50:25 · 3953 阅读 · 0 评论 -
SQL Server 安全篇——安全元数据(2)——安全对象(Securable)元数据
本文属于SQL Server安全专题系列 在某些日常工作中,安全配置文件可能会成为需要保护的对象。下面对这些可能进行简介, 并演示元数据如何帮助你验证或实施策略。Code Signing: 代码签名,代码注入攻击明显是违反了安全策略,可以使用代码签名来防御这类工具,假设安全策略上要求所有程序集和存储过程必须使用代码签名来最小化安全威胁。 下面的代码返回在数据库中原创 2018-02-02 11:39:27 · 1173 阅读 · 0 评论 -
SQL Server 安全篇——安全元数据(1)——安全主体(Principal)元数据
本文属于SQL Server安全专题系列 虽然大量的安全元数据(security metadata)可以从SSMS中查询(指鼠标操作),但是有些元数据仅能通过T-SQL来查看。完整的安全元数据足以单独成书,这里仅介绍一些有用的或者可能会用到的内容。安全主体元数据: 当在实例上实施安全策略时,很有可能就要收集很多安全实体或者安全对象的信息。比如一个策略是所有数据库必须属于原创 2018-02-01 11:12:52 · 1531 阅读 · 0 评论 -
SQL Server 安全篇——降低外围威胁(2)——禁用不安全功能
本文属于SQL Server安全专题系列 SQL Server默认禁用不安全的功能。如果需要启用,可以通过SSMS来实现,本文介绍手动配置外围应用配置器和使用策略管理来管理外围环境。手动配置外围应用配置器 右键实例,选择facts如下图,然后在【方面(F)】中选择“外围应用配置器”:可以看到下面的选项,通常我们会使用到“XPCmdShellEnabled”项,如果要用,则选择【True...原创 2018-03-01 11:11:07 · 1245 阅读 · 0 评论 -
SQL Server 安全篇——降低外围威胁(1)——网络配置
本文属于SQL Server安全专题系列 前面大篇幅介绍了SQL Server及操作系统的安全,现在是时候介绍一下外围主要是网络层面的安全。这部分主要包括网络功能、服务和端点。因为绝大部分的攻击都来自于网络,所以网络层的安全控制某种意义上可以说是最外层的防御。本文先介绍一下网络方面的配置。网络配置 在介绍之前先要了解一下基础知识,包括端口和协议。这对后续防火墙的管理很有必要。端口和协议...原创 2018-02-28 12:34:02 · 2646 阅读 · 0 评论 -
SQL Server 安全篇——SQL Server加密(3)——透明数据加密(TDE)
本文属于SQL Server安全专题系列 前面讲到的很多内容都是对数据加密和权限控制,这些主要在SQL Server内部,但是还有一种情况就是文件的安全性,除了在操作系统层面对文件进行访问控制之外,还要确保服务器被攻击之后文件被窃取的情况。为了避免文件被窃取后通过特权方式获得数据,有必要对文件也进行数据安全加密,在SQL Server中提供了一种叫透明数据加密(Transparent Dat...原创 2018-02-27 18:09:48 · 3728 阅读 · 0 评论 -
SQL Server On Linux(12)—— SQL Server On Linux安全性(5)———透明数据加密(TDE)
阿萨德原创 2019-02-19 11:29:04 · 860 阅读 · 0 评论 -
SQL Server On Linux(11)—— SQL Server On Linux安全性(4)——Always Encrypted
本人新书上市,请多多关照:《SQL Server On Linux运维实战 2017版从入门到精通》Always Encrypted,简称AE,官方翻译叫始终加密原创 2019-02-13 16:29:20 · 918 阅读 · 0 评论 -
SQL Server On Linux(10)—— SQL Server On Linux安全性(3)——Dynamic Data Masking
大家是否已经很熟悉快递单上的手机号中间几位打码的情况?虽然我不清楚别人用的是什么技术,但是在SQL Server 2016开始,使用Dynamic Data Masking(DDM,动态数据掩码)就可以实现这种效果,下面来演示一下。DDM 演示 为了保证环境不受影响,这次使用TempDB来演示。--创建测试数据USE tempdb;GOSELECT TOP (10) ID ...原创 2019-02-02 15:29:45 · 934 阅读 · 0 评论 -
SQL Server On Linux(9)—— SQL Server On Linux安全性(2)——Row Level Security
原创 2019-02-01 15:17:45 · 656 阅读 · 0 评论 -
SQL Server 安全篇——安全元数据(4)——加密(Ecryption)元数据
本文属于SQL Server安全专题系列 这里需要注意,加密不是动词,而是指关于加密功能的元数据。SQL Server作为成熟的数据库管理系统,必须有加密功能,而加密功能又需要有一定的元数据作为协助,不然对于用户或者DBA来说会很难使用。本文重点介绍在SQL Server 2016出现的Always Encrypted(始终加密)和2008开始出现的TDE功能的元数据。Always Enc...原创 2018-02-09 15:09:42 · 904 阅读 · 0 评论 -
SQL Server 安全篇——SQL Server加密(1)——加密概念
本文属于SQL Server安全专题系列 加密是一种使用密钥和证书的算法来混淆数据的过程。如果没有密钥和证书,即使得到了数据,也无法得知数据的本来面貌,数据就没有价值了。但是由于加解密本身就是一种非常耗资源(特别是CPU跟I/O )的计算操作,同时加密后的数据本质上会增大,所以也往往会带来性能的下降。所以一般都只能按需使用。 SQL Server到2016为止,加入了很多种加密技术,比...原创 2018-02-12 15:14:08 · 4527 阅读 · 1 评论 -
SQL Server 安全篇——服务帐号安全性(1)——服务帐号类型
本文属于SQL Server安全专题系列 服务帐号本质是一个操作系统帐号,每个SQL Server服务都需要配置一个服务帐号,并使用这个帐号来运行服务。本篇将介绍关于服务帐号的一些安全方面的内容。类型: 截至到SQL 2016,SQL Server支持下面类型的帐号作为服务帐号:Local User:创建在本机的Windows帐号。Domai原创 2018-01-29 11:39:47 · 2031 阅读 · 0 评论 -
SQL Server 安全篇——服务账号安全性(2)——SQL Server服务
本文属于SQL Server安全专题系列 在安装SQL Server时,很重要的一步就是选择所需的服务,由于每个服务必须有一个服务帐号,所以也就需要帐号的选择和配置,应该坚持最小所需权限原则。最小所需权限原则应该针对日常运行所需来制定,如果偶发性的需求,可以临时提权但是记住要用完后马上降权。 下表列出了常规服务帐号的基本所需权限,当然只是“基本”的,如果需要进行额外操作,也可以适当原创 2018-01-30 11:58:43 · 1638 阅读 · 0 评论 -
SQL Server安全专题
随着大数据、云计算的兴起跟数据量的几乎全量存储,使得安全性越来越受重视。所以这里根据工作经历、多本专家书籍跟官方文档整理出一个安全系列专题,但是毕竟安全这个东西,很广、很深,而且涉及从行政手段、技术手段,从网络到硬件到操作系统最后到数据库甚至行列的内容,无法真正写一个完完全全的专题,更多地是希望起到抛砖引玉的作用。 另外由于某种目的(应该在2018年就会揭开答案),有某些部分应...原创 2018-01-26 14:26:50 · 5286 阅读 · 4 评论 -
SQL Server 安全篇——SQL Server加密(2)——加密数据
本文属于SQL Server安全专题系列 在SQL SERVER中的数据可以使用密码或者证书来加密。本文分别来演示一下使用密码和证书来加密。使用密码或短语(passphrase)加密数据 在SQL Server中最常见的数据加密函数是ENCRYPTBPASSPHRASE()。这个函数可以使用密码或者短语直接对数据加密而不需要经过SQL Server的加密层次体系。下面使用Adventu...原创 2018-02-26 14:04:45 · 3684 阅读 · 0 评论 -
SQL Server 安全篇——安全元数据(5)——元数据自身安全性
本文属于SQL Server安全专题系列 随着元数据的使用频率越来越高,安全性也越来越凸显,因为从元数据中可以得到很多不应该随意暴露的系统信息。所以,绝大部分的元数据并不能随意被查看,通常都需要授权。 比如当一个用户A被授权查询B表,那么这个用户A就自动获得了在sys.tables和sys.objects中关于B表的信息。否则他无法真正使用这个B表。 如果需要查看那些没有权限访问...原创 2018-02-11 11:59:26 · 674 阅读 · 0 评论 -
Securing Checklists
本文属于SQL Server安全专题系列 确保非授权用户不能非法进入系统环境。只安装所需的软件组件。最小化访问SQL Server的用户,强烈建议借助操作系统使用Windows身份验证或者SQL On Linux的集成身份验证来访问。 哪怕是DBA,也应该仅在需要时采用sysadmin登录,更安全的方式是使用Windows身份验证登录。SA帐号如果启用,应该设置强密码。但是依旧建议使用Win...原创 2018-03-05 10:49:28 · 711 阅读 · 0 评论 -
SQL Server 安全篇——服务账号安全性(3)——服务账号的威胁与对策
本文属于SQL Server安全专题系列 在安全领域中,“攻”“防”一直在持续着,并且很不幸,攻击者永远处于主动地位,一切防御方案都是基于已经发生的攻击来制定的,但是深入理解原理,不仅可以快速应对攻击,也能从中推测出一些可能的衍生攻击方案并作出提前防御。 本文将集中在服务帐号上的攻击介绍。曾经看过一部外国电影,名字早忘了,但是有一句话一直记在脑海里(大概也有十几年了吧):世界上不存在没有原创 2018-01-31 11:38:52 · 1365 阅读 · 0 评论 -
SQL Server扫盲系列——安全性专题——SQL Server 2012 Security Cookbook
SQL Server扫盲系列——安全性专题原创 2014-07-17 15:08:37 · 8218 阅读 · 1 评论 -
Chapter 3 Protecting the Data(3):创建和使用数据库角色
数据库层级的角色允许把数据库权限像服务器级别角色一样组合管理。你可以配置固定服务器角色,创建用户自定义角色等。翻译 2014-09-28 12:41:57 · 5420 阅读 · 0 评论 -
Chapter 1 Securing Your Server and Network(11):使用透明数据库加密
如果没有对数据库文件(MDF/LDF等)做权限控制,攻击者可以把这些文件复制走,然后附加到自己机器上进行分析。第一层保护就是对SQL Server文件所在的NTFS文件系统进行权限管控。如果希望进一步保护数据库,可以使用透明数据库加密(Transparent Database Encryption,TDE),这个功能可以保护对应数据库的所有文件,不管有多少个文件。因为文件已经加密,即使这些文件被复制走,如果没有数据库主密钥,也一样不能使用。同时,这种加密不影响用户对数据库的使用,开发人员不需要对此做额外的工翻译 2014-08-06 11:49:25 · 4610 阅读 · 0 评论 -
Chapter 2 User Authentication, Authorization, and Security(1):选择Windows和SQL 身份验证
SQL Server 有两种身份验证:一种是WIndows身份验证,Windows身份验证使用Windows上的帐号,并利用其安全令牌进行验证。一种是SQL Server验证,使用SQL Server里面定义的帐号进行身份验证。翻译 2014-08-18 11:13:41 · 5896 阅读 · 0 评论 -
Chapter 1 Securing Your Server and Network(8):停止未使用的服务
如果完全安装SQL Server,会有一些非必要的组件也会被安装上去,这些组件会影响性能,也会带来更大的安全隐患。翻译 2014-07-29 11:26:49 · 4310 阅读 · 0 评论 -
Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击
在客户端和服务器互访过程中,授权是会一直保持,通过验证,可以接受或拒绝连接。翻译 2014-08-04 14:10:02 · 4830 阅读 · 0 评论 -
Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证
在活动目录(Active Directory)中,有两种身份验证机制:NTLM和Kerberos。其中NTLM(NT LAN Manager)是基于旧版加密方式的授权协议,微软不建议再使用。翻译 2014-08-01 10:42:15 · 4488 阅读 · 0 评论 -
Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse
SQL Server Browser 服务在安装SQL Server 群集或者命名实例时自动启动,它用于与机器上的SQL Server实例进行交互,并让客户端通过命名实例正在侦听的端口进行信息发送。翻译 2014-07-28 11:47:31 · 4704 阅读 · 0 评论