Mindern von Bedrohungen und Sicherheitsrisiken (Replikation)
Gilt für:
SQL ServerAzure SQL Managed Instance
In diesem Thema werden Techniken zum Mindern von Bedrohungen für eine Replikationstopologie beschrieben.
Verschlüsselung
Als Verschlüsselung wird der Vorgang bezeichnet, bei dem Daten in eine Form konvertiert werden, die ohne einen speziellen Schlüssel nicht gelesen werden kann. Auf diese Weise wird sichergestellt, dass nur der vorgesehene Empfänger die Daten lesen kann. Durch die Replikation werden keine Daten verschlüsselt, die in Tabellen gespeichert bzw. über Netzwerkverbindungen übermittelt werden. Dies ist beabsichtigt, da die Verschlüsselung auf Transportebene mit einer Reihe von Technologien verfügbar ist, einschließlich der folgenden Branchenstandardtechnologien: Virtual Private Networks (VPN), Transport Layer Security (TLS), früher bekannt als Secure Sockets Layer (SSL) und IP Security (IPSEC). Es empfiehlt sich, eine dieser Verschlüsselungsmethoden für die Verbindungen zwischen Computern in einer Replikationstopologie zu verwenden. Weitere Informationen finden Sie unter Aktivieren von verschlüsselten Verbindungen zur Datenbank-Engine (SQL Server-Konfigurations-Manager). Informationen zum Verwenden von VPN und TLS für die Replikation von Daten über das Internet finden Sie unter Absichern der Replikation über das Internet.
Wenn Sie TLS zum Sichern der Verbindungen zwischen Computern in einer Replikationstopologie verwenden, geben Sie den Wert 1 oder 2 für den Parameter -EncryptionLevel der einzelnen Replikations-Agents an (der Wert 2 wird empfohlen). Mit dem Wert 1 wird angegeben, dass eine Verschlüsselung verwendet wird. Der Agent überprüft aber nicht, ob das TLS/SSL-Serverzertifikat von einem vertrauenswürdigen Aussteller signiert wurde. Mit dem Wert 2 wird angegeben, dass das Zertifikat überprüft wurde. Agentparameter können in den Agentprofilen und in der Befehlszeile angegeben werden. Weitere Informationen finden Sie unter:
Die Replikation verhält sich in Bezug auf Datenbankhauptschlüssel, die zur Verschlüsselung von Daten herangezogen werden, folgendermaßen:
Wenn ein Hauptschlüssel in einer Datenbank vorhanden ist, die an der Replikation (einer Publikationsdatenbank, einer Abonnementdatenbank oder einer Verteilungsdatenbank) beteiligt ist, verschlüsselt und entschlüsselt die Replikation Agent-Kennwörter in dieser Datenbank mithilfe eines symmetrischen SQL Server 2012(11.x)-Datenbanksymmetrischen Schlüssels. Wenn Hauptschlüssel zum Einsatz kommen, empfiehlt es sich, in jeder in die Replikation involvierten Datenbank jeweils einen Hauptschlüssel zu erstellen. Weitere Informationen zum Erstellen von Masterschlüsseln finden Sie unter CREATE MASTER KEY (Transact-SQL).
Bei der Replikation werden Hauptschlüssel nicht repliziert. Wenn Sie den Hauptschlüssel auf dem Abonnenten benötigen, müssen Sie ihn mit BACKUP MASTER KEY aus der Veröffentlichungsdatenbank exportieren und ihn dann mit RESTORE MASTER KEY in die Abonnementdatenbank importieren. Weitere Informationen finden Sie unter BACKUP MASTER KEY (Transact-SQL) und RESTORE MASTER KEY (Transact-SQL).
Wenn ein Masterschlüssel für eine anfügende Abonnementdatenbank definiert ist, geben Sie das MasterSchlüsselkennwort mithilfe des
@db_master_key_passwordParameters sp_attachsubscription (Transact-SQL) an. Auf diese Weise kann die Datenbank auf dem Abonnenten angefügt werden.
Weitere Informationen zur Verschlüsselung und zu Hauptschlüsseln finden Sie unter Encryption Hierarchy.
Mithilfe der Replikation können Sie verschlüsselte Spaltendaten veröffentlichen. Zum Entschlüsseln und Verwenden dieser Daten auf dem Abonnenten muss der zum Verschlüsseln der Daten auf dem Verleger verwendete Schlüssel auch auf dem Abonnenten vorhanden sein. Die Replikation bietet keinen sicheren Mechanismus zum Transportieren von Verschlüsselungsschlüsseln. Sie müssen den Verschlüsselungsschlüssel auf dem Abonnenten manuell neu erstellen. Weitere Informationen finden Sie unter Replizieren von Daten in verschlüsselten Spalten (SQL Server Management Studio).
Weitere Informationen
Identität und Zugriffssteuerung (Replikation)
Anzeigen und Ändern von Replikationssicherheitseinstellungen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für