Zarządzanie zabezpieczeniami (usługa Broker)
usługa Broker określa strukturę elastyczne zabezpieczeń pomaga zabezpieczyć aplikacji.W tym temacie omówiono zagadnienia dotyczące zarządzania zabezpieczeniami usługa Broker.
Planowanie zabezpieczeń
Każda aplikacja ma wymagania dotyczące zabezpieczeń unikatowa.Zarządzanie zabezpieczeniami jest dokładnie zaplanować wymagania dotyczące aplikacji.Zabezpieczeń transportu, okno dialogowe zabezpieczeń i infrastrukturę zabezpieczeń wbudowanych w SQL Server współpracują ze sobą, aby pomóc zabezpieczyć aplikacji.
Wszystkie aplikacje wykorzystują infrastrukturę zabezpieczeń wbudowanych w SQL Server. Każda operacja w SQL Server występuje w kontekście zabezpieczeń. W większości przypadków tworzenie SQL Server główne bazy danych dla aplikacji. Pomaga to zapewnić, że każdy krok w aplikacji zostanie uruchomiona w kontekście zabezpieczeń, tylko uprawnienia niezbędne do tego kroku.Na przykład główny, określające wewnętrzne aktywacja wymaga uprawnienia do wykonywania dotyczące procedura przechowywana, który uaktywnia usługa Broker.procedura przechowywana, sam może personifikować użytkownika, który ma przyjęcie dla kolejki i UPDATE uprawnienie dla określonej tabela.Aplikację można zaprojektować w taki sposób, aby na każdym etapie kontekst zabezpieczeń dla aplikacji nie ma uprawnień do wykonywania operacji na nieoczekiwany.
Aplikacje, które wysyłają wiadomości między SQL Server wystąpienia mogą używać zabezpieczeń transportu, okno dialogowe zabezpieczeń lub jedno i drugie. Zabezpieczeń transportu i okna dialogowego zabezpieczeń zapewniają ochronę wyraźnie różne.
Broker z okna dialogowego zabezpieczeń zapewnia szyfrowanie typu end-to-end i autoryzację dla konwersacji między określonych usług.W związku z tym okno dialogowe zabezpieczeń pomaga chronić dane przed inspekcji lub zmianie podczas przesyłania.Aplikacji, które przesyłają dane poufne lub wrażliwe lub, przesyłanie wiadomości przez niezaufanych sieci, należy użyć okna dialogowego zabezpieczeń.Okno dialogowe zabezpieczeń mogą pomóc w identyfikacji innych uczestnik konwersacji uczestnik konwersacji.
Ponieważ okno dialogowe zabezpieczeń stosuje się do określonych usług, należy skonfigurować okna dialogowego zabezpieczeń dla każdej usługa, która korzysta z okna dialogowego zabezpieczeń.Jednak wystąpienie może za pomocą okna dialogowego zabezpieczeń dla niektórych konwersacji i zezwolić na inne konwersacji należy przekazywać bez szyfrowania.Na przykład konwersacji do usługa, która aktualizuje informacje o klientach może używać zabezpieczeń okna dialogowego rozmowy, po prostu wyszukiwania informacji numeru strony mogą nie wymagać od okna dialogowego zabezpieczeń.
usługa Broker wykorzystuje powiązania usługa zdalne w bazie danych, która rozpoczyna się konwersacji, aby określić zabezpieczenia dla konwersacji.usługa Broker używa nazwy usługa w związku z tym, aby określić zabezpieczeń usługa.W przypadkach, gdy istnieje więcej niż jednego wystąpienie tej samej usługa miejsce docelowe routing inicjujący usług muszą być dokładnie zarządzane tak, aby usługa inicjujący komunikować się tylko z usługa miejsce docelowe, które zawierają pasujące certyfikatów.Wszystkie usługi o tej samej nazwie musi być skonfigurowany z tym samym certyfikacie.
Zabezpieczeń transportu usługa Broker uniemożliwia nieautoryzowanym sieciowych połączeń do punktów końcowych usługa Broker, wykrywa zmiany komunikaty podczas przesyłania i opcjonalnie zapewnia szyfrowanie typu "punkt z punktem".W ten sposób chronić bazę danych przed odbieranie niechcianych wiadomości.Ponieważ zabezpieczeń transportu ma zastosowanie do połączeń sieciowych, zabezpieczeń transportu automatycznie stosuje się do wszystkich konwersacji między SQL Server wystąpienia. Należy zauważyć, jednak zabezpieczeń transportu nie zapewnia szyfrowanie typu end-to-end, a nie zapewnia uwierzytelnianie dla poszczególnych konwersacji.
Utrzymywanie zabezpieczeń
Zachowanie bezpieczeństwa aplikacji usługa Broker składa się z dwóch głównych zadań--inspekcji konfiguracja aplikacji i zastępowanie certyfikaty, które są używane przez aplikację.
Okresowo inspekcję aplikacji, aby określić, że nie ulega zmianie w konfiguracji zabezpieczeń i że konfiguracja zabezpieczeń spełnia potrzeby biznesowe dla aplikacji.
Okno dialogowe zabezpieczeń używa certyfikatów do uwierzytelnianie i szyfrowanie.Zabezpieczeń transportu, również mogą używać certyfikatów.Certyfikat ma określony czas, w którym certyfikat jest prawidłowy.Zanim rozpocznie się teraz, lub po przekroczeniu limitu czas ten certyfikat nie jest prawidłowy.usługa Broker nie są używane certyfikaty, które nie są obecnie dozwolone.Ponadto, SQL Server zawiera opcję ACTIVE BEGIN_DIALOG do udostępnienia usługa Broker certyfikat. Aktualizuj certyfikaty, tworzenia lub załadować nowych certyfikatów z aktywny dla opcji okna dialogowego początkowy ustawić na OFF.Po załadowaniu wszystkie certyfikaty, należy zmienić bieżący certyfikaty wszystkich baz danych, aby uniemożliwić dostęp certyfikaty usługa Broker.Następnie należy zmienić nowych certyfikatów przez ustawienie opcji ACTIVE BEGIN_DIALOG dla, tak aby były dostępne dla usługa Broker tych certyfikatów.
Aby uzyskać więcej informacji na temat certyfikatów Zobacz Certyfikaty i usługa Broker i CREATE certyfikat (języka Transact-SQL).