Udostępnij za pośrednictwem

  • Artykuł

Omówienie zabezpieczeń (Service Broker)

Service Broker pomaga pisać aplikacje skalowalnej bazy danych, które również są bezpieczne i niezawodne.Security Service Broker umożliwia usług obsługiwanych przez różne SQL Server wystąpienia do komunikowania się bezpiecznie, nawet w przypadku, gdy wystąpienia są na różnych komputerach nie relacji zaufania lub gdy komputery źródłowy i obiekt docelowy nie są podłączone do tej samej sieci, w tym samym czas.

Security Service Broker opiera się na Certyfikaty.Ogólne podejście jest użycie certyfikatów do ustanowić poświadczenia zdalnej bazy danych, a następnie zamapować operacji zdalnej bazy danych użytkownika lokalnego.Uprawnienia dla użytkowników lokalnych stosuje się do każdej operacji w imieniu usługa zdalnego.certyfikat Jest udostępniony między bazami danych.Inne informacje dla użytkownika jest udostępniony.

Service Broker zawiera dwa odrębne rodzaje zabezpieczeń — okno dialogowe zabezpieczeń i zabezpieczeń transportu.Opis tych dwóch typów zabezpieczeń i jak działają razem, będą pomocne w projektowanie, wdrożyć i administrowanie aplikacjami Service Broker.

  • Okno dialogowe zabezpieczeń — szyfruje wiadomości w poszczególnych oknach konwersacji i weryfikuje tożsamości uczestników w oknie dialogowym.Okno dialogowe zabezpieczeń zawiera także zdalnego autoryzacja i sprawdzanie integralność wiadomości.Okno dialogowe zabezpieczeń ustanawia uwierzytelnione i zaszyfrowane komunikacji między dwiema usługami.

  • Transport zabezpieczeń — zapobiega wysyłaniu wiadomości Service Broker do lokalnego wystąpienie bazy danych nieautoryzowanym baz danych.Zabezpieczeń transportu ustanawia uwierzytelnione połączenie między dwiema bazami danych.

Należy zauważyć, że protokół okno dialogowe i protokół broker sąsiadujących są przeznaczone wokół przekazywania wiadomości między bazami danych, zamiast wykonywania poleceń w zdalnej bazie danych.Ten styl komunikacji pozwala Service Broker świadczenia usług bez konieczności baz danych, aby udostępnić SQL Server logowania lub poświadczenia zabezpieczeń systemu Windows.

Aby uzyskać więcej informacji o certyfikatach, zobacz Tworzenie certyfikatu (Transact-SQL).

Adventure Works cykli zabezpieczeń scenariusz

Przykładowy scenariusz firmy Adventure Works cykli, fikcyjnej firmy tworzy usługa Broker usługa dostarczania części zamówienia dla dostawców.Usługa ta wymaga zabezpieczeń Adventure Works i dostawców.Każdy dostawca musi być w stanie zagwarantować, że tylko istniejących klientów mogą składać zamówienia.Adventure Works musi być w stanie zagwarantować, że tylko kwalifikowaną dostawców mogą otrzymać zamówień.Wiadomości między AdventureWorks2008R2 bazy danych i dostawcy musi być zaszyfrowany, dzięki czemu firm nie może odczytać wiadomości.Aby zapewnić najwyższy poziom zabezpieczeń, możliwe, tylko kwalifikowaną dostawców może połączyć się z AdventureWorks2008R2 bazy danych.

Spełniają wymagania muszą być szyfrowane wiadomości, Adventure Works i dostawców umożliwia Service Broker okna dialogowego zabezpieczeń:

  1. Aby zestaw okno dialogowe Zabezpieczenia AdventureWorks2008R2 administrator tworzy użytkownika lokalnego o nazwie VendorOutgoing i tworzy parę kluczy dla tego użytkownika.

  2. Administrator rozdziela certyfikat, który zawiera klucz publiczny pary kluczy do dostawców, które wymagają dostępu do usługa.

  3. Każdy dostawca instaluje certyfikat z Adventure Works cykli do bazy danych i tworzy użytkownika, który jest właścicielem certyfikatu.

  4. Dostawca tworzy następnie klucz para i wysyła informacje na nazwę usługa dla usługa dostawcy i certyfikat z publicznego klucz tego klucz parą do AdventureWorks2008R2 administratora.

  5. AdventureWorks2008R2 Administrator tworzy użytkownika dla każdego dostawcy i kojarzy certyfikat od tego dostawcy z użytkownika.

  6. Administrator tworzy również powiązanie usługa zdalnej dla każdego dostawcy, który kojarzy nazwę usługa dostawcy z użytkownika utworzonym dla dostawcy.

Czerpie tylko kwalifikowaną dostawców można połączyć się z AdventureWorks2008R2 bazy danych, AdventureWorks2008R2 , administrator używa zabezpieczeń transportu Service Broker:

  1. Aby zestaw zabezpieczenia transportu AdventureWorks2008R2 administrator tworzy certyfikat w master bazy danych z wystąpienie programu SQL Server będzie wysyłać wiadomości.

  2. AdventureWorks2008R2 Administratora wysyła certyfikat do każdego dostawcy.

  3. Każdy administrator dostawcy tworzy użytkownika w master bazy danych do własny certyfikat, a następnie instaluje certyfikat w wystąpienie programu SQL Server będą otrzymywać wiadomości.

  4. Administrator dostawców dalej tworzy certyfikat w master bazy danych wystąpieniei wysyła klucz publiczny dla danego użytkownika do AdventureWorks2008R2 administratora.

  5. Wreszcie AdventureWorks2008R2 administrator tworzy użytkownika w master bazy danych do własnych każdego certyfikatu klucz publicznego dostawcy i instaluje certyfikat każdego dostawcy w bazie danych.

Kombinacja zabezpieczeń transportu i okno dialogowe zabezpieczeń pomaga AdventureWorks2008R2 administratora spełniały wymagania zabezpieczeń aplikacji.Należy zauważyć, że w tym scenariuszu dostawców nie można zalogować się do AdventureWorks2008R2 bazy danych, a administrator Adventure Works nie może zalogować się do dostawcy baz danych.Tylko Service Broker wiadomości mogą być wymieniane między baz danych.