Prácticas recomendadas de seguridad de replicación

La replicación mueve datos en entornos distribuidos que incluyen desde intranets con un solo dominio hasta aplicaciones que tienen acceso a datos entre dominios sin confianza y por Internet. Es importante comprender el mejor método que se debe utilizar para proteger las conexiones de replicación en diferentes circunstancias.

La siguiente información es importante para la replicación en todos los entornos:

• Cifre las conexiones entre equipos en una topología de replicación mediante un método estándar, como Red privada virtual (VPN), Capa de sockets seguros (SSL) o Seguridad IP (IPSEC). Para obtener más información, vea Cifrar conexiones a SQL Server. Para obtener información sobre cómo utilizar VPN y SSL para replicar datos en Internet, vea Proteger la replicación por Internet.

  Si utiliza SSL para proteger las conexiones entre equipos en una topología de replicación, especifique un valor de 1 o 2 para el parámetro -EncryptionLevel de cada agente de replicación (se recomienda utilizar el valor 2). El valor 1 especifica que se debe utilizar el cifrado, pero el agente no comprueba si el certificado de servidor SSL está firmado por una entidad emisora de confianza; el valor 2 especifica que se debe comprobar el certificado. Los parámetros de agente se pueden especificar en perfiles de agente y desde el símbolo del sistema. Para obtener más información, vea:

  • Cómo trabajar con perfiles de Agente de replicación (SQL Server Management Studio)

  • Cómo ver y modificar parámetros del símbolo del sistema de los agentes de replicación (SQL Server Management Studio)

  • Cómo trabajar con perfiles de agente de replicación (programación de la replicación con Transact-SQL)

  • Conceptos de los ejecutables del Agente de replicación

• Ejecute cada agente de replicación en una cuenta de Windows diferente y utilice Autenticación de Windows para todas las conexiones de agentes de replicación. Para obtener más información sobre cómo especificar cuentas, vea Administrar inicios de sesión y contraseñas en la replicación.

• Conceda sólo los permisos requeridos a cada agente. Para obtener más información, vea la sección sobre los permisos necesarios para los agentes en el tema Modelo de seguridad del Agente de replicación.

• Asegúrese de que las cuentas del Agente de mezcla y el Agente de distribución están en la lista de acceso a la publicación (PAL). Para obtener más información, vea Proteger el publicador.

• Siga el principio de privilegios mínimos permitiendo que las cuentas de la PAL sólo tengan los permisos que necesitan para realizar tareas de replicación. No agregue los inicios de sesión a ninguna función fija de servidor que no sea necesaria para la replicación.

• Configure el recurso compartido de instantánea para permitir acceso de lectura a todos los agentes de mezcla y agentes de distribución. En el caso de instantáneas para publicaciones mediante filtros con parámetros, asegúrese de que cada carpeta está configurada para permitir acceso sólo a las cuentas de Agente de mezcla correctas.

• Configure el recurso compartido de instantánea para permitir acceso de escritura al Agente de instantánea.

• Si utiliza suscripciones de extracción, use un recurso de red compartido en vez de una ruta de acceso local para la carpeta de instantáneas.

Si la topología de replicación incluye equipos que no se encuentran en el mismo dominio o están en dominios que no tienen relaciones de confianza entre sí, puede utilizar Autenticación de Windows o Autenticación de SQL Server para las conexiones realizadas por agentes (Para obtener más información acerca de los dominios, vea la documentación de Windows). Para obtener la máxima seguridad se recomienda que utilice Autenticación de Windows.

• Para utilizar Autenticación de Windows:

  • Agregue una cuenta de Windows local (no una cuenta de dominio) para cada agente en los nodos adecuados (utilice el mismo nombre y contraseña en cada nodo). Por ejemplo, el Agente de distribución para una suscripción de inserción se ejecuta en el distribuidor y realiza conexiones al distribuidor y suscriptor. La cuenta de Windows para el Agente de distribución debe agregarse al distribuidor y suscriptor.

  • Asegúrese de que un determinado agente (por ejemplo, el Agente de distribución de una suscripción) se ejecuta con la misma cuenta en cada equipo.

• Para utilizar Autenticación de SQL Server:

  • Agregue una cuenta de SQL Server para cada agente en los nodos adecuados (utilice el mismo nombre y contraseña en cada nodo). Por ejemplo, el Agente de distribución para una suscripción de inserción se ejecuta en el distribuidor y realiza conexiones al distribuidor y suscriptor. La cuenta de SQL Server para el Agente de distribución debe agregarse al distribuidor y al suscriptor.

  • Asegúrese de que un determinado agente (por ejemplo, el Agente de distribución de una suscripción) realiza conexiones con la misma cuenta en cada equipo.

  • En situaciones que requieren Autenticación de SQL Server, el acceso a recursos compartidos de instantáneas UNC normalmente no está disponible (por ejemplo, el acceso puede estar bloqueado por un firewall). En este caso, puede transferir la instantánea a los suscriptores a través del protocolo de transferencia de archivos (FTP). Para obtener más información, vea Transferir instantáneas mediante FTP.