MSSQL – 最佳实践「建议收藏」

MSSQL – 最佳实践「建议收藏」MSSQL – 最佳实践 – 使用SSL加密连接 author: 风移 摘要 在SQL Server安全系列专题月报分享中,往期我们已经陆续分享了:如何使用对称密钥实现SQL Server列加密技术、

MSSQL – 最佳实践 – 使用SSL加密连接

author: 风移

摘要

在SQL Server安全系列专题月报分享中,往期我们已经陆续分享了:如何使用对称密钥实现SQL Server列加密技术使用非对称密钥实现SQL Server列加密使用混合密钥实现SQL Server列加密技术列加密技术带来的查询性能问题以及相应解决方案行级别安全解决方案SQL Server 2016 dynamic data masking实现隐私数据列打码技术使用证书做数据库备份加密SQL Server Always Encrypted这八篇文章,直接点击以上文章前往查看详情。本期月报我们分享SQL Server SSL证书连接加密技术,实现网络上传输层连接加密。

问题引入

在SQL Server关系型数据库中,我们可以使用透明数据加密(TDE)、行级别加密(Row-level Security)、数据打码(Dynamic Data Masking)和备份加密(Backup Encryption)等技术来实现数据库引擎层的安全。但是,在网络传输层,客户端和服务端之前默认没有数据加密传输保护。因此,为了提高链路安全性,我们可以启用SSL(Secure Sockets Layer)加密,SSL在传输层对网络连接进行加密,能提升数据通道的安全性,但同时会增加网络连接响应时间和CPU开销。

准备工作

为了方便观察,我们使用Microsoft Network Monitor 3.4(以下简称MNM)工具来观察网络传输层事件,如果您已经安装MNM,请跳过该准备工作部分。
首先,我们从微软官网下载MNM,根据需要下载对应的版本,我们这里下载64 bit版本,NM34_x64.exe。
接下来,安装MNM,直接执行NM34_x64.exe,然后按照向导完成安装。
最后,重启OS。

启用SSL证书之前

在启用SSL证书加密之前,客户端和SQL Server服务端的网络传输层默认没有加密保护的,我们可以通过如下步骤验证。
 创建测试表
 新建MNM抓取
 连接查询测试
 MNM中检查
 动态视图查看加密状态

创建测试表

为了测试方便,我们首先创建测试表CustomerInfo,存入三个客户敏感信息,包含客户名称和客户电话号码。

USE [TestDb] GO IF OBJECT_ID("dbo.CustomerInfo", "U") IS NOT NULL DROP TABLE dbo.CustomerInfo CREATE TABLE dbo.CustomerInfo ( CustomerId INT IDENTITY(10000,1) NOT NULL PRIMARY KEY, CustomerName VARCHAR(100) NOT NULL, CustomerPhone CHAR(11) NOT NULL ); -- Init Table INSERT INTO dbo.CustomerInfo VALUES ("CustomerA","13402872514") ,("CustomerB","13880674722") ,("CustomerC","13487759293") GO

代码100分

新建MNM抓取

打开MNM,点击New Capture,然后Start,启动网络层时间抓取。
01.png

连接查询测试

从客户端,连接上对应的SQL Server,执行下面的查询语句,以便观察MNM抓取情况。

代码100分USE [TestDb] GO SELECT * FROM dbo.CustomerInfo WITH(NOLOCK)

执行结果如下:
02.png

MNM中检查

我们仔细观察MNM中的事件,发现在客户机和SQL Server服务端的网络传输层,使用的明文传输,如下截图:
03.png
从图中右下角红色方框中,我们可以清清楚楚的看到了这三个客户的姓名和对应的手机号码,我们使用MNM看到数据在网络传输层以明文传送,并未做任何加密,可能会存在数据被窃听的风险。

动态视图查看连接状态

当然,您也可以从SQL Server的连接动态视图看出,连接并未加密:
04.png

从MNM和SQL Server动态视图我们可以得出相同的结论是:客户端和SQL Server服务端数据在网络传输层默认以明文传送,并未加密传输,可能会存在数据被窃听的风险。那么,我们可以启动SSL证书来加密数据传输,以达到更为安全的目的。

启用SSL证书

启动SSL证书,分为以下几个部分:
 证书申请
 强制所有连接使用SSL
 加密特定客户端连接

证书申请

Start –> 输入:mmc.exe -> File -> Add/Remove Snap-ins -> Certificate -> add -> Computer account -> Next -> Local Computer -> Finish -> OK
05.png
展开Certificates -> 右键 Personal -> 选择 All Tasks -> 选择Request New Certificate -> 点击 Next -> 选中 Computer -> 点击Enroll -> 点击Finish。
右键点击对应证书 -> 选中All Tasks -> 选择Manage Private Keys… -> 授予 read 权限给本地账号NT ServiceMSSQLSERVER。

强制所有连接使用SSL

强制所有连接加密

在SQL Server服务器上,Start -> Run -> sqlservermanager13.msc -> 右键点击Protocols for MSSQLSERVER -> Flags中将Force Encryption设置为Yes -> Certificate选项卡中选择证书 -> OK
06.png

重启SQL Service

强制所有连接设置完毕后,如果想要立即生效,请重启SQL Service。 
注意:
这里需要特别注意,如果是目前线上正常运行的应用,请慎重测试后,打开强制所有连接使用SSL。

加密特定客户端连接

当然,您也可以不用打开强制所有的连接使用SSL,转而使用加密特定的客户端连接,这里以SSMS连接工具为例。

客户端导入证书

Start -> Run -> 输入:certmgr.msc -> 右键选择Trusted Root Certification Authorities -> All Tasks -> Import
07.png

选择SQL Server服务端生成的证书文件
08.png

Next -> Finish -> OK

SSMS启用加密连接

在SSMS连接服务端界面 -> 选择Options
09.png

然后选择Encrypt connection
10.png

然后,参照“连接查询测试”中方法进行连接测试。同样在连接管理视图中查看,我们可以看到连接已经加密:
11.png

至此,使用SSL证书加密加密客户端和SQL Server服务端连接的实验成功。

注意事项

由于使用了SSL证书来加密客户端和SQL Server服务端连接,在提升数据通信的安全性同时,加密解密操作也会导致网络连接响应时间增加和CPU使用率上升,对业务系统有一定的性能影响。因此,建议您仅在外网链路有加密需求的时候启用SSL加密,内网链路相对较安全,一般无需对链路加密。

最后总结

本期月报我们分享了如何启用SSL证书,来加密客户端和SQL Server服务端连接,提升网络传输层通信安全,使得数据在传输过程中被加密后,以密文传送,最大限度保证了链路安全。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
转载请注明出处: https://daima100.com/10523.html

(0)
上一篇 2022-12-26 11:30
下一篇 2022-12-26

相关推荐

  • 短效IP对网络速度的影响

    短效IP对网络速度的影响随着互联网的发展,越来越多的人开始依赖网络来进行日常生活和工作。网络连接质量成为影响用户体验的重要因素之一。而IP地址则是网络连接的基础。在许多情况下,短效IP会对网络速度产生重要影响。本文将从多个方面对短效IP对网络速度的影响进行详细阐述,旨在帮助读者更好地了解网络连接质量问题。

    2024-06-29
    46
  • mongodb简介_开发公司介绍

    mongodb简介_开发公司介绍目录 一、MongoDB介绍 二、搭建MongoDB 三、Java With MongoDB 四、Spring Session MongoDB 五、MongoDB开发规范及示例 六、MongoDB +

    2023-02-15
    154
  • Python List索引操作

    Python List索引操作List是Python中最常用的数据类型之一,与字符串、元组、字典等数据类型并列,其特点是可以储存各种类型数据并且是可变的。在Python中,List中的元素可以使用索引(即下标)进行访问,下标从0开始。以下是一些基本的使用方法:

    2024-02-25
    125
  • Python的Series用法

    Python的Series用法Python是一种高级编程语言,被广泛应用于数据分析、人工智能、机器学习等领域。在Python的标准库pandas中,Series是一种核心数据结构,用于存储一维数组,并且支持基于标签的索引和数据处理。

    2024-04-15
    100
  • mysql 基于mysql-proxy实现读写分离

    mysql 基于mysql-proxy实现读写分离mysql读写分离读写分离首先不推荐使用,很多业务场景也没有必要,不仅增加技术复杂度,而且可能会导致读到落后的数据,建议优化数据库,推荐使用keepalive+mysql双主复制的方案然后mysql…

    2023-03-28
    157
  • 在Ubuntu 20.04上安装GCC以便进行Python编译

    在Ubuntu 20.04上安装GCC以便进行Python编译在Ubuntu操作系统上编译Python应用程序时,GCC编译器是必不可少的工具。这篇文章将详细介绍在Ubuntu 20.04上安装GCC用于Python编译的过程。GCC是一种开源编译器,可以通过Ubuntu的软件包管理器进行安装。通过以下步骤可以在Ubuntu 20.04上安装GCC。

    2024-01-09
    103
  • Python中的NoneType:无法传递信息的空对象类型

    Python中的NoneType:无法传递信息的空对象类型NoneType是Python中的一种数据类型,它是表示空值的一种类型。它通常用于表示没有值或未定义的值。

    2024-04-03
    89
  • MySQL安装教程_Windows下获取GUID

    MySQL安装教程_Windows下获取GUID
    1:首先去官网下载安装包 下载地址:https://dev.mysql.com/downloads/mysql/ 这是我下载版本 2:将解压文件解压到你安装…

    2023-04-05
    177

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注