Jak zabezpieczyć serwer MS SQL?

Instancje Microsoft SQL Servera zwykle nie są eksponowane w Internecie, przynajmniej w teorii. SANS w przeszłości kilkukrotnie informował o zwiększonej aktywności automatycznych skanerów poszukujących otwartego portu 1433, używanego przez SQL Server. Co więcej, włamywacze niejednokrotnie mają możliwość prowadzenia "konwersacji" z bazą danych za pośrednictwem aplikacji webowej, wstrzykując do niej kod SQL. Dlatego warto zapoznać się z kilkoma zasadami bezpiecznej konfiguracji serwera Microsoft SQL.

Analiza logów

System bazodanowy, jak każdy inny, ma możliwość zapisywania rozmaitych rejestrów bieżących operacji. Szczególnie istotne jest zapisywanie i analiza rejestru udanych i nieudanych logowań do bazy danych, co pozwala wykryć próby zgadnięcia np. hasła do konta SA. Rejestr można analizować przy pomocy aplikacji takich jak System Center Operations Manager.

W systemach o zwiększonym poziomie bezpieczeństwa konieczne może być rejestrowanie wszystkich lub wybranych operacji SQL (SQL Server Audit Object i Audit Target). Analiza tego rejestru umożliwia w wielu wypadkach wykrycie nie tylko ataków SQL injection ale i powstrzymanie długotrwałych ataków typu "blind injection" zanim osiągną swój cel. Dodatkową korzyścią płynącą z analizy błędów SQL jest możliwość wykrycia błędów samej aplikacji nie związanych z bezpieczeństwem, ale mających wpływ na przykład na wydajność lub doświadczenia użytkownika.

Kontrola dostępu do serwera

Serwer SQL powinien być odizolowany od sieci organizacji (nie wspominając już o sieci publicznej) za pomocą zapory sieciowej. W systemie Windows Server 2008 zupełnie wystarczający jest wbudowany Windows Firewall.

Dla systemów o zwiększonym poziomie bezpieczeństwa przeznaczone są wyspecjalizowane systemy stanowiące połączenie zapory aplikacyjnej "rozumiejącej" protokół SQL z systemem wykrywania włamań. Wśród producentów sprzętowych rozwiązań można wymienić Guardium oraz Vormetric, dostępne sa także rozwiązania programowe takiej jak SQL Firewall czy darmowy Green SQL.

Zakończenie

O bezpieczeństwo bazy danych należy dbać co najmniej z kilku powodów. Pierwszym z nich jest ogromna koncentracja danych, jakie się w niej znajdują - są to zwykle zarówno dane o użytkownikach jak i dane użytkowników. Negatywne konsekwencje niefrasobliwości w zakresie ich ochrony obserwujemy co jakiś czas, gdy media nagłaśniają przypadki kradzieży ogromnych baz danych z popularnych stron i portali. Od kłopotów wizerunkowych boleśniejsze mogą być konsekwencje prawne wynikające z ustawy o ochronie danych osobowych a także przepisów o ochronie informacji niejawnych. Poza wyciekiem informacji należy liczyć się także z aktywnymi atakami na bazy SQL polegającymi na modyfikacji zapisanych w nich danych.

Więcej na temat zabezpieczeń dostępnych w poszczególnych wersjach SQL Server można przeczytać na stronie Microsoftu.