Upload
nicolao-pino
View
4
Download
1
Embed Size (px)
Citation preview
Difusión por el Web de SQL Server 2005 Parte 5: Proteger información confidencial
Lo que vamos a cubrir:
• Certificados de SQL Server 2005
• Claves de encriptación
• Encriptación simétrica
• Encriptación asimétrica
• Firmas digitales
Conocimiento previo
Nivel 200Nivel 200
• Experiencia en dar soporte a Servidores Windows 2003
• Experiencia en administrar y dar mantenimiento a SQL Server 2000
• Experiencia en administrar bases de datos
Agenda
• Repaso
• Encriptación de datos
• Encriptación de datos en SQL Server 2005
• Firmas de módulo
RepasoModelo de seguridad SQL Server 2005
Principales• Windows
– Grupos– Cuenta de dominio– Cuenta local
• SQL Server– Cuenta SQL– Rol del servidor
• Base de datos– Usuario– Rol de la base de
datos– Rol de la aplicación – Grupo
Asegurables• Enfoque del servidor
– Inicios de sesión– Puntos finales– Bases de datos
• Enfoque de la base de datos
– Usuarios– Ensamblados– Esquemas
• Enfoque del esquema– Tablas– Procedimientos– Vistas
Permisos• Otorgar/revocar/rechazar
– Crear– Alterar– Soltar– Controlar– Conectar– Seleccionar– Ejecutar– Actualizar– Eliminar– Insertar
RepasoPuntos finales de HTTP
• Beneficios del soporte HTTP nativo– Soporte a protocolos en toda la industria– Puertos abiertos limitados en los firewalls
• Puntos finales de HTTP– Los puntos finales se deben crear explícitamente– Sin permisos por predeterminación
• Requiere Windows Server 2003 (HTTP.sys) pero no Internet Information Services (IIS)
RepasoPolítica de la contraseña
• Requiere Windows Server 2003• Autenticación Windows
– Inicio de sesión del usuario para Windows– Política de contraseña para Windows reforzada
• Autenticación de SQL Server– Inicio de sesión de SQL Server – Política de contraseña de máquina local aplicada– Política de dominio en un ambiente de dominio
• Vista del catálogo sys.sql_logins
RepasoSeparación del esquema del usuario• Funcionalidad ampliada de versiones previas• Espacio de nombre para objetos de la base de datos
– Los grupos de objetos no dependen de la propiedad– Permisos otorgados en el esquema así como en los objetos
individuales de la base de datos– Los permisos otorgados en el esquema afectan los objetos
de la base de datos del esquema– Soltar a un usuario no requiere renombrar los objetos
propiedad del usuario
RepasoContexto de ejecución de módulo
• Configure el contexto de ejecución de los módulos• El que llama no requiere permisos
– Efectivo con una cadena de propiedad rota
• EJECUTAR COMO– El que llama (predeterminado)– Nombre del usuario (personaliza los permisos que se
requieren)– Uno mismo– Propietario
RepasoPermisos granulares
• Asegurables ordenados en una jerarquía– Herencia de permisos
• Todos los objetos tienen permisos asociados
• Principal de menor privilegio
Encuesta: Usted desea asignar Encuesta: Usted desea asignar permisos SELECT a todas las tablas e...permisos SELECT a todas las tablas e...• [Encuesta de opción múltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para editar.]
• Asignar permisos a cada tabla de manera individual
• Asignar permisos al esquema
• Asignar permisos a la base de datos
• Asignar permisos al servidor
RepasoPermisos granulares
Usted desea asignar permisos SELECT a todas las tablas en un esquema para Jane. ¿Cuál es la mejor manera de lograr esto?
1. Asignar permisos a cada tabla de manera individual
2. Asignar permisos al esquema
3. Asignar permisos a la base de datos
4. Asignar permisos al servidor
Encuesta: Usted desea asegurarse de Encuesta: Usted desea asegurarse de que tanto los INICIOS DE SESIÓN de que tanto los INICIOS DE SESIÓN de Windows como de SQL...Windows como de SQL...• [Encuesta de opción múltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para editar.]
• Windows Server 2003
• Windows 2000
• Windows NT 4
• Windows XP
RepasoPolíticas de contraseña
Usted desea asegurarse de que tanto los Usted desea asegurarse de que tanto los inicios de sesión de Windows como de SQL inicios de sesión de Windows como de SQL utilicen contraseñas complejasutilicen contraseñas complejas. ¿Qué sistema operativo se debe usar?
1. Windows Server 2003
2. Windows 2000
3. Windows NT 4
4. Windows XP
Encuesta: Para usar el contexto de Encuesta: Para usar el contexto de la ejecución del módulo usted debe la ejecución del módulo usted debe tener una ca...tener una ca...• [Encuesta de opción múltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para editar.]
• Verdadero
• Falso
RepasoContexto de ejecución de módulo
Para usar el contexto de la ejecución del módulo debe tener una cadena de propiedad sin romper.
1. Verdadero
2. Falso
Agenda
• Repaso
• Encriptación de datos
• Encriptación de datos en SQL Server 2005
• Firmas de módulo
Encriptación de datosAlgoritmos y claves
• Algoritmos de encriptación– Públicamente conocidos– Permiten almacenamiento seguro de los datos– Los datos también se desencriptan
• Algoritmos Hash– Públicamente conocidos– Permiten la verificación de la integridad de los datos– Los datos NO están “dehashed”
• Claves de encriptación– Porción única del algoritmo
Encriptación de datosAlgoritmos de encriptación
DatosAlgoritmo
Datos encriptadosDesencriptación
Encriptación
Encriptación de datosAlgoritmos Hashing
Datos Datos
Digest
Algoritmo
Hashing
Encriptación de datosEncriptación asimétrica
• Par de claves públicas/privadas– Encripte con un clave pública, desencripte con una clave
privada– Encripte con un clave privada, desencripte con una clave
pública
• Autenticación• Firma digital• Encriptación de datos• Altos costos administrativos de encriptación
Encriptación de datosEncriptación asimétrica
PúblicaPrivada
Pública
Pública
• La clave pública se hace disponible o se distribuye a los socios de negocios de comunicación
Encriptación de datosEncriptación asimétrica
Encriptación de datos
Encriptación de datos
Pública
Privada Pública
• Los datos encriptados con la clave pública sólo se pueden desencriptar con la clave privada
Encriptación de datosEncriptación asimétrica
• Los datos encriptados con la clave privada sólo se pueden desencriptar con la clave pública
• Se utiliza en firmas digitales
Encriptación de datos
Encriptación de datos
Pública
Privada Pública
Encriptación de datosEncriptación simétrica
• Par de claves idénticas o clave única– Encriptar/desencriptar con la misma clave
• Encriptación de datos• Bajos costos administrativos de encriptación
Encriptación de datosEncriptación simétrica
Simétrica
• La copia de la clave simétrica se almacena o distribuye a los socios de negocios de comunicación
Simétrica
Simétrica
Encriptación de datosEncriptación simétrica
La clave simétrica encripta y
desencripta datos
La clave simétrica encripta y
desencripta datos
• Se utiliza la misma clave para encriptar y desencriptar datos
Simétrica Simétrica
Encriptación de datosCertificados
• SQL Server 2005 puede emitir certificados– Contiene clave pública– Clave privada asociada– Identifica al propietario de las claves públicas/privadas
• Autenticación• Emisión de certificados
– Interna– Terceros
Encriptación de datosCertificados
Privada
• El certificado se hace disponible o se distribuye a los socios de negocios de comunicación
• El certificado contiene la clave pública e identifica el propietario de la clave
CertificadoCertificado
Certificado
Encriptación de datosCertificados
Los datos encriptados con la
clave pública a partir del certificado
Los datos encriptados con la
clave pública a partir del certificado
Privada
• El certificado identifica al propietario del par de claves pública/privada
• Sólo el propietario de la clave privada puede desencriptar los datos
Certificado
Certificado
Encriptación de datosCertificados
Los datos son encriptados por la clave privada
Los datos son encriptados por la clave privada
Privada
• Se utiliza la clave pública para desencriptar datos• El certificado asociado con la clave pública verifica la
identidad
Certificado
Certificado
Encriptación de datosCombina claves y certificados
Se distribuye el certificado
Se distribuye el certificado
Privada
• El servidor envía el certificado y la clave pública al cliente• El certificado identifica el servidor para el cliente
CertificadoCertificado
Certificado
Simétrica
Encriptación de datosCombina claves y certificados
Se distribuye la clave simétricaSe distribuye la clave simétrica
Privada Certificado Certificado
• El cliente crea claves simétricas• El cliente encripta una clave simétrica con una clave
pública y la envía al servidor
Simétrica
Encriptación de datosCombina claves y certificados
Los datos se encriptan y
desencriptan utilizando las claves
simétricas
Los datos se encriptan y
desencriptan utilizando las claves
simétricas
CertificadoPrivada Certificado
• Sólo la clave privada del servidor puede desencriptar la clave simétrica
• El servidor y el cliente encriptan/desencriptan datos utilizando las claves simétricas
Simétrica Simétrica
Agenda
• Repaso
• Encriptación de datos
• Encriptación de datos en SQL Server 2005
• Firmas de módulo
Encriptación de datos en SQL Server 2005Jerarquía de claves de SQL Server 2005
API para protección de datos de WindowsAPI para protección de datos de Windows
Clave maestra del servicio de SQL ServerClave maestra del servicio de SQL Server
Clave maestra de la base de datosClave maestra de la base de datosContraseñaContraseña
Certificado público/clave privadaCertificado público/clave privadaContraseñaContraseña
Clave simétricaClave simétrica
Encriptación de datos en SQL Server 2005Encriptación de datos de SQL Server 2005
• Infraestructura de certificados usada por los servicios de SQL Server– Intermediario de servicio– Sincronización con el Web
• Almacenamiento de datos del usuario– Claves asimétricas– Claves simétricas– Certificado
Encriptación de datos en SQL Server 2005Encriptar los datos del usuario
Las claves del usuario se almacenan dentro de
la base de datos
Las claves del usuario se almacenan dentro de
la base de datos
Privada Certificado
• Claves y certificados creados y asignados al principal• Se almacenan en la base de datos y están protegidos con la
clave maestra de la base de datos
Privada Certificado
Simétrica
Simétrica
Simétrica
Encriptación de datos en SQL Server 2005Encriptar los datos del usuario
• La clave simétrica se utiliza para encriptar los datos• La clave pública a partir del certificado del principal se
utiliza para encriptar la clave simétrica
Tabla
Base de datos
Simétrica
Encriptación de datos en SQL Server 2005Desencriptar datos del usuario
• La clave privada del principal se utiliza para desencriptar la clave simétrica
• La clave simétrica se utiliza para desencriptar los datos
Tabla
Privada Simétrica
Encriptación de datos
Crear certificados y claves Encriptar datos del usuario Desencriptar datos del usuario
demodemo
Encuesta: Usted desea implementar Encuesta: Usted desea implementar la encriptación de datos del usuario la encriptación de datos del usuario que no...que no...• [Encuesta de opción múltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para editar.]
• Clave maestra de la base de datos
• Protección a los datos de Windows
• Claves simétricas
• Claves asimétricas
RepasoEncriptación de datos
Usted desea implementar la encriptación de datos del usuario que no requiera el ingreso de contraseñas adicionales. ¿Qué se debe crear antes de que se puedan asignar los certificados?
1. Clave maestra de la base de datos
2. Protección a los datos de Windows
3. Claves simétricas
4. Claves asimétricas
Encuesta: ¿Dónde almacena SQL Encuesta: ¿Dónde almacena SQL Server 2005 las claves de Server 2005 las claves de encriptación de los usuarios...encriptación de los usuarios...• [Encuesta de opción múltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para editar.]
• En el perfil del usuario
• En una ubicación segura en el cliente
• En la base de datos
• En el controlador de dominio
RepasoEncriptación de datos
¿Dónde almacena SQL Server 2005 las claves de encriptación de los usuarios?
1. En el perfil del usuario
2. En una ubicación segura en el cliente
3. En la base de datos
4. En el controlador de dominio
Agenda
• Repaso
• Encriptación de datos
• Encriptación de datos en SQL Server 2005
• Firmas de módulo
Firmas de móduloFirmas digitales
• Firme datos con la clave privada– Digest de encriptación– Evita cambios a los datos– Identifica al que firma
• Identifique la firma con una clave pública– Digest de desencriptación– El certificado asociado con la clave pública
identifica al que firma
Firmas de móduloFirmar módulos
• Asegura el acceso a los datos
• Similar a la funcionalidad del contexto de ejecución del módulo
• El contexto de seguridad del que llama permanece sin modificaciones
• Funcional con las cadenas de propiedad rotas
Firmas de móduloProceso de firma del módulo
• Crear un certificado
• Asignar un certificado al usuario
• Firmar el procedimiento
• Otorgar permisos en la tabla al certificado/usuario
• El acceso a la tabla sólo ocurre a través del procedimiento
Firmas de móduloProceso de firma del módulo
SELECT *FROM sales.customerSELECT *FROM sales.customer
Privada Certificado
• Cree un certificado y claves públicas/privadas• Firme el módulo con la clave privada • Asigne el certificado a un principal• Asigne el acceso a los datos para el principal
Firmas de móduloProceso de firma del módulo
SELECT *FROM sales.customerSELECT *FROM sales.customer
• El principal ejecuta el módulo• Se utiliza la clave pública para verificar la firma de la
clave privada• Se agrega el certificado temporalmente al token de
acceso al principal
Firmas de módulo
Firmas de módulo
demodemo
Encuesta: Usted desea configurar Encuesta: Usted desea configurar módulos firmados pero no puede módulos firmados pero no puede asignar...asignar...• [Encuesta de opción múltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para editar.]
• Registrar la clave privada
• Proteger el certificado con una clave simétrica
• Asignar el certificado a un principal
• Hacer el certificado público
RepasoFirmas de módulo
Usted desea configurar módulos firmados pero no puede asignar los permisos necesarios al certificado. ¿Qué necesita hacer?
1. Registrar la clave privada
2. Proteger el certificado con una clave simétrica
3. Asignar el certificado a un principal
4. Hacer el certificado público
Encuesta: Los módulos firmados Encuesta: Los módulos firmados utilizan el contexto de seguridad utilizan el contexto de seguridad del prin...del prin...• [Encuesta de opción múltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para editar.]
• Verdadero
• Falso
RepasoFirmas de módulo
Los módulos firmados utilizan el contexto de seguridad del principal que llama.
1. Verdadero
2. Falso
Encuesta: La clave simétrica se Encuesta: La clave simétrica se utiliza para encriptar los datos del utiliza para encriptar los datos del usuario...usuario...• [Encuesta de opción múltiple de PlaceWare. Utilice PlaceWare >
Editar propiedades de la diapositiva...Para editar.]
• Encriptada por la clave maestra de la base de datos
• Encriptada por la clave privada de los usuarios• Encriptada por la clave maestra del servicio• No se utilizan las claves simétricas para
encriptar los datos del usuario
RepasoEncriptación de datos
Se utiliza la clave simétrica para encriptar los datos del usuario. ¿Cómo está protegida está clave?
1. Encriptada por la clave maestra de la base de datos
2. Encriptada por la clave privada de los usuarios
3. Encriptada por la clave maestra del servicio
4. No se utilizan las claves simétricas para encriptar los datos del usuario
Encuesta: Se utiliza la función Encuesta: Se utiliza la función encryptByKey para encriptar los encryptByKey para encriptar los datos del usuario...datos del usuario...• [Encuesta de opción múltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para editar.]
• Verdadero
• Falso
RepasoEncriptación de datos
Se utiliza la función encryptByKey para encriptar los datos del usuario con una clave simétrica.
1.Verdadero
2.Falso
Resumen de la sesión
• Protección a los datos del usuario– Uso combinado de tecnologías
• Certificados• Clave públicas/privadas• Clave simétrica
• Firma del módulo– Acceso seguro a los datos– Mantiene el contexto de seguridad del que
llama
Pasos a seguirInformación del producto SQL Server 2005:
http://www.microsoft.com/sql/2005/default.asp
Actualice sus habilidades de administración de bases de datos a SQL Server 2005:
http://www.microsoft.com/learning/syllabi/en-us/2733afinal.mspx
Difusión por el Web de SQL Server 2005 en MSDN:
http://msdn.microsoft.com/sql/2005/2005Webcasts/default.aspx
www.microsoft.com/technet/tnt4-05
Para mayores informes…
• Visite TechNet en www.microsoft.com/technet
• Para obtener información adicional sobre los libros, cursos y otros recursos de la comunidad que respalden esta sesión visite
Serie de las difusiones por el Web: SQL Server 2005 – ¡Prepárese!
¡Lunes, 9:00 A.M. hora del Pacífico durante 10 semanas!
del 21 de marzo al 18 de mayo, 2005
Microsoft SQL Server 2005 está en camino, e incluirá mejoras importantes en el rendimiento, disponibilidad, seguridad y el conjunto más poderoso y flexible de herramientas de productividad DBA que hayamos entregado jamás. Al utilizar presentaciones interactivas y demos en vivo del producto, lo guiaremos a través de todas las funciones y mejoras principales integradas en SQL Server 2005 para darle un gran inicio en sus planes de integrar estos beneficios en su organización.
Bono: ¡Asista a una difusión por el Web en esta serie y envíe una evaluación, recibirá una copia de la versión más reciente de la versión en desarrollo del software de SQL Server 2005 en CD! Además, ¡asista a cualquier difusión por el Web en vivo de Microsoft durante junio y podrá ganar un Centro de medios portátil!
http://www.microsoft.com/seminar/events/series/technetsqlserver2005.mspxhttp://www.microsoft.com/seminar/events/series/technetsqlserver2005.mspx