SlideShare ist ein Scribd-Unternehmen logo
www.informatik-aktuell.de
BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF
HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH
SQL Server 2014
Security und Verschlüsselungsmechanismen
Frankfurter Datenbanktage 2015
Maic Beher
Agenda
Security und Verschlüsselungsmechanismen2 10.12.2015
1. Security
Wer braucht schon Sicherheit?
2. Verschlüsselung
Ich sehe was, was du nicht siehst!
3. Kurzer Blick in die Zukunft
Was wird (vielleicht) kommen!
Security und Verschlüsselungsmechanismen3 10.12.2015
Security
Security
Security und Verschlüsselungsmechanismen4 10.12.2015
Arbeiten mit Dienstkonten
SPN und Kerberos
Datenbankbenutzer
Exkurs: Verschlüsselung
Anmeldungen in Contained Databases
Datenbankbenutzer mit Zertifikaten
Security– Arbeiten mit Dienstkonten
Security und Verschlüsselungsmechanismen5 10.12.2015
Konten zum Starten und Ausführen von SQL Server basierten Diensten
Integrierte Systemkonten
Virtuelle Konten
Lokale Benutzerkonten
Domänenbenutzerkonten
Verwaltete Dienstkonten
Security– Arbeiten mit Dienstkonten
Security und Verschlüsselungsmechanismen6 10.12.2015
Verwaltete Dienstkonten
MSA
– Wird in der AD verwaltet
– Kann den SPN setzen
– Tauscht regelmäßig Kennwörter
– Nicht für FCI geeignet
gMSA (gruppenverwaltete Dienstkonten)
– Wird offiziell noch nicht von SQL Server unterstützt
Security – Grundlagen Kerberos
Security und Verschlüsselungsmechanismen7 10.12.2015
1. Authentifizierung
2. Bestätigung /TGT + SessionKey
3. Anfrage ServiceTicket
4. Service Ticket plus
ServiceSessionKey
5. Service Anfrage mit ST/SSK
6. Bestätigung des Servicezugriffs
Security – Erstellen einer KERBEROS Delegation
Security und Verschlüsselungsmechanismen8 10.12.2015
Vertraut dem SPN SPN auf ServiceaccountVertrauenswürdig
Security – Windows Groups Login
Security und Verschlüsselungsmechanismen9 10.12.2015
Neues ab SQL Server 2012
Standard Schema für Windows Gruppen
– es gilt die niedrigste ID
Standardsprache auf Datenbankebene
– nicht wirksam, wenn dem Login eine Standardsprache zugewiesen wurde
Security – ‚Best Practice‘ in Contained Databases
Security und Verschlüsselungsmechanismen10 10.12.2015
Windowsbasierte User benutzen
– Benutzer mit Passwörtern können kein Kerberos
Alter any User vermeiden
Zugriff nur auf die DB begrenzt
– Identische User erstellen
– Trustworthy Eigenschaft aktivieren
Keine identischen ‚Benutzer mit Passwort‘ und ‚Anmeldenamen‘
– wenn vorhanden, dann an Instanz anmelden
Security – Anmeldeinformationen (Credentials)
Security und Verschlüsselungsmechanismen11 10.12.2015
Encryption Provider für Anmeldeinformationen
speichert, verwaltet Verschlüsselungsschlüssel außerhalb des SQL Servers
bietet Multi-Faktor Authentifizierung (1,2,3)
Seperation-of-Duties
– Securityverwaltung != Datenverwaltung
Enterprise Feature
Kann externe Schlüsselverwalter benutzen
– SmartCard
– USB Geräte
– EKM Module
Security und Verschlüsselungsmechanismen12 10.12.2015
Verschlüsselung
Verschlüsselung
Security und Verschlüsselungsmechanismen13 10.12.2015
Grundlagen / Begrifflichkeit
Einsatzbereiche
Verschlüsselungsstruktur
Datenbankbenutzer mit Zertifikaten
Asymmetrischer Schlüssel
Asymmetrischer Schlüssel (Benutzer)
Signierte Prozeduren
TDS
Verschlüsselung - Begrifflichkeit
Security und Verschlüsselungsmechanismen14 10.12.2015
Symmetrische Schlüssel
Ent- und Verschlüsseln mit dem selben Schlüssel
Asymmetrische Schlüssel
Ent- und Verschlüsseln mit einem Schlüsselpaar
– Privater Schlüssel
– Öffentlicher Schlüssel
Hashalgorithmus
Erzeugt eine Prüfsumme mit festgelegter Länge
Verschlüsselung - Eigenschaften
Security und Verschlüsselungsmechanismen15 10.12.2015
Symmetrischer Schlüssel
– Schnell
– Sicher
– Größenneutral
Asymmetrischer Schlüssel
– einfache Schlüsselübergabe
Zertifikat
– PKI bestätigter öffentlicher Schlüssel eines asymmetrischen Schlüsselpaares
PKI Vertauen kann ein Schwachpunkt sein!!
Verschlüsselung – Verschlüsselungsstruktur
Security und Verschlüsselungsmechanismen16 10.12.2015
Verschlüsselung – Datenbankbenutzer mit Zertifikaten
Security und Verschlüsselungsmechanismen17 10.12.2015
Voraussetzungen:
Datenbank Master Key muss erstellt sein
Zertifikat muss in zwei Dateien vorliegen
– öffentlicher Schlüssel im CER/DER Format
– privater Schlüssel im PVK Format
Erstellen eines selbst-signierten Zertifikates
Tool zum Erstellen der Dateien:
PVKConverter.EXE
Verschlüsselung – Asymmetrischer Schlüssel
Security und Verschlüsselungsmechanismen18 10.12.2015
Zweck asymmetrischer Schlüssel
Schützt den symmetrischen Verschlüsselungsschlüssel
Kann (eigenschränkt) Daten verschlüsseln
Signiert Datenbankobjekte
Können importiert werden
Aber:
Können NICHT Verbindungen verschlüsseln
Können nicht exportiert werden
Verschlüsselung –Asymmetrischer Schlüssel (Benutzer)
Security und Verschlüsselungsmechanismen19 10.12.2015
Benutzer auf Basis eines asymmetrischen Schlüssels
Können sich nicht anmelden
Können Berechtigungen erhalten
Können Module signieren
Verschlüsselung – Signierte Prozeduren
Security und Verschlüsselungsmechanismen20 10.12.2015
Signierte Prozeduren
Mehrmals signierfähig
Ändern einer Prozedur löscht die Signierung
Security und Verschlüsselungsmechanismen21 10.12.2015
Kurzer Blick in die Zukunft
Kurzer Blick in die Zukunft
Security und Verschlüsselungsmechanismen22 10.12.2015
Row Level Security
Always Encrypted
SQL 2016 Angekündigte Features
Security und Verschlüsselungsmechanismen23 10.12.2015
Row Level Security
gewährt Zugriff basierend auf
– Gruppenmitgliedschaft
– Ausführungskontext
portiert Datensicherheit aus Applikationsebene auf Datenbankebene
basiert auf ‚Sicherheitsrichtlinien‘ (Security Policy)
– benötigt Inline-Tabellenwertfunktionen als Prädikat
– Funktion muss mit Schemabindung erstellt werden
– pro DML nur ein Prädikat
Kurzer Blick in die Zukunft
Security und Verschlüsselungsmechanismen24 10.12.2015
Always Encrypted
Spaltenbasierte Verschlüsselung
trennt Datenbesitz und Datenverwaltung
transparent für die Applikation
benötigt:
– einen speziellen Treiber
– Column Master Key
– Column Encrytion Key
Kurzer Blick in die Zukunft
Security und Verschlüsselungsmechanismen25 10.12.2015
Maic Beher
Senior Consultant
maic.beher@trivadis.com
10.12.2015 Security und Verschlüsselungsmechanismen26

Weitere ähnliche Inhalte

Andere mochten auch

museumsexposee_6_web
museumsexposee_6_webmuseumsexposee_6_web
museumsexposee_6_webKarin Hutter
 
Rechtliche Fragen bei der Revitalisierung von Handelsimmobilien
Rechtliche Fragen bei der Revitalisierung von HandelsimmobilienRechtliche Fragen bei der Revitalisierung von Handelsimmobilien
Rechtliche Fragen bei der Revitalisierung von Handelsimmobilien
schwatlomanagement
 
Idolcard: Contentmarketing im Sportsponsoring
Idolcard: Contentmarketing im SportsponsoringIdolcard: Contentmarketing im Sportsponsoring
Idolcard: Contentmarketing im Sportsponsoring
idol card
 
Allwin Vergütungssystem
Allwin VergütungssystemAllwin Vergütungssystem
Allwin Vergütungssystem
allwin Vergütungssysteme
 
Evaluation digitaler Lernsysteme? Qualität durch Evaluation
Evaluation digitaler Lernsysteme? Qualität durch EvaluationEvaluation digitaler Lernsysteme? Qualität durch Evaluation
Evaluation digitaler Lernsysteme? Qualität durch Evaluation
Lindner Martin
 
Alphabetische wörterliste
Alphabetische wörterlisteAlphabetische wörterliste
Alphabetische wörterliste
angelica kirana sandra dewi
 
Tamer C.V Attachements .
Tamer C.V Attachements .Tamer C.V Attachements .
Tamer C.V Attachements .
Tamer Sheta
 
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
nine
 
Zwitzerland
ZwitzerlandZwitzerland
Dino
DinoDino
Discover Arbonne 2017
Discover Arbonne 2017Discover Arbonne 2017
Discover Arbonne 2017
Georgina Lloyd
 
Content selber machen
Content selber machenContent selber machen
Content selber machen
Mandy Rohs
 
Medienbildung und Schule | Blinde Flecken und Spannungsfelder
Medienbildung und Schule | Blinde Flecken und SpannungsfelderMedienbildung und Schule | Blinde Flecken und Spannungsfelder
Medienbildung und Schule | Blinde Flecken und Spannungsfelder
Mandy Rohs
 
eLearning2.0_01
eLearning2.0_01eLearning2.0_01
eLearning2.0_01
7grad
 
aufwandsschaetzungen bonner runde
aufwandsschaetzungen bonner rundeaufwandsschaetzungen bonner runde
aufwandsschaetzungen bonner rundefoobar2605
 

Andere mochten auch (15)

museumsexposee_6_web
museumsexposee_6_webmuseumsexposee_6_web
museumsexposee_6_web
 
Rechtliche Fragen bei der Revitalisierung von Handelsimmobilien
Rechtliche Fragen bei der Revitalisierung von HandelsimmobilienRechtliche Fragen bei der Revitalisierung von Handelsimmobilien
Rechtliche Fragen bei der Revitalisierung von Handelsimmobilien
 
Idolcard: Contentmarketing im Sportsponsoring
Idolcard: Contentmarketing im SportsponsoringIdolcard: Contentmarketing im Sportsponsoring
Idolcard: Contentmarketing im Sportsponsoring
 
Allwin Vergütungssystem
Allwin VergütungssystemAllwin Vergütungssystem
Allwin Vergütungssystem
 
Evaluation digitaler Lernsysteme? Qualität durch Evaluation
Evaluation digitaler Lernsysteme? Qualität durch EvaluationEvaluation digitaler Lernsysteme? Qualität durch Evaluation
Evaluation digitaler Lernsysteme? Qualität durch Evaluation
 
Alphabetische wörterliste
Alphabetische wörterlisteAlphabetische wörterliste
Alphabetische wörterliste
 
Tamer C.V Attachements .
Tamer C.V Attachements .Tamer C.V Attachements .
Tamer C.V Attachements .
 
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
 
Zwitzerland
ZwitzerlandZwitzerland
Zwitzerland
 
Dino
DinoDino
Dino
 
Discover Arbonne 2017
Discover Arbonne 2017Discover Arbonne 2017
Discover Arbonne 2017
 
Content selber machen
Content selber machenContent selber machen
Content selber machen
 
Medienbildung und Schule | Blinde Flecken und Spannungsfelder
Medienbildung und Schule | Blinde Flecken und SpannungsfelderMedienbildung und Schule | Blinde Flecken und Spannungsfelder
Medienbildung und Schule | Blinde Flecken und Spannungsfelder
 
eLearning2.0_01
eLearning2.0_01eLearning2.0_01
eLearning2.0_01
 
aufwandsschaetzungen bonner runde
aufwandsschaetzungen bonner rundeaufwandsschaetzungen bonner runde
aufwandsschaetzungen bonner runde
 

Ähnlich wie Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmechanismen

5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr Cybersecurity5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr Cybersecurity
A. Baggenstos & Co. AG
 
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
BCC - Solutions for IBM Collaboration Software
 
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Holliday Consulting
 
Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der Praxis
A. Baggenstos & Co. AG
 
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSchlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Sven Wohlgemuth
 
Rechtssicheres E-Mail-Management
Rechtssicheres E-Mail-ManagementRechtssicheres E-Mail-Management
Rechtssicheres E-Mail-Managementapachelance
 
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoKeine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
BCC - Solutions for IBM Collaboration Software
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Thomas Bahn
 
Teams Nation 2022 - Securing Microsoft 365 data with service encryption
Teams Nation 2022 - Securing Microsoft 365 data with service encryptionTeams Nation 2022 - Securing Microsoft 365 data with service encryption
Teams Nation 2022 - Securing Microsoft 365 data with service encryption
Thomas Stensitzki
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
Sven Wohlgemuth
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice Architekturen
QAware GmbH
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
Carsten Cordes
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
Carsten Muetzlitz
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
kuehlhaus AG
 
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
NETWAYS
 
E-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der CloudE-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der Cloudapachelance
 
Lza ce bit2015
Lza ce bit2015Lza ce bit2015
Lza ce bit2015
Governikus KG
 
100% Security für Ihre Clients?
100% Security für Ihre Clients?100% Security für Ihre Clients?
100% Security für Ihre Clients?
A. Baggenstos & Co. AG
 
DevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdfDevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdf
CarolinaMatthies
 
DACHNUG50 CNX2 Troubleshooting hcl connections.pdf
DACHNUG50 CNX2 Troubleshooting hcl connections.pdfDACHNUG50 CNX2 Troubleshooting hcl connections.pdf
DACHNUG50 CNX2 Troubleshooting hcl connections.pdf
DNUG e.V.
 

Ähnlich wie Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmechanismen (20)

5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr Cybersecurity5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr Cybersecurity
 
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
 
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
 
Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der Praxis
 
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSchlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
 
Rechtssicheres E-Mail-Management
Rechtssicheres E-Mail-ManagementRechtssicheres E-Mail-Management
Rechtssicheres E-Mail-Management
 
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoKeine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
 
Teams Nation 2022 - Securing Microsoft 365 data with service encryption
Teams Nation 2022 - Securing Microsoft 365 data with service encryptionTeams Nation 2022 - Securing Microsoft 365 data with service encryption
Teams Nation 2022 - Securing Microsoft 365 data with service encryption
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice Architekturen
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
 
E-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der CloudE-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der Cloud
 
Lza ce bit2015
Lza ce bit2015Lza ce bit2015
Lza ce bit2015
 
100% Security für Ihre Clients?
100% Security für Ihre Clients?100% Security für Ihre Clients?
100% Security für Ihre Clients?
 
DevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdfDevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdf
 
DACHNUG50 CNX2 Troubleshooting hcl connections.pdf
DACHNUG50 CNX2 Troubleshooting hcl connections.pdfDACHNUG50 CNX2 Troubleshooting hcl connections.pdf
DACHNUG50 CNX2 Troubleshooting hcl connections.pdf
 

Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmechanismen

  • 2. BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH SQL Server 2014 Security und Verschlüsselungsmechanismen Frankfurter Datenbanktage 2015 Maic Beher
  • 3. Agenda Security und Verschlüsselungsmechanismen2 10.12.2015 1. Security Wer braucht schon Sicherheit? 2. Verschlüsselung Ich sehe was, was du nicht siehst! 3. Kurzer Blick in die Zukunft Was wird (vielleicht) kommen!
  • 5. Security Security und Verschlüsselungsmechanismen4 10.12.2015 Arbeiten mit Dienstkonten SPN und Kerberos Datenbankbenutzer Exkurs: Verschlüsselung Anmeldungen in Contained Databases Datenbankbenutzer mit Zertifikaten
  • 6. Security– Arbeiten mit Dienstkonten Security und Verschlüsselungsmechanismen5 10.12.2015 Konten zum Starten und Ausführen von SQL Server basierten Diensten Integrierte Systemkonten Virtuelle Konten Lokale Benutzerkonten Domänenbenutzerkonten Verwaltete Dienstkonten
  • 7. Security– Arbeiten mit Dienstkonten Security und Verschlüsselungsmechanismen6 10.12.2015 Verwaltete Dienstkonten MSA – Wird in der AD verwaltet – Kann den SPN setzen – Tauscht regelmäßig Kennwörter – Nicht für FCI geeignet gMSA (gruppenverwaltete Dienstkonten) – Wird offiziell noch nicht von SQL Server unterstützt
  • 8. Security – Grundlagen Kerberos Security und Verschlüsselungsmechanismen7 10.12.2015 1. Authentifizierung 2. Bestätigung /TGT + SessionKey 3. Anfrage ServiceTicket 4. Service Ticket plus ServiceSessionKey 5. Service Anfrage mit ST/SSK 6. Bestätigung des Servicezugriffs
  • 9. Security – Erstellen einer KERBEROS Delegation Security und Verschlüsselungsmechanismen8 10.12.2015 Vertraut dem SPN SPN auf ServiceaccountVertrauenswürdig
  • 10. Security – Windows Groups Login Security und Verschlüsselungsmechanismen9 10.12.2015 Neues ab SQL Server 2012 Standard Schema für Windows Gruppen – es gilt die niedrigste ID Standardsprache auf Datenbankebene – nicht wirksam, wenn dem Login eine Standardsprache zugewiesen wurde
  • 11. Security – ‚Best Practice‘ in Contained Databases Security und Verschlüsselungsmechanismen10 10.12.2015 Windowsbasierte User benutzen – Benutzer mit Passwörtern können kein Kerberos Alter any User vermeiden Zugriff nur auf die DB begrenzt – Identische User erstellen – Trustworthy Eigenschaft aktivieren Keine identischen ‚Benutzer mit Passwort‘ und ‚Anmeldenamen‘ – wenn vorhanden, dann an Instanz anmelden
  • 12. Security – Anmeldeinformationen (Credentials) Security und Verschlüsselungsmechanismen11 10.12.2015 Encryption Provider für Anmeldeinformationen speichert, verwaltet Verschlüsselungsschlüssel außerhalb des SQL Servers bietet Multi-Faktor Authentifizierung (1,2,3) Seperation-of-Duties – Securityverwaltung != Datenverwaltung Enterprise Feature Kann externe Schlüsselverwalter benutzen – SmartCard – USB Geräte – EKM Module
  • 13. Security und Verschlüsselungsmechanismen12 10.12.2015 Verschlüsselung
  • 14. Verschlüsselung Security und Verschlüsselungsmechanismen13 10.12.2015 Grundlagen / Begrifflichkeit Einsatzbereiche Verschlüsselungsstruktur Datenbankbenutzer mit Zertifikaten Asymmetrischer Schlüssel Asymmetrischer Schlüssel (Benutzer) Signierte Prozeduren TDS
  • 15. Verschlüsselung - Begrifflichkeit Security und Verschlüsselungsmechanismen14 10.12.2015 Symmetrische Schlüssel Ent- und Verschlüsseln mit dem selben Schlüssel Asymmetrische Schlüssel Ent- und Verschlüsseln mit einem Schlüsselpaar – Privater Schlüssel – Öffentlicher Schlüssel Hashalgorithmus Erzeugt eine Prüfsumme mit festgelegter Länge
  • 16. Verschlüsselung - Eigenschaften Security und Verschlüsselungsmechanismen15 10.12.2015 Symmetrischer Schlüssel – Schnell – Sicher – Größenneutral Asymmetrischer Schlüssel – einfache Schlüsselübergabe Zertifikat – PKI bestätigter öffentlicher Schlüssel eines asymmetrischen Schlüsselpaares PKI Vertauen kann ein Schwachpunkt sein!!
  • 17. Verschlüsselung – Verschlüsselungsstruktur Security und Verschlüsselungsmechanismen16 10.12.2015
  • 18. Verschlüsselung – Datenbankbenutzer mit Zertifikaten Security und Verschlüsselungsmechanismen17 10.12.2015 Voraussetzungen: Datenbank Master Key muss erstellt sein Zertifikat muss in zwei Dateien vorliegen – öffentlicher Schlüssel im CER/DER Format – privater Schlüssel im PVK Format Erstellen eines selbst-signierten Zertifikates Tool zum Erstellen der Dateien: PVKConverter.EXE
  • 19. Verschlüsselung – Asymmetrischer Schlüssel Security und Verschlüsselungsmechanismen18 10.12.2015 Zweck asymmetrischer Schlüssel Schützt den symmetrischen Verschlüsselungsschlüssel Kann (eigenschränkt) Daten verschlüsseln Signiert Datenbankobjekte Können importiert werden Aber: Können NICHT Verbindungen verschlüsseln Können nicht exportiert werden
  • 20. Verschlüsselung –Asymmetrischer Schlüssel (Benutzer) Security und Verschlüsselungsmechanismen19 10.12.2015 Benutzer auf Basis eines asymmetrischen Schlüssels Können sich nicht anmelden Können Berechtigungen erhalten Können Module signieren
  • 21. Verschlüsselung – Signierte Prozeduren Security und Verschlüsselungsmechanismen20 10.12.2015 Signierte Prozeduren Mehrmals signierfähig Ändern einer Prozedur löscht die Signierung
  • 22. Security und Verschlüsselungsmechanismen21 10.12.2015 Kurzer Blick in die Zukunft
  • 23. Kurzer Blick in die Zukunft Security und Verschlüsselungsmechanismen22 10.12.2015 Row Level Security Always Encrypted
  • 24. SQL 2016 Angekündigte Features Security und Verschlüsselungsmechanismen23 10.12.2015 Row Level Security gewährt Zugriff basierend auf – Gruppenmitgliedschaft – Ausführungskontext portiert Datensicherheit aus Applikationsebene auf Datenbankebene basiert auf ‚Sicherheitsrichtlinien‘ (Security Policy) – benötigt Inline-Tabellenwertfunktionen als Prädikat – Funktion muss mit Schemabindung erstellt werden – pro DML nur ein Prädikat
  • 25. Kurzer Blick in die Zukunft Security und Verschlüsselungsmechanismen24 10.12.2015 Always Encrypted Spaltenbasierte Verschlüsselung trennt Datenbesitz und Datenverwaltung transparent für die Applikation benötigt: – einen speziellen Treiber – Column Master Key – Column Encrytion Key
  • 26. Kurzer Blick in die Zukunft Security und Verschlüsselungsmechanismen25 10.12.2015
  • 27. Maic Beher Senior Consultant maic.beher@trivadis.com 10.12.2015 Security und Verschlüsselungsmechanismen26