MSSQL - 最佳實踐 - 使用SSL加密連接
author: 風移
說明
應用程序通過未加密的通道與數據庫服務器通信, 這可能會造成重大的安全風險。在這種情況下, 攻擊者可以修改用戶輸入的數據, 甚至對數據庫服務器執行任意 SQL 命令。
例如,當您使用以下連接字符串時,就可能存在這種風險:
<connectionStrings> <add name="Test" connectionString="Data Source=210.10.20.10,1433; Initial Catalog=myDataBase;User ID=myUsername;Password=myPassword;" providerName="System.Data.SqlClient" /> </connectionStrings>
程序連接串啟用SSL/TLS加密連接
大部分數據庫服務器都提供支持使用SSL/TLS來加密傳輸所有數據,您應當盡可能的使用它。在您的連接字符串上加上Encrypt=True即可。如果您的開發環境沒有可信證書,加上TrustServerCertificate=True來取消驗證證書是否受信。
<connectionStrings> <add name="Test" connectionString="Data Source=210.10.20.10,1433; Initial Catalog=myDataBase;User ID=myUsername;Password=myPassword;Encrypt=True;" providerName="System.Data.SqlClient" /> </connectionStrings>
摘要
在SQL Server安全系列專題月報分享中,往期我們已經陸續分享了:如何使用對稱密鑰實現SQL Server列加密技術、使用非對稱密鑰實現SQL Server列加密、使用混合密鑰實現SQL Server列加密技術、列加密技術帶來的查詢性能問題以及相應解決方案、行級別安全解決方案、SQL Server 2016 dynamic data masking實現隱私數據列打碼技術、使用證書做數據庫備份加密和SQL Server Always Encrypted這八篇文章,直接點擊以上文章前往查看詳情。本期月報我們分享SQL Server SSL證書連接加密技術,實現網絡上傳輸層連接加密。
問題引入
在SQL Server關系型數據庫中,我們可以使用透明數據加密(TDE)、行級別加密(Row-level Security)、數據打碼(Dynamic Data Masking)和備份加密(Backup Encryption)等技術來實現數據庫引擎層的安全。但是,在網絡傳輸層,客戶端和服務端之前默認沒有數據加密傳輸保護。因此,為了提高鏈路安全性,我們可以啟用SSL(Secure Sockets Layer)加密,SSL在傳輸層對網絡連接進行加密,能提升數據通道的安全性,但同時會增加網絡連接響應時間和CPU開銷。
准備工作
為了方便觀察,我們使用Microsoft Network Monitor 3.4(以下簡稱MNM)工具來觀察網絡傳輸層事件,如果您已經安裝MNM,請跳過該准備工作部分。
首先,我們從微軟官網下載MNM,根據需要下載對應的版本,我們這里下載64 bit版本,NM34_x64.exe。
接下來,安裝MNM,直接執行NM34_x64.exe,然后按照向導完成安裝。
最后,重啟OS。
啟用SSL證書之前
在啟用SSL證書加密之前,客戶端和SQL Server服務端的網絡傳輸層默認沒有加密保護的,我們可以通過如下步驟驗證。
? 創建測試表
? 新建MNM抓取
? 連接查詢測試
? MNM中檢查
? 動態視圖查看加密狀態
創建測試表
為了測試方便,我們首先創建測試表CustomerInfo,存入三個客戶敏感信息,包含客戶名稱和客戶電話號碼。
USE [TestDb] GO IF OBJECT_ID(‘dbo.CustomerInfo‘, ‘U‘) IS NOT NULL DROP TABLE dbo.CustomerInfo CREATE TABLE dbo.CustomerInfo ( CustomerId INT IDENTITY(10000,1) NOT NULL PRIMARY KEY, CustomerName VARCHAR(100) NOT NULL, CustomerPhone CHAR(11) NOT NULL ); -- Init Table INSERT INTO dbo.CustomerInfo VALUES (‘CustomerA‘,‘13402872514‘) ,(‘CustomerB‘,‘13880674722‘) ,(‘CustomerC‘,‘13487759293‘) GO新建MNM抓取
打開MNM,點擊New Capture,然后Start,啟動網絡層時間抓取。
連接查詢測試
從客戶端,連接上對應的SQL Server,執行下面的查詢語句,以便觀察MNM抓取情況。
USE [TestDb] GO SELECT * FROM dbo.CustomerInfo WITH(NOLOCK)執行結果如下:
MNM中檢查
我們仔細觀察MNM中的事件,發現在客戶機和SQL Server服務端的網絡傳輸層,使用的明文傳輸,如下截圖:
從圖中右下角紅色方框中,我們可以清清楚楚的看到了這三個客戶的姓名和對應的手機號碼,我們使用MNM看到數據在網絡傳輸層以明文傳送,並未做任何加密,可能會存在數據被竊聽的風險。
動態視圖查看連接狀態
當然,您也可以從SQL Server的連接動態視圖看出,連接並未加密:
從MNM和SQL Server動態視圖我們可以得出相同的結論是:客戶端和SQL Server服務端數據在網絡傳輸層默認以明文傳送,並未加密傳輸,可能會存在數據被竊聽的風險。那么,我們可以啟動SSL證書來加密數據傳輸,以達到更為安全的目的。
啟用SSL證書
啟動SSL證書,分為以下幾個部分:
? 證書申請
? 強制所有連接使用SSL
? 加密特定客戶端連接
證書申請
Start –> 輸入:mmc.exe -> File -> Add/Remove Snap-ins -> Certificate -> add -> Computer account -> Next -> Local Computer -> Finish -> OK
展開Certificates -> 右鍵 Personal -> 選擇 All Tasks -> 選擇Request New Certificate -> 點擊 Next -> 選中 Computer -> 點擊Enroll -> 點擊Finish。
右鍵點擊對應證書 -> 選中All Tasks -> 選擇Manage Private Keys… -> 授予 read 權限給本地賬號NT ServiceMSSQLSERVER。
強制所有連接使用SSL
強制所有連接加密
在SQL Server服務器上,Start -> Run -> sqlservermanager13.msc -> 右鍵點擊Protocols for MSSQLSERVER -> Flags中將Force Encryption設置為Yes -> Certificate選項卡中選擇證書 -> OK
重啟SQL Service
強制所有連接設置完畢后,如果想要立即生效,請重啟SQL Service。
注意:
這里需要特別注意,如果是目前線上正常運行的應用,請慎重測試后,打開強制所有連接使用SSL。
加密特定客戶端連接
當然,您也可以不用打開強制所有的連接使用SSL,轉而使用加密特定的客戶端連接,這里以SSMS連接工具為例。
客戶端導入證書
Start -> Run -> 輸入:certmgr.msc -> 右鍵選擇Trusted Root Certification Authorities -> All Tasks -> Import
選擇SQL Server服務端生成的證書文件
Next -> Finish -> OK
SSMS啟用加密連接
在SSMS連接服務端界面 -> 選擇Options
然后選擇Encrypt connection
然后,參照“連接查詢測試”中方法進行連接測試。同樣在連接管理視圖中查看,我們可以看到連接已經加密:
至此,使用SSL證書加密加密客戶端和SQL Server服務端連接的實驗成功。
注意事項
由於使用了SSL證書來加密客戶端和SQL Server服務端連接,在提升數據通信的安全性同時,加密解密操作也會導致網絡連接響應時間增加和CPU使用率上升,對業務系統有一定的性能影響。因此,建議您僅在外網鏈路有加密需求的時候啟用SSL加密,內網鏈路相對較安全,一般無需對鏈路加密。
最后總結
本期月報我們分享了如何啟用SSL證書,來加密客戶端和SQL Server服務端連接,提升網絡傳輸層通信安全,使得數據在傳輸過程中被加密后,以密文傳送,最大限度保證了鏈路安全。
【聲明】
本標簽系列全部轉載自:http://www.mamicode.com/info-detail-2860727.html