MSSQL - 最佳實踐 - 使用SSL加密連接

来源:https://www.cnblogs.com/yaoyangding/archive/2019/12/09/12013312.html
-Advertisement-
Play Games

MSSQL - 最佳實踐 - 使用SSL加密連接 author: 風移 摘要 在SQL Server安全系列專題月報分享中,往期我們已經陸續分享了:如何使用對稱密鑰實現SQL Server列加密技術、使用非對稱密鑰實現SQL Server列加密、使用混合密鑰實現SQL Server列加密技術、列加密 ...


MSSQL - 最佳實踐 - 使用SSL加密連接

author: 風移

摘要

在SQL Server安全系列專題月報分享中,往期我們已經陸續分享了:如何使用對稱密鑰實現SQL Server列加密技術使用非對稱密鑰實現SQL Server列加密使用混合密鑰實現SQL Server列加密技術列加密技術帶來的查詢性能問題以及相應解決方案行級別安全解決方案SQL Server 2016 dynamic data masking實現隱私數據列打碼技術使用證書做資料庫備份加密SQL Server Always Encrypted這八篇文章,直接點擊以上文章前往查看詳情。本期月報我們分享SQL Server SSL證書連接加密技術,實現網路上傳輸層連接加密。

問題引入

在SQL Server關係型資料庫中,我們可以使用透明數據加密(TDE)、行級別加密(Row-level Security)、數據打碼(Dynamic Data Masking)和備份加密(Backup Encryption)等技術來實現資料庫引擎層的安全。但是,在網路傳輸層,客戶端和服務端之前預設沒有數據加密傳輸保護。因此,為了提高鏈路安全性,我們可以啟用SSL(Secure Sockets Layer)加密,SSL在傳輸層對網路連接進行加密,能提升數據通道的安全性,但同時會增加網路連接響應時間和CPU開銷。

準備工作

為了方便觀察,我們使用Microsoft Network Monitor 3.4(以下簡稱MNM)工具來觀察網路傳輸層事件,如果您已經安裝MNM,請跳過該準備工作部分。
首先,我們從微軟官網下載MNM,根據需要下載對應的版本,我們這裡下載64 bit版本,NM34_x64.exe。
接下來,安裝MNM,直接執行NM34_x64.exe,然後按照嚮導完成安裝。
最後,重啟OS。

啟用SSL證書之前

在啟用SSL證書加密之前,客戶端和SQL Server服務端的網路傳輸層預設沒有加密保護的,我們可以通過如下步驟驗證。
 創建測試表
 新建MNM抓取
 連接查詢測試
 MNM中檢查
 動態視圖查看加密狀態

創建測試表

為了測試方便,我們首先創建測試表CustomerInfo,存入三個客戶敏感信息,包含客戶名稱和客戶電話號碼。

USE [TestDb]
GO
IF OBJECT_ID('dbo.CustomerInfo', 'U') IS NOT NULL
    DROP TABLE dbo.CustomerInfo
CREATE TABLE dbo.CustomerInfo
(
CustomerId        INT IDENTITY(10000,1)    NOT NULL PRIMARY KEY,
CustomerName    VARCHAR(100)            NOT NULL,
CustomerPhone    CHAR(11)                NOT NULL
);

-- Init Table
INSERT INTO dbo.CustomerInfo 
VALUES ('CustomerA','13402872514')
,('CustomerB','13880674722')
,('CustomerC','13487759293')
GO

新建MNM抓取

打開MNM,點擊New Capture,然後Start,啟動網路層時間抓取。
01.png

連接查詢測試

從客戶端,連接上對應的SQL Server,執行下麵的查詢語句,以便觀察MNM抓取情況。

USE [TestDb]
GO
SELECT * FROM dbo.CustomerInfo WITH(NOLOCK)

執行結果如下:
02.png

MNM中檢查

我們仔細觀察MNM中的事件,發現在客戶機和SQL Server服務端的網路傳輸層,使用的明文傳輸,如下截圖:
03.png
從圖中右下角紅色方框中,我們可以清清楚楚的看到了這三個客戶的姓名和對應的手機號碼,我們使用MNM看到數據在網路傳輸層以明文傳送,並未做任何加密,可能會存在數據被竊聽的風險。

動態視圖查看連接狀態

當然,您也可以從SQL Server的連接動態視圖看出,連接並未加密:
04.png

從MNM和SQL Server動態視圖我們可以得出相同的結論是:客戶端和SQL Server服務端數據在網路傳輸層預設以明文傳送,並未加密傳輸,可能會存在數據被竊聽的風險。那麼,我們可以啟動SSL證書來加密數據傳輸,以達到更為安全的目的。

啟用SSL證書

啟動SSL證書,分為以下幾個部分:
 證書申請
 強制所有連接使用SSL
 加密特定客戶端連接

證書申請

Start –> 輸入:mmc.exe -> File -> Add/Remove Snap-ins -> Certificate -> add -> Computer account -> Next -> Local Computer -> Finish -> OK
05.png
展開Certificates -> 右鍵 Personal -> 選擇 All Tasks -> 選擇Request New Certificate -> 點擊 Next -> 選中 Computer -> 點擊Enroll -> 點擊Finish。
右鍵點擊對應證書 -> 選中All Tasks -> 選擇Manage Private Keys… -> 授予 read 許可權給本地賬號NT ServiceMSSQLSERVER。

強制所有連接使用SSL

強制所有連接加密

在SQL Server伺服器上,Start -> Run -> sqlservermanager13.msc -> 右鍵點擊Protocols for MSSQLSERVER -> Flags中將Force Encryption設置為Yes -> Certificate選項卡中選擇證書 -> OK
06.png

重啟SQL Service

強制所有連接設置完畢後,如果想要立即生效,請重啟SQL Service。 
註意:
這裡需要特別註意,如果是目前線上正常運行的應用,請慎重測試後,打開強制所有連接使用SSL。

加密特定客戶端連接

當然,您也可以不用打開強制所有的連接使用SSL,轉而使用加密特定的客戶端連接,這裡以SSMS連接工具為例。

客戶端導入證書

Start -> Run -> 輸入:certmgr.msc -> 右鍵選擇Trusted Root Certification Authorities -> All Tasks -> Import
07.png

選擇SQL Server服務端生成的證書文件
08.png

Next -> Finish -> OK

SSMS啟用加密連接

在SSMS連接服務端界面 -> 選擇Options
09.png

然後選擇Encrypt connection
10.png

然後,參照“連接查詢測試”中方法進行連接測試。同樣在連接管理視圖中查看,我們可以看到連接已經加密:
11.png

至此,使用SSL證書加密加密客戶端和SQL Server服務端連接的實驗成功。

註意事項

由於使用了SSL證書來加密客戶端和SQL Server服務端連接,在提升數據通信的安全性同時,加密解密操作也會導致網路連接響應時間增加和CPU使用率上升,對業務系統有一定的性能影響。因此,建議您僅在外網鏈路有加密需求的時候啟用SSL加密,內網鏈路相對較安全,一般無需對鏈路加密。

最後總結

本期月報我們分享瞭如何啟用SSL證書,來加密客戶端和SQL Server服務端連接,提升網路傳輸層通信安全,使得數據在傳輸過程中被加密後,以密文傳送,最大限度保證了鏈路安全。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至:[email protected] 進行舉報,並提供相關證據,一經查實,本社區將立刻刪除涉嫌侵權內容。
您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 準備環境 環境測試 軟體安裝 xl2tpd.conf options.xl2tpd ipsec.conf l2tp ipsec.conf chap secrets 也就是我們一會在windows上登陸時用到的帳號和密碼 default secrets sysctl.conf 檢查配置 防火牆 開啟服 ...
  • 準備環境 軟體安裝 pptpd.conf options.pptpd chap secrets 也就是我們一會在windows上登陸時用到的帳號和密碼 sysctl.conf 啟動服務並查看埠 防火牆 主機連接 ...
  • 變數基礎知識 程式由指令加數據所組成,而變數可以理解為數據來源的一種。 變數名可以理解為指向了某個記憶體空間的地址,對於變數的賦值可理解為向記憶體空間寫入數據,對於變數的引用可理解為從記憶體空間讀取數據。 變數有類型的概念(例如字元串、數字等),不同的類型決定了數據的存儲格式、可表示的數據範圍以及可參與的 ...
  • bat代碼如下: 1 @echo off 2 @set /p fromFile=from: 3 @set /p toFile=to: 4 rem 找到所有文件 5 dir /b /s %fromFile%\ *.gz >tmp 6 rem 一個文件一個文件的處理 7 for /f "delims=" ...
  • 一、首先用vi命令打卡要編輯的文件: 註意:vi命令的使用如下:打開或新建文件,並將游標至於第一行首:[root@centos6 /]# vi /etc/my.cnf打開文件,並將游標移至最後一行行首:[root@centos6 /]# vi + /etc/my.cnf打開文件,並將游標置於第n行首 ...
  • NFS 概述 NFS(Network File System)即網路文件系統,它允許網路中的電腦之間通過TCP/IP網路共用資源。在NFS的應用中,本地NFS的客戶端應用可以透明地讀寫位於遠端NFS伺服器上的文件,就像訪問本地文件一樣。最早由sun公司開發,是類unix系統間實現磁碟共用的一種方法 ...
  • 1、下載nginx 官方下載1.6.2 2、編譯安裝 [root@bogon nginx-1.6.2]# ./configure --prefix=/usr/local/webserver/nginx --with-http_stub_status_module --with-http_ssl_mo ...
  • 本文是轉載自:https://www.cnblogs.com/jylee/p/9844965.html 一、下載: 下載地址: https://github.com/MicrosoftArchive/redis/releases 根據系統下載的版本:以(64位為例) 下載後一般解壓到根目錄下:如(E ...
一周排行
    -Advertisement-
    Play Games
  • Timer是什麼 Timer 是一種用於創建定期粒度行為的機制。 與標準的 .NET System.Threading.Timer 類相似,Orleans 的 Timer 允許在一段時間後執行特定的操作,或者在特定的時間間隔內重覆執行操作。 它在分散式系統中具有重要作用,特別是在處理需要周期性執行的 ...
  • 前言 相信很多做WPF開發的小伙伴都遇到過表格類的需求,雖然現有的Grid控制項也能實現,但是使用起來的體驗感並不好,比如要實現一個Excel中的表格效果,估計你能想到的第一個方法就是套Border控制項,用這種方法你需要控制每個Border的邊框,並且在一堆Bordr中找到Grid.Row,Grid. ...
  • .NET C#程式啟動閃退,目錄導致的問題 這是第2次踩這個坑了,很小的編程細節,容易忽略,所以寫個博客,分享給大家。 1.第一次坑:是windows 系統把程式運行成服務,找不到配置文件,原因是以服務運行它的工作目錄是在C:\Windows\System32 2.本次坑:WPF桌面程式通過註冊表設 ...
  • 在分散式系統中,數據的持久化是至關重要的一環。 Orleans 7 引入了強大的持久化功能,使得在分散式環境下管理數據變得更加輕鬆和可靠。 本文將介紹什麼是 Orleans 7 的持久化,如何設置它以及相應的代碼示例。 什麼是 Orleans 7 的持久化? Orleans 7 的持久化是指將 Or ...
  • 前言 .NET Feature Management 是一個用於管理應用程式功能的庫,它可以幫助開發人員在應用程式中輕鬆地添加、移除和管理功能。使用 Feature Management,開發人員可以根據不同用戶、環境或其他條件來動態地控制應用程式中的功能。這使得開發人員可以更靈活地管理應用程式的功 ...
  • 在 WPF 應用程式中,拖放操作是實現用戶交互的重要組成部分。通過拖放操作,用戶可以輕鬆地將數據從一個位置移動到另一個位置,或者將控制項從一個容器移動到另一個容器。然而,WPF 中預設的拖放操作可能並不是那麼好用。為瞭解決這個問題,我們可以自定義一個 Panel 來實現更簡單的拖拽操作。 自定義 Pa ...
  • 在實際使用中,由於涉及到不同編程語言之間互相調用,導致C++ 中的OpenCV與C#中的OpenCvSharp 圖像數據在不同編程語言之間難以有效傳遞。在本文中我們將結合OpenCvSharp源碼實現原理,探究兩種數據之間的通信方式。 ...
  • 一、前言 這是一篇搭建許可權管理系統的系列文章。 隨著網路的發展,信息安全對應任何企業來說都越發的重要,而本系列文章將和大家一起一步一步搭建一個全新的許可權管理系統。 說明:由於搭建一個全新的項目過於繁瑣,所有作者將挑選核心代碼和核心思路進行分享。 二、技術選擇 三、開始設計 1、自主搭建vue前端和. ...
  • Csharper中的表達式樹 這節課來瞭解一下表示式樹是什麼? 在C#中,表達式樹是一種數據結構,它可以表示一些代碼塊,如Lambda表達式或查詢表達式。表達式樹使你能夠查看和操作數據,就像你可以查看和操作代碼一樣。它們通常用於創建動態查詢和解析表達式。 一、認識表達式樹 為什麼要這樣說?它和委托有 ...
  • 在使用Django等框架來操作MySQL時,實際上底層還是通過Python來操作的,首先需要安裝一個驅動程式,在Python3中,驅動程式有多種選擇,比如有pymysql以及mysqlclient等。使用pip命令安裝mysqlclient失敗應如何解決? 安裝的python版本說明 機器同時安裝了 ...