MSSQL - 最佳實踐 - 使用SSL加密連接

来源:https://www.cnblogs.com/yaoyangding/archive/2019/12/09/12013312.html

MSSQL - 最佳實踐 - 使用SSL加密連接 author: 風移 摘要 在SQL Server安全系列專題月報分享中,往期我們已經陸續分享了:如何使用對稱密鑰實現SQL Server列加密技術、使用非對稱密鑰實現SQL Server列加密、使用混合密鑰實現SQL Server列加密技術、列加密 ...


MSSQL - 最佳實踐 - 使用SSL加密連接

author: 風移

摘要

在SQL Server安全系列專題月報分享中,往期我們已經陸續分享了:如何使用對稱密鑰實現SQL Server列加密技術使用非對稱密鑰實現SQL Server列加密使用混合密鑰實現SQL Server列加密技術列加密技術帶來的查詢性能問題以及相應解決方案行級別安全解決方案SQL Server 2016 dynamic data masking實現隱私數據列打碼技術使用證書做資料庫備份加密SQL Server Always Encrypted這八篇文章,直接點擊以上文章前往查看詳情。本期月報我們分享SQL Server SSL證書連接加密技術,實現網路上傳輸層連接加密。

問題引入

在SQL Server關係型資料庫中,我們可以使用透明數據加密(TDE)、行級別加密(Row-level Security)、數據打碼(Dynamic Data Masking)和備份加密(Backup Encryption)等技術來實現資料庫引擎層的安全。但是,在網路傳輸層,客戶端和服務端之前預設沒有數據加密傳輸保護。因此,為了提高鏈路安全性,我們可以啟用SSL(Secure Sockets Layer)加密,SSL在傳輸層對網路連接進行加密,能提升數據通道的安全性,但同時會增加網路連接響應時間和CPU開銷。

準備工作

為了方便觀察,我們使用Microsoft Network Monitor 3.4(以下簡稱MNM)工具來觀察網路傳輸層事件,如果您已經安裝MNM,請跳過該準備工作部分。
首先,我們從微軟官網下載MNM,根據需要下載對應的版本,我們這裡下載64 bit版本,NM34_x64.exe。
接下來,安裝MNM,直接執行NM34_x64.exe,然後按照嚮導完成安裝。
最後,重啟OS。

啟用SSL證書之前

在啟用SSL證書加密之前,客戶端和SQL Server服務端的網路傳輸層預設沒有加密保護的,我們可以通過如下步驟驗證。
 創建測試表
 新建MNM抓取
 連接查詢測試
 MNM中檢查
 動態視圖查看加密狀態

創建測試表

為了測試方便,我們首先創建測試表CustomerInfo,存入三個客戶敏感信息,包含客戶名稱和客戶電話號碼。

USE [TestDb]
GO
IF OBJECT_ID('dbo.CustomerInfo', 'U') IS NOT NULL
    DROP TABLE dbo.CustomerInfo
CREATE TABLE dbo.CustomerInfo
(
CustomerId        INT IDENTITY(10000,1)    NOT NULL PRIMARY KEY,
CustomerName    VARCHAR(100)            NOT NULL,
CustomerPhone    CHAR(11)                NOT NULL
);

-- Init Table
INSERT INTO dbo.CustomerInfo 
VALUES ('CustomerA','13402872514')
,('CustomerB','13880674722')
,('CustomerC','13487759293')
GO

新建MNM抓取

打開MNM,點擊New Capture,然後Start,啟動網路層時間抓取。
01.png

連接查詢測試

從客戶端,連接上對應的SQL Server,執行下麵的查詢語句,以便觀察MNM抓取情況。

USE [TestDb]
GO
SELECT * FROM dbo.CustomerInfo WITH(NOLOCK)

執行結果如下:
02.png

MNM中檢查

我們仔細觀察MNM中的事件,發現在客戶機和SQL Server服務端的網路傳輸層,使用的明文傳輸,如下截圖:
03.png
從圖中右下角紅色方框中,我們可以清清楚楚的看到了這三個客戶的姓名和對應的手機號碼,我們使用MNM看到數據在網路傳輸層以明文傳送,並未做任何加密,可能會存在數據被竊聽的風險。

動態視圖查看連接狀態

當然,您也可以從SQL Server的連接動態視圖看出,連接並未加密:
04.png

從MNM和SQL Server動態視圖我們可以得出相同的結論是:客戶端和SQL Server服務端數據在網路傳輸層預設以明文傳送,並未加密傳輸,可能會存在數據被竊聽的風險。那麼,我們可以啟動SSL證書來加密數據傳輸,以達到更為安全的目的。

啟用SSL證書

啟動SSL證書,分為以下幾個部分:
 證書申請
 強制所有連接使用SSL
 加密特定客戶端連接

證書申請

Start –> 輸入:mmc.exe -> File -> Add/Remove Snap-ins -> Certificate -> add -> Computer account -> Next -> Local Computer -> Finish -> OK
05.png
展開Certificates -> 右鍵 Personal -> 選擇 All Tasks -> 選擇Request New Certificate -> 點擊 Next -> 選中 Computer -> 點擊Enroll -> 點擊Finish。
右鍵點擊對應證書 -> 選中All Tasks -> 選擇Manage Private Keys… -> 授予 read 許可權給本地賬號NT ServiceMSSQLSERVER。

強制所有連接使用SSL

強制所有連接加密

在SQL Server伺服器上,Start -> Run -> sqlservermanager13.msc -> 右鍵點擊Protocols for MSSQLSERVER -> Flags中將Force Encryption設置為Yes -> Certificate選項卡中選擇證書 -> OK
06.png

重啟SQL Service

強制所有連接設置完畢後,如果想要立即生效,請重啟SQL Service。 
註意:
這裡需要特別註意,如果是目前線上正常運行的應用,請慎重測試後,打開強制所有連接使用SSL。

加密特定客戶端連接

當然,您也可以不用打開強制所有的連接使用SSL,轉而使用加密特定的客戶端連接,這裡以SSMS連接工具為例。

客戶端導入證書

Start -> Run -> 輸入:certmgr.msc -> 右鍵選擇Trusted Root Certification Authorities -> All Tasks -> Import
07.png

選擇SQL Server服務端生成的證書文件
08.png

Next -> Finish -> OK

SSMS啟用加密連接

在SSMS連接服務端界面 -> 選擇Options
09.png

然後選擇Encrypt connection
10.png

然後,參照“連接查詢測試”中方法進行連接測試。同樣在連接管理視圖中查看,我們可以看到連接已經加密:
11.png

至此,使用SSL證書加密加密客戶端和SQL Server服務端連接的實驗成功。

註意事項

由於使用了SSL證書來加密客戶端和SQL Server服務端連接,在提升數據通信的安全性同時,加密解密操作也會導致網路連接響應時間增加和CPU使用率上升,對業務系統有一定的性能影響。因此,建議您僅在外網鏈路有加密需求的時候啟用SSL加密,內網鏈路相對較安全,一般無需對鏈路加密。

最後總結

本期月報我們分享瞭如何啟用SSL證書,來加密客戶端和SQL Server服務端連接,提升網路傳輸層通信安全,使得數據在傳輸過程中被加密後,以密文傳送,最大限度保證了鏈路安全。


您的分享是我們最大的動力!

更多相關文章
  • 準備環境 環境測試 軟體安裝 xl2tpd.conf options.xl2tpd ipsec.conf l2tp ipsec.conf chap secrets 也就是我們一會在windows上登陸時用到的帳號和密碼 default secrets sysctl.conf 檢查配置 防火牆 開啟服 ...
  • 準備環境 軟體安裝 pptpd.conf options.pptpd chap secrets 也就是我們一會在windows上登陸時用到的帳號和密碼 sysctl.conf 啟動服務並查看埠 防火牆 主機連接 ...
  • 變數基礎知識 程式由指令加數據所組成,而變數可以理解為數據來源的一種。 變數名可以理解為指向了某個記憶體空間的地址,對於變數的賦值可理解為向記憶體空間寫入數據,對於變數的引用可理解為從記憶體空間讀取數據。 變數有類型的概念(例如字元串、數字等),不同的類型決定了數據的存儲格式、可表示的數據範圍以及可參與的 ...
  • bat代碼如下: 1 @echo off 2 @set /p fromFile=from: 3 @set /p toFile=to: 4 rem 找到所有文件 5 dir /b /s %fromFile%\ *.gz >tmp 6 rem 一個文件一個文件的處理 7 for /f "delims=" ...
  • 一、首先用vi命令打卡要編輯的文件: 註意:vi命令的使用如下:打開或新建文件,並將游標至於第一行首:[[email protected] /]# vi /etc/my.cnf打開文件,並將游標移至最後一行行首:[[email protected] /]# vi + /etc/my.cnf打開文件,並將游標置於第n行首 ...
  • NFS 概述 NFS(Network File System)即網路文件系統,它允許網路中的電腦之間通過TCP/IP網路共用資源。在NFS的應用中,本地NFS的客戶端應用可以透明地讀寫位於遠端NFS伺服器上的文件,就像訪問本地文件一樣。最早由sun公司開發,是類unix系統間實現磁碟共用的一種方法 ...
  • 1、下載nginx 官方下載1.6.2 2、編譯安裝 [[email protected] nginx-1.6.2]# ./configure --prefix=/usr/local/webserver/nginx --with-http_stub_status_module --with-http_ssl_mo ...
  • 本文是轉載自:https://www.cnblogs.com/jylee/p/9844965.html 一、下載: 下載地址: https://github.com/MicrosoftArchive/redis/releases 根據系統下載的版本:以(64位為例) 下載後一般解壓到根目錄下:如(E ...
一周排行
  • 比如要拆分“呵呵呵90909086676喝喝999”,下麵當type=0返回的是中文字元串“呵呵呵,喝喝”,type=1返回的是數字字元串“90909086676,999”, private string GetStrings(string str,int type=0) { IList<strin ...
  • Swagger一個優秀的Api介面文檔生成工具。Swagger可以可以動態生成Api介面文檔,有效的降低前後端人員關於Api介面的溝通成本,促進項目高效開發。 1、使用NuGet安裝最新的包:Swashbuckle.AspNetCore。 2、編輯項目文件(NetCoreTemplate.Web.c ...
  • 2020 年 7 月 30 日, 由.NET基金會和微軟 將舉辦一個線上和為期一天的活動,包括 微軟 .NET 團隊的演講者以及社區的演講者。本次線上大會 專註.NET框架構建微服務,演講者分享構建和部署雲原生應用程式的最佳實踐、模式、提示和技巧。有關更多信息和隨時瞭解情況:https://focu... ...
  • #abp框架Excel導出——基於vue #1.技術棧 ##1.1 前端採用vue,官方提供 UI套件用的是iview ##1.2 後臺是abp——aspnetboilerplate 即abp v1,https://github.com/aspnetboilerplate/aspnetboilerp ...
  • 前言 本文的文字及圖片來源於網路,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯繫我們以作處理。 作者:碧茂大數據 PS:如有需要Python學習資料的小伙伴可以加下方的群去找免費管理員領取 input()輸入 Python提供了 input() 內置函數從標準輸入讀入一 ...
  • 從12年到20年,python以肉眼可見的趨勢超過了java,成為了當今It界人人皆知的編程語言。 python為什麼這麼火? 網路編程語言搜索指數 適合初學者 Python具有語法簡單、語句清晰的特點,這就讓初學者在學習階段可以把精力集中在編程對象和思維方法上。 大佬都在用 Google,YouT ...
  • 在社會上存在一種普遍的對培訓機構的學生一種歧視的現象,具體表現在,比如:當你去公司面試的時候,一旦你說了你是培訓機構出來的,那麼基本上你就涼了,那麼你瞞著不說,然後又通過了面試成功入職,但是以後一旦在公司被髮現有培訓經歷,可能會面臨被降薪,甚至被辭退,培訓機構出來的學生,在用人單位眼裡就是能力低下的 ...
  • from typing import List# 這道題看了大佬寫的代碼,經過自己的理解寫出來了。# 從最外圍的四周找有沒有為O的,如果有的話就進入深搜函數,然後深搜遍歷# 判斷上下左右的位置是否為Oclass Solution: def solve(self, board: List[List[s ...
  • import requests; import re; import os; # 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, li ...
  • import requests; import re; import os; import parsel; 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537. ...