U bevindt zich nu op een technische pagina over de software Mercator. Deze pagina bevat specifieke informatie die bestemd is voor professionals van de software Mercator. Wenst u naar algemenere informatie over Mercator door te gaan?


   Deze vraag niet meer stellen

Overwegingen over de beveiliging van de SQL server en de bewaarde gegevens

0000002685     -      16-10-2017

Mercator wordt steeds meer in de "SQL Cloud" Deze openheid op het internet roept onvermijdelijk de vraag over de veiligheid en het beperken van toegang tot enkele de geautoriseerde gebruikers. Het Mercator team formuleert geen algemene of universele raad, maar biedt wel beveiligingsmogelijkheden. In het algemeen staat de beveiliging omgekeerd evenredig aan het gebruikscomfort en het gebruiksgemak. Het is aan elke verantwoordelijke van zijn infrastructuur om te bepalen waar de cursor geplaatst wordt.

Betreffende de SQL Server, lijkt de beveiliging uit ten minste twee componenten te bestaan:

1.Maak de SQL server alleen toegankelijk voor goed gedefinieerde gebruikers

Als de SQL server niet “zichtbaar” is in een lokaal netwerk, kan dit worden genegeerd. Daartegenover, als de SQL server “zichtbaar” is, is het noodzakelijk om het te beschermen en alleen toegang te bieden aan goed gedefinieerde gebruikers. Dit kan beheerd worden in de firewall als de gebruikers zich achter een statisch IP adres bevinden.

Voor gebruikers die een dynamisch IP adres hebben kan er een VPN worden opgezet:

  • lDe Windows VPN (RRAS) kan worden gebruikt. Het is gemakkelijk om het te integreren in Mercator. Het nadeel is dat bij netwerkstoringen het niet mogelijk is om automatisch te herverbinden (zoals Mercator dat kan doen.
  • OpenVPN biedt een aantrekkelijke oplossing, want het is zowel bekend als gratis. Het is gebaseerd op een certificaten systeem die worden aangemaakt op de server en geïnstalleerd op alle posten die er mee kunnen connecteren. Een intrekking lijst maakt het mogelijk om een specifieke klant toegang tot de server te ontkennen. OpenVPN kan functioneren als een dienst, zowel op de server als de client. Dit maakt het volledig transparant en heeft uitstekende aansluit mogelijkheden.
  • Een andere VPN kan ook worden ingesteld: Cisco, SolarWinds, Fortinet, ...

Zodra er een VPN opgezet is, zorgt u er best voor dat de SQL server enkel toegankelijk is via het lokale netwerk of de VPN.

2. Uitwisselingen versleutelen tussen Mercator (client) en de SQL server

Als de SQL server enkel toegankelijk is op het lokale netwerk of via een VPN verbinding (dat de gecodeerde communicatie uitvoert), kan dit worden genegeerd. Als de communicatie daartegenover gebeurt via het openbare internet, zelfs tussen IP adressen die duidelijk omschreven zijn in de firewall, is het noodzakelijk om de uitgewisselde gegevens te versleutelen. In het laatste geval worden, wachtwoorden, applicaties en data “zichtbaar” verzonden en kunnen onderschept of gewijzigd worden tijdens het transport in het openbare internet. We spreken hier over de "Man in the Middle" aanvalstype.

Daarvoor helpt het om gegevenscodering te plaatsen, volgens de twee hieronder beschreven methoden:


Het is natuurlijk ook mogelijk om extra maatregelen te nemen om de veiligheid van de SQL server en de integriteit van de bestanden te garanderen. Hier is een onbeperkte lijst van acties die u kan ondernemen, waarvan ze allemaal op hun eigen voldoen, zonder dat elk van hen verplicht is.

  •  (via de configuratietools)
  • Verberg het exemplaar van de SQL server ( via de configuratietools)
  • Zet een (zeer) sterk passwoord op de Administrator gebruiker
  • Geef de Administrator een andere naam
  • Schakel diverse verificatiemogelijkheden van de SQL server uit en gebruik daarom gepersonaliseerde verbinding strings.. Beheer de toegang tot de Mercator database per gedefinieerde gebruiker in de Active Directory. (Dit houdt in om handmatig de verbindingen te parametreren via de client tools van de SQL server.)
  • Voorkom dat externe toepassingen (websites, …) die verbinding maken met de server teveel toegangsrechten hebben
  • Beperk de rechten van de verbinding die dezelfde naam heeft als de Mercator database
  • ...

 Na het sensibiliseren van onze gebruikers en dienstverleners over dit onderwerp, geeft Mercator dit bericht weer bij het opstarten:

"Mercator communiceert met de SQL server via het internet in een niet versleutelde modus. De uitgewisselde gegevens worden niet beschermd tegen kwaadaardige onderscheppingen.
Het wordt sterk aangeraden om uw infrastructuur te beveiligen."

Indien deze twee voorwaarden voldaan zijn:

  • Dat de communicatie met de SQL server gebeurt via het openbare internet
  • Dat de communicatie met de SQL server niet versleuteld is

Als dit bericht wordt afgebeeld, onderneemt u best correctionele maatregelen. Als dit bericht niet wordt weergegeven, betekend dit niet dat uw infrastructuur beveiligd is. Mercator heeft geen manier om de aanwezigheid en configuratie van elke firewall te controleren.

 

Pour plus d'informations, voir Installation / configuration optimale de SQL Server.