SlideShare ist ein Scribd-Unternehmen logo

Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmechanismen

Informatik Aktuell
Informatik Aktuell

In diesem kurzen Vortrag soll auf die Möglichkeiten des SQL Servers eingegangen werden, die Daten mittels Rechteverwaltung und Verschlüsselung gegen unberechtigten Zugriff abzusichern. Schwerpunkt sind in diesem Vortrag die Neuerungen seit SQL 2008R2/SQL 2012 und die betriebssystemseitigen Voraussetzungen. Lernen Sie den Zugriff von der Applikation bis hin zum Datensatz im SQL Server zu verstehen und so Ihre Daten umfassend abzusichern. Dabei wird sowohl auf die neuen Techniken, die der SQL Server 2012 mitbringt, als auch auf die Möglichkeiten, die das Betriebssystem Windows 2012 unterstützend mitbringt, eingegangen.

Präsentationen & Vorträge
1 von 27
Downloaden Sie, um offline zu lesen
www.informatik-aktuell.de
BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH SQL Server 2014 Security und Verschlüsselungsmechanismen Frankfurter Datenbanktage 2015 Maic Beher
Agenda Security und Verschlüsselungsmechanismen2 10.12.2015 1. Security Wer braucht schon Sicherheit? 2. Verschlüsselung Ich sehe was, was du nicht siehst! 3. Kurzer Blick in die Zukunft Was wird (vielleicht) kommen!
Security und Verschlüsselungsmechanismen3 10.12.2015 Security
Security Security und Verschlüsselungsmechanismen4 10.12.2015 Arbeiten mit Dienstkonten SPN und Kerberos Datenbankbenutzer Exkurs: Verschlüsselung Anmeldungen in Contained Databases Datenbankbenutzer mit Zertifikaten
Security– Arbeiten mit Dienstkonten Security und Verschlüsselungsmechanismen5 10.12.2015 Konten zum Starten und Ausführen von SQL Server basierten Diensten Integrierte Systemkonten Virtuelle Konten Lokale Benutzerkonten Domänenbenutzerkonten Verwaltete Dienstkonten
Security– Arbeiten mit Dienstkonten Security und Verschlüsselungsmechanismen6 10.12.2015 Verwaltete Dienstkonten MSA – Wird in der AD verwaltet – Kann den SPN setzen – Tauscht regelmäßig Kennwörter – Nicht für FCI geeignet gMSA (gruppenverwaltete Dienstkonten) – Wird offiziell noch nicht von SQL Server unterstützt
Security – Grundlagen Kerberos Security und Verschlüsselungsmechanismen7 10.12.2015 1. Authentifizierung 2. Bestätigung /TGT + SessionKey 3. Anfrage ServiceTicket 4. Service Ticket plus ServiceSessionKey 5. Service Anfrage mit ST/SSK 6. Bestätigung des Servicezugriffs
Security – Erstellen einer KERBEROS Delegation Security und Verschlüsselungsmechanismen8 10.12.2015 Vertraut dem SPN SPN auf ServiceaccountVertrauenswürdig
Security – Windows Groups Login Security und Verschlüsselungsmechanismen9 10.12.2015 Neues ab SQL Server 2012 Standard Schema für Windows Gruppen – es gilt die niedrigste ID Standardsprache auf Datenbankebene – nicht wirksam, wenn dem Login eine Standardsprache zugewiesen wurde
Security – ‚Best Practice‘ in Contained Databases Security und Verschlüsselungsmechanismen10 10.12.2015 Windowsbasierte User benutzen – Benutzer mit Passwörtern können kein Kerberos Alter any User vermeiden Zugriff nur auf die DB begrenzt – Identische User erstellen – Trustworthy Eigenschaft aktivieren Keine identischen ‚Benutzer mit Passwort‘ und ‚Anmeldenamen‘ – wenn vorhanden, dann an Instanz anmelden
Security – Anmeldeinformationen (Credentials) Security und Verschlüsselungsmechanismen11 10.12.2015 Encryption Provider für Anmeldeinformationen speichert, verwaltet Verschlüsselungsschlüssel außerhalb des SQL Servers bietet Multi-Faktor Authentifizierung (1,2,3) Seperation-of-Duties – Securityverwaltung != Datenverwaltung Enterprise Feature Kann externe Schlüsselverwalter benutzen – SmartCard – USB Geräte – EKM Module
Security und Verschlüsselungsmechanismen12 10.12.2015 Verschlüsselung
Verschlüsselung Security und Verschlüsselungsmechanismen13 10.12.2015 Grundlagen / Begrifflichkeit Einsatzbereiche Verschlüsselungsstruktur Datenbankbenutzer mit Zertifikaten Asymmetrischer Schlüssel Asymmetrischer Schlüssel (Benutzer) Signierte Prozeduren TDS
Verschlüsselung - Begrifflichkeit Security und Verschlüsselungsmechanismen14 10.12.2015 Symmetrische Schlüssel Ent- und Verschlüsseln mit dem selben Schlüssel Asymmetrische Schlüssel Ent- und Verschlüsseln mit einem Schlüsselpaar – Privater Schlüssel – Öffentlicher Schlüssel Hashalgorithmus Erzeugt eine Prüfsumme mit festgelegter Länge
Verschlüsselung - Eigenschaften Security und Verschlüsselungsmechanismen15 10.12.2015 Symmetrischer Schlüssel – Schnell – Sicher – Größenneutral Asymmetrischer Schlüssel – einfache Schlüsselübergabe Zertifikat – PKI bestätigter öffentlicher Schlüssel eines asymmetrischen Schlüsselpaares PKI Vertauen kann ein Schwachpunkt sein!!
Verschlüsselung – Verschlüsselungsstruktur Security und Verschlüsselungsmechanismen16 10.12.2015
Verschlüsselung – Datenbankbenutzer mit Zertifikaten Security und Verschlüsselungsmechanismen17 10.12.2015 Voraussetzungen: Datenbank Master Key muss erstellt sein Zertifikat muss in zwei Dateien vorliegen – öffentlicher Schlüssel im CER/DER Format – privater Schlüssel im PVK Format Erstellen eines selbst-signierten Zertifikates Tool zum Erstellen der Dateien: PVKConverter.EXE
Verschlüsselung – Asymmetrischer Schlüssel Security und Verschlüsselungsmechanismen18 10.12.2015 Zweck asymmetrischer Schlüssel Schützt den symmetrischen Verschlüsselungsschlüssel Kann (eigenschränkt) Daten verschlüsseln Signiert Datenbankobjekte Können importiert werden Aber: Können NICHT Verbindungen verschlüsseln Können nicht exportiert werden
Verschlüsselung –Asymmetrischer Schlüssel (Benutzer) Security und Verschlüsselungsmechanismen19 10.12.2015 Benutzer auf Basis eines asymmetrischen Schlüssels Können sich nicht anmelden Können Berechtigungen erhalten Können Module signieren
Verschlüsselung – Signierte Prozeduren Security und Verschlüsselungsmechanismen20 10.12.2015 Signierte Prozeduren Mehrmals signierfähig Ändern einer Prozedur löscht die Signierung
Security und Verschlüsselungsmechanismen21 10.12.2015 Kurzer Blick in die Zukunft
Kurzer Blick in die Zukunft Security und Verschlüsselungsmechanismen22 10.12.2015 Row Level Security Always Encrypted
SQL 2016 Angekündigte Features Security und Verschlüsselungsmechanismen23 10.12.2015 Row Level Security gewährt Zugriff basierend auf – Gruppenmitgliedschaft – Ausführungskontext portiert Datensicherheit aus Applikationsebene auf Datenbankebene basiert auf ‚Sicherheitsrichtlinien‘ (Security Policy) – benötigt Inline-Tabellenwertfunktionen als Prädikat – Funktion muss mit Schemabindung erstellt werden – pro DML nur ein Prädikat
Kurzer Blick in die Zukunft Security und Verschlüsselungsmechanismen24 10.12.2015 Always Encrypted Spaltenbasierte Verschlüsselung trennt Datenbesitz und Datenverwaltung transparent für die Applikation benötigt: – einen speziellen Treiber – Column Master Key – Column Encrytion Key
Kurzer Blick in die Zukunft Security und Verschlüsselungsmechanismen25 10.12.2015
Maic Beher Senior Consultant maic.beher@trivadis.com 10.12.2015 Security und Verschlüsselungsmechanismen26

Empfohlen

Digitale Selbstbestimmung | Anwendungsfälle der Dezentralität
Digitale Selbstbestimmung | Anwendungsfälle der DezentralitätDigitale Selbstbestimmung | Anwendungsfälle der Dezentralität
Digitale Selbstbestimmung | Anwendungsfälle der DezentralitätStefan Adolf
 
Lehrerweiterbildung.Key
Lehrerweiterbildung.KeyLehrerweiterbildung.Key
Lehrerweiterbildung.KeyMandy Rohs
 
Ferenc Mészáros CV_Lebenslauf
Ferenc Mészáros CV_LebenslaufFerenc Mészáros CV_Lebenslauf
Ferenc Mészáros CV_LebenslaufMeszaros Ferenc
 
UrbanSeedsKitchen_Doc
UrbanSeedsKitchen_DocUrbanSeedsKitchen_Doc
UrbanSeedsKitchen_DocJustin Dickinson
 
Wmf
WmfWmf
WmfAndreas Freiman
 
MOOCs: Stand, Perspektiven und Potenziale
MOOCs: Stand, Perspektiven und PotenzialeMOOCs: Stand, Perspektiven und Potenziale
MOOCs: Stand, Perspektiven und PotenzialeJochen Robes
 
wissensarbeit20_lindner_20100205
wissensarbeit20_lindner_20100205wissensarbeit20_lindner_20100205
wissensarbeit20_lindner_20100205Lindner Martin
 
A3_Markowsky
A3_MarkowskyA3_Markowsky
A3_MarkowskyICLEI_ITC
 

Empfohlen

Digitale Selbstbestimmung | Anwendungsfälle der Dezentralität
Digitale Selbstbestimmung | Anwendungsfälle der DezentralitätDigitale Selbstbestimmung | Anwendungsfälle der Dezentralität
Digitale Selbstbestimmung | Anwendungsfälle der DezentralitätStefan Adolf
 
Lehrerweiterbildung.Key
Lehrerweiterbildung.KeyLehrerweiterbildung.Key
Lehrerweiterbildung.KeyMandy Rohs
 
Ferenc Mészáros CV_Lebenslauf
Ferenc Mészáros CV_LebenslaufFerenc Mészáros CV_Lebenslauf
Ferenc Mészáros CV_LebenslaufMeszaros Ferenc
 
UrbanSeedsKitchen_Doc
UrbanSeedsKitchen_DocUrbanSeedsKitchen_Doc
UrbanSeedsKitchen_DocJustin Dickinson
 
Wmf
WmfWmf
WmfAndreas Freiman
 
MOOCs: Stand, Perspektiven und Potenziale
MOOCs: Stand, Perspektiven und PotenzialeMOOCs: Stand, Perspektiven und Potenziale
MOOCs: Stand, Perspektiven und PotenzialeJochen Robes
 
wissensarbeit20_lindner_20100205
wissensarbeit20_lindner_20100205wissensarbeit20_lindner_20100205
wissensarbeit20_lindner_20100205Lindner Martin
 
A3_Markowsky
A3_MarkowskyA3_Markowsky
A3_MarkowskyICLEI_ITC
 
museumsexposee_6_web
museumsexposee_6_webmuseumsexposee_6_web
museumsexposee_6_webKarin Hutter
 
Rechtliche Fragen bei der Revitalisierung von Handelsimmobilien
Rechtliche Fragen bei der Revitalisierung von HandelsimmobilienRechtliche Fragen bei der Revitalisierung von Handelsimmobilien
Rechtliche Fragen bei der Revitalisierung von Handelsimmobilienschwatlomanagement
 
Idolcard: Contentmarketing im Sportsponsoring
Idolcard: Contentmarketing im SportsponsoringIdolcard: Contentmarketing im Sportsponsoring
Idolcard: Contentmarketing im Sportsponsoringidol card
 
Allwin Vergütungssystem
Allwin VergütungssystemAllwin Vergütungssystem
Allwin Vergütungssystemallwin Vergütungssysteme
 
Evaluation digitaler Lernsysteme? Qualität durch Evaluation
Evaluation digitaler Lernsysteme? Qualität durch EvaluationEvaluation digitaler Lernsysteme? Qualität durch Evaluation
Evaluation digitaler Lernsysteme? Qualität durch EvaluationLindner Martin
 
Alphabetische wörterliste
Alphabetische wörterlisteAlphabetische wörterliste
Alphabetische wörterlisteangelica kirana sandra dewi
 
Tamer C.V Attachements .
Tamer C.V Attachements .Tamer C.V Attachements .
Tamer C.V Attachements .Tamer Sheta
 
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...nine
 
Zwitzerland
ZwitzerlandZwitzerland
ZwitzerlandCarmen María Pérez
 
Dino
DinoDino
DinoJONATHAN5413
 
Discover Arbonne 2017
Discover Arbonne 2017Discover Arbonne 2017
Discover Arbonne 2017Georgina Lloyd
 
Content selber machen
Content selber machenContent selber machen
Content selber machenMandy Rohs
 
Medienbildung und Schule | Blinde Flecken und Spannungsfelder
Medienbildung und Schule | Blinde Flecken und SpannungsfelderMedienbildung und Schule | Blinde Flecken und Spannungsfelder
Medienbildung und Schule | Blinde Flecken und SpannungsfelderMandy Rohs
 
eLearning2.0_01
eLearning2.0_01eLearning2.0_01
eLearning2.0_017grad
 
aufwandsschaetzungen bonner runde
aufwandsschaetzungen bonner rundeaufwandsschaetzungen bonner runde
aufwandsschaetzungen bonner rundefoobar2605
 
5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr Cybersecurity5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr CybersecurityA. Baggenstos & Co. AG
 
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...BCC - Solutions for IBM Collaboration Software
 
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Holliday Consulting
 
Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisA. Baggenstos & Co. AG
 
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSchlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSven Wohlgemuth
 
Rechtssicheres E-Mail-Management
Rechtssicheres E-Mail-ManagementRechtssicheres E-Mail-Management
Rechtssicheres E-Mail-Managementapachelance
 
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoKeine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoBCC - Solutions for IBM Collaboration Software
 

Weitere ähnliche Inhalte

Andere mochten auch

museumsexposee_6_web
museumsexposee_6_webmuseumsexposee_6_web
museumsexposee_6_webKarin Hutter
 
Rechtliche Fragen bei der Revitalisierung von Handelsimmobilien
Rechtliche Fragen bei der Revitalisierung von HandelsimmobilienRechtliche Fragen bei der Revitalisierung von Handelsimmobilien
Rechtliche Fragen bei der Revitalisierung von Handelsimmobilienschwatlomanagement
 
Idolcard: Contentmarketing im Sportsponsoring
Idolcard: Contentmarketing im SportsponsoringIdolcard: Contentmarketing im Sportsponsoring
Idolcard: Contentmarketing im Sportsponsoringidol card
 
Evaluation digitaler Lernsysteme? Qualität durch Evaluation
Evaluation digitaler Lernsysteme? Qualität durch EvaluationEvaluation digitaler Lernsysteme? Qualität durch Evaluation
Evaluation digitaler Lernsysteme? Qualität durch EvaluationLindner Martin
 
Tamer C.V Attachements .
Tamer C.V Attachements .Tamer C.V Attachements .
Tamer C.V Attachements .Tamer Sheta
 
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...nine
 
Content selber machen
Content selber machenContent selber machen
Content selber machenMandy Rohs
 
Medienbildung und Schule | Blinde Flecken und Spannungsfelder
Medienbildung und Schule | Blinde Flecken und SpannungsfelderMedienbildung und Schule | Blinde Flecken und Spannungsfelder
Medienbildung und Schule | Blinde Flecken und SpannungsfelderMandy Rohs
 
eLearning2.0_01
eLearning2.0_01eLearning2.0_01
eLearning2.0_017grad
 
aufwandsschaetzungen bonner runde
aufwandsschaetzungen bonner rundeaufwandsschaetzungen bonner runde
aufwandsschaetzungen bonner rundefoobar2605
 

Andere mochten auch (15)

museumsexposee_6_web
museumsexposee_6_webmuseumsexposee_6_web
museumsexposee_6_web
 
Rechtliche Fragen bei der Revitalisierung von Handelsimmobilien
Rechtliche Fragen bei der Revitalisierung von HandelsimmobilienRechtliche Fragen bei der Revitalisierung von Handelsimmobilien
Rechtliche Fragen bei der Revitalisierung von Handelsimmobilien
 
Idolcard: Contentmarketing im Sportsponsoring
Idolcard: Contentmarketing im SportsponsoringIdolcard: Contentmarketing im Sportsponsoring
Idolcard: Contentmarketing im Sportsponsoring
 
Allwin Vergütungssystem
Allwin VergütungssystemAllwin Vergütungssystem
Allwin Vergütungssystem
 
Evaluation digitaler Lernsysteme? Qualität durch Evaluation
Evaluation digitaler Lernsysteme? Qualität durch EvaluationEvaluation digitaler Lernsysteme? Qualität durch Evaluation
Evaluation digitaler Lernsysteme? Qualität durch Evaluation
 
Alphabetische wörterliste
Alphabetische wörterlisteAlphabetische wörterliste
Alphabetische wörterliste
 
Tamer C.V Attachements .
Tamer C.V Attachements .Tamer C.V Attachements .
Tamer C.V Attachements .
 
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
TechTalkThursday 27.10.2016: upd89.org - Orchestrierung von Security-Updates ...
 
Zwitzerland
ZwitzerlandZwitzerland
Zwitzerland
 
Dino
DinoDino
Dino
 
Discover Arbonne 2017
Discover Arbonne 2017Discover Arbonne 2017
Discover Arbonne 2017
 
Content selber machen
Content selber machenContent selber machen
Content selber machen
 
Medienbildung und Schule | Blinde Flecken und Spannungsfelder
Medienbildung und Schule | Blinde Flecken und SpannungsfelderMedienbildung und Schule | Blinde Flecken und Spannungsfelder
Medienbildung und Schule | Blinde Flecken und Spannungsfelder
 
eLearning2.0_01
eLearning2.0_01eLearning2.0_01
eLearning2.0_01
 
aufwandsschaetzungen bonner runde
aufwandsschaetzungen bonner rundeaufwandsschaetzungen bonner runde
aufwandsschaetzungen bonner runde
 

Ähnlich wie Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmechanismen

Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Holliday Consulting
 
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSchlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSven Wohlgemuth
 
Rechtssicheres E-Mail-Management
Rechtssicheres E-Mail-ManagementRechtssicheres E-Mail-Management
Rechtssicheres E-Mail-Managementapachelance
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Thomas Bahn
 
Teams Nation 2022 - Securing Microsoft 365 data with service encryption
Teams Nation 2022 - Securing Microsoft 365 data with service encryptionTeams Nation 2022 - Securing Microsoft 365 data with service encryption
Teams Nation 2022 - Securing Microsoft 365 data with service encryptionThomas Stensitzki
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenQAware GmbH
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 
E-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der CloudE-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der Cloudapachelance
 
DevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdfDevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdfCarolinaMatthies
 
DACHNUG50 CNX2 Troubleshooting hcl connections.pdf
DACHNUG50 CNX2 Troubleshooting hcl connections.pdfDACHNUG50 CNX2 Troubleshooting hcl connections.pdf
DACHNUG50 CNX2 Troubleshooting hcl connections.pdfDNUG e.V.
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisPeter Tröger
 

Ähnlich wie Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmechanismen (20)

5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr Cybersecurity5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr Cybersecurity
 
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Mes...
 
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
Secure Emailing and its Pitfalls - Systemic Enhancements Are Required!
 
Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der Praxis
 
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSchlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
 
Rechtssicheres E-Mail-Management
Rechtssicheres E-Mail-ManagementRechtssicheres E-Mail-Management
Rechtssicheres E-Mail-Management
 
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoKeine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
 
Teams Nation 2022 - Securing Microsoft 365 data with service encryption
Teams Nation 2022 - Securing Microsoft 365 data with service encryptionTeams Nation 2022 - Securing Microsoft 365 data with service encryption
Teams Nation 2022 - Securing Microsoft 365 data with service encryption
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice Architekturen
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
E-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der CloudE-Mail-Verschlüsselung aus der Cloud
E-Mail-Verschlüsselung aus der Cloud
 
Lza ce bit2015
Lza ce bit2015Lza ce bit2015
Lza ce bit2015
 
100% Security für Ihre Clients?
100% Security für Ihre Clients?100% Security für Ihre Clients?
100% Security für Ihre Clients?
 
DevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdfDevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdf
 
DACHNUG50 CNX2 Troubleshooting hcl connections.pdf
DACHNUG50 CNX2 Troubleshooting hcl connections.pdfDACHNUG50 CNX2 Troubleshooting hcl connections.pdf
DACHNUG50 CNX2 Troubleshooting hcl connections.pdf
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
 

Maic Beher – IT-Tage 2015 – MS SQL Server – Security und Verschlüsselungsmechanismen

  • 2. BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH SQL Server 2014 Security und Verschlüsselungsmechanismen Frankfurter Datenbanktage 2015 Maic Beher
  • 3. Agenda Security und Verschlüsselungsmechanismen2 10.12.2015 1. Security Wer braucht schon Sicherheit? 2. Verschlüsselung Ich sehe was, was du nicht siehst! 3. Kurzer Blick in die Zukunft Was wird (vielleicht) kommen!
  • 5. Security Security und Verschlüsselungsmechanismen4 10.12.2015 Arbeiten mit Dienstkonten SPN und Kerberos Datenbankbenutzer Exkurs: Verschlüsselung Anmeldungen in Contained Databases Datenbankbenutzer mit Zertifikaten
  • 6. Security– Arbeiten mit Dienstkonten Security und Verschlüsselungsmechanismen5 10.12.2015 Konten zum Starten und Ausführen von SQL Server basierten Diensten Integrierte Systemkonten Virtuelle Konten Lokale Benutzerkonten Domänenbenutzerkonten Verwaltete Dienstkonten
  • 7. Security– Arbeiten mit Dienstkonten Security und Verschlüsselungsmechanismen6 10.12.2015 Verwaltete Dienstkonten MSA – Wird in der AD verwaltet – Kann den SPN setzen – Tauscht regelmäßig Kennwörter – Nicht für FCI geeignet gMSA (gruppenverwaltete Dienstkonten) – Wird offiziell noch nicht von SQL Server unterstützt
  • 8. Security – Grundlagen Kerberos Security und Verschlüsselungsmechanismen7 10.12.2015 1. Authentifizierung 2. Bestätigung /TGT + SessionKey 3. Anfrage ServiceTicket 4. Service Ticket plus ServiceSessionKey 5. Service Anfrage mit ST/SSK 6. Bestätigung des Servicezugriffs
  • 9. Security – Erstellen einer KERBEROS Delegation Security und Verschlüsselungsmechanismen8 10.12.2015 Vertraut dem SPN SPN auf ServiceaccountVertrauenswürdig
  • 10. Security – Windows Groups Login Security und Verschlüsselungsmechanismen9 10.12.2015 Neues ab SQL Server 2012 Standard Schema für Windows Gruppen – es gilt die niedrigste ID Standardsprache auf Datenbankebene – nicht wirksam, wenn dem Login eine Standardsprache zugewiesen wurde
  • 11. Security – ‚Best Practice‘ in Contained Databases Security und Verschlüsselungsmechanismen10 10.12.2015 Windowsbasierte User benutzen – Benutzer mit Passwörtern können kein Kerberos Alter any User vermeiden Zugriff nur auf die DB begrenzt – Identische User erstellen – Trustworthy Eigenschaft aktivieren Keine identischen ‚Benutzer mit Passwort‘ und ‚Anmeldenamen‘ – wenn vorhanden, dann an Instanz anmelden
  • 12. Security – Anmeldeinformationen (Credentials) Security und Verschlüsselungsmechanismen11 10.12.2015 Encryption Provider für Anmeldeinformationen speichert, verwaltet Verschlüsselungsschlüssel außerhalb des SQL Servers bietet Multi-Faktor Authentifizierung (1,2,3) Seperation-of-Duties – Securityverwaltung != Datenverwaltung Enterprise Feature Kann externe Schlüsselverwalter benutzen – SmartCard – USB Geräte – EKM Module
  • 13. Security und Verschlüsselungsmechanismen12 10.12.2015 Verschlüsselung
  • 14. Verschlüsselung Security und Verschlüsselungsmechanismen13 10.12.2015 Grundlagen / Begrifflichkeit Einsatzbereiche Verschlüsselungsstruktur Datenbankbenutzer mit Zertifikaten Asymmetrischer Schlüssel Asymmetrischer Schlüssel (Benutzer) Signierte Prozeduren TDS
  • 15. Verschlüsselung - Begrifflichkeit Security und Verschlüsselungsmechanismen14 10.12.2015 Symmetrische Schlüssel Ent- und Verschlüsseln mit dem selben Schlüssel Asymmetrische Schlüssel Ent- und Verschlüsseln mit einem Schlüsselpaar – Privater Schlüssel – Öffentlicher Schlüssel Hashalgorithmus Erzeugt eine Prüfsumme mit festgelegter Länge
  • 16. Verschlüsselung - Eigenschaften Security und Verschlüsselungsmechanismen15 10.12.2015 Symmetrischer Schlüssel – Schnell – Sicher – Größenneutral Asymmetrischer Schlüssel – einfache Schlüsselübergabe Zertifikat – PKI bestätigter öffentlicher Schlüssel eines asymmetrischen Schlüsselpaares PKI Vertauen kann ein Schwachpunkt sein!!
  • 17. Verschlüsselung – Verschlüsselungsstruktur Security und Verschlüsselungsmechanismen16 10.12.2015
  • 18. Verschlüsselung – Datenbankbenutzer mit Zertifikaten Security und Verschlüsselungsmechanismen17 10.12.2015 Voraussetzungen: Datenbank Master Key muss erstellt sein Zertifikat muss in zwei Dateien vorliegen – öffentlicher Schlüssel im CER/DER Format – privater Schlüssel im PVK Format Erstellen eines selbst-signierten Zertifikates Tool zum Erstellen der Dateien: PVKConverter.EXE
  • 19. Verschlüsselung – Asymmetrischer Schlüssel Security und Verschlüsselungsmechanismen18 10.12.2015 Zweck asymmetrischer Schlüssel Schützt den symmetrischen Verschlüsselungsschlüssel Kann (eigenschränkt) Daten verschlüsseln Signiert Datenbankobjekte Können importiert werden Aber: Können NICHT Verbindungen verschlüsseln Können nicht exportiert werden
  • 20. Verschlüsselung –Asymmetrischer Schlüssel (Benutzer) Security und Verschlüsselungsmechanismen19 10.12.2015 Benutzer auf Basis eines asymmetrischen Schlüssels Können sich nicht anmelden Können Berechtigungen erhalten Können Module signieren
  • 21. Verschlüsselung – Signierte Prozeduren Security und Verschlüsselungsmechanismen20 10.12.2015 Signierte Prozeduren Mehrmals signierfähig Ändern einer Prozedur löscht die Signierung
  • 22. Security und Verschlüsselungsmechanismen21 10.12.2015 Kurzer Blick in die Zukunft
  • 23. Kurzer Blick in die Zukunft Security und Verschlüsselungsmechanismen22 10.12.2015 Row Level Security Always Encrypted
  • 24. SQL 2016 Angekündigte Features Security und Verschlüsselungsmechanismen23 10.12.2015 Row Level Security gewährt Zugriff basierend auf – Gruppenmitgliedschaft – Ausführungskontext portiert Datensicherheit aus Applikationsebene auf Datenbankebene basiert auf ‚Sicherheitsrichtlinien‘ (Security Policy) – benötigt Inline-Tabellenwertfunktionen als Prädikat – Funktion muss mit Schemabindung erstellt werden – pro DML nur ein Prädikat
  • 25. Kurzer Blick in die Zukunft Security und Verschlüsselungsmechanismen24 10.12.2015 Always Encrypted Spaltenbasierte Verschlüsselung trennt Datenbesitz und Datenverwaltung transparent für die Applikation benötigt: – einen speziellen Treiber – Column Master Key – Column Encrytion Key
  • 26. Kurzer Blick in die Zukunft Security und Verschlüsselungsmechanismen25 10.12.2015
  • 27. Maic Beher Senior Consultant maic.beher@trivadis.com 10.12.2015 Security und Verschlüsselungsmechanismen26