SQL Server 2000 보안 정원혁 이사 DB 사업부 필라넷 [제목과 문서속성 값을 입력해 주세요.

Presentation on theme: "SQL Server 2000 보안 정원혁 이사 DB 사업부 필라넷 [제목과 문서속성 값을 입력해 주세요."— Presentation transcript:

1

2 SQL Server 2000 보안 정원혁 이사 DB 사업부 필라넷 [제목과 문서속성 값을 입력해 주세요.
문서속성 값은 파일 메뉴>속성에서 입력해 주시면 됩니다.] [하단의 슬라이드 노트 내용 입력란에 슬라이드별 스크립트를 삽입해 주시기 바랍니다.] 정원혁 이사 DB 사업부 필라넷

3 강사 소개 http://williamc.feelanet.com
강사 소개 저서 전문가로 가는 지름길 Microsoft SQL Server , 2권 외 다수 경 력 현, ㈜필라넷 이사, 수석컨설턴트 현, 필라넷 교육센터 전임강사 현, MCT/MCDBA ㈜웹타임 SQL 서버 전임 강사 ㈜인브레인 사외이사 다우데이타 / 다우교육원 : SQL/Windows 전임강사 ~ 마이크로소프트 컨설팅 서비스(MCS) : SQL 서버 컨설팅 ~ 마이크로소프트 기술지원부(PSS) : NT 및 SQL 서버지원 / Technical Account Manager ~ 비트컴퓨터 : C-ISAM Library Project ~ 이랜드 정보산업 근무 : Netware 관리자 / 바코드 시스템 개발, 영업 시스템 개발 / Unix admin / DBA ~ MCDBA, MCT SQL specialist .Net Advisor 그룹 SQL 소그룹장 [강사 소개 부분은 필수 사항은 아니나 되도록이면 사진, 경력 등을 기입해 주시기 바랍니다.]

4 Level 100, 200 이 주제를 이해하는 데 필요한 지식 SQL Server 기본 툴 (EM, Q/A) 사용 경험
Windows 사용 가능 Windows 의 보안과 사용자 관리 경험 [이 세션을 쉽게 이해를 하기 위해서 필요한 지식이나 정보를 입력해주세요.] [Level은 다음과 같은 기준으로 입력합니다.] - 레벨 100: 초보자 – 개념, 기능, 장점, 향후 발전 방향 - 레벨 200: 중급자 – 100 내용에서 좀더 자세히 - 레벨 300: 고급자 – 사용경험과 아키텍처, 상세설명 및 성능, 마이그레이션, 설치, 개발 - 레벨 400: 전문가 – 사용경험 위주의 상세한 설명으로 전문가 대상의 상세한 설명 Level 100, 200

5 목차 기본 개념 Authentication, Authorization Login Security User/ Schema
Impersonation Permission 소유권 체인 기타 이슈

6 기본 개념 Authentication, Authorization Login Security User/ Schema Impersonation Permission 소유권 체인 기타 이슈

7 Who are we defending against?
재미삼아 실험삼아 해 보는 해커 허가 받지 않은 직원 교육 받지 않은 직원 “난 공간이 더 필요했어요. 그래서 커다란 파일이 있길래 지웠을 뿐이라구요. 뭐 ….mdf 였죠? 아 물론 지우려고 했더니 뭐 서비스도 하나 멈춰야 하더라구요. 그게 그렇게 잘 못한 거에요?” 사이버 야만족 전문 해커

8 What are we defending? 데이터 엑세스 데이터 무결성 SQL Server
network infrastructure Your job

9 What needs to be done? Limit access methods to the server
Limit access methods to the data 잠재적인 연약한 노출을 제한한다 더 많은 기능과 응용 프로그램을 가진다는 것은 더 많은 접근 경로를 가진다는 것을 의미한다. 더미 터미널로 돌아가겠다는 어떤 업체

10 What’s involved? Physical Environment Network Infrastructure
Windows Infrastructure SQL Server Application Database Data Process and Policy

11 Who’s involved? Database Administration Development Management
Business Units Regulations Network Infrastructure Windows Administration

12 기본 개념 Authentication, Authorization Login Security User/ Schema Impersonation Permission 소유권 체인 기타 이슈

13 Authentication and Authorization
SQL server validates and establishes the identity of a principal expressing the desire to access a resource Authorization SQL server decides whether a given principal is allowed to access a resource

14 SQL 서버 보안 모드 혼합 인증 Windows (only) 인증

15 데모 SQL 서버 보안 모드 [90분 강의는 3~4개의 데모가, 60분 강의는 1~2개의 데모가 반드시 포함되어야 합니다.]
[데모 주제 아래의 [작업 1][작업 2]는 데모의 흐름, Task 목록 등을 기입해 주시면 됩니다.] [데모별로 상기의 슬라이드가 데모 전에 나와야 합니다.]

16 기본 개념 Authentication, Authorization Login Security User/ Schema Impersonation Permission 소유권 체인 기타 이슈

17 Login Security Login access can be granted to: Password policy
Windows login Windows group SQL Server login Password policy 사실상 아무 제한이 없다 설치 시에 빈 암호는 권장하지 않는다. SP3는 강력히 빈 암호를 막는다. 하지만 다른 login에 대해서는 속수무책이다 Windows 인증을 쓰자

18 기본 개념 Authentication, Authorization Login Security User/ Schema Impersonation Permission 소유권 체인 기타 이슈

19 Users and Schemas ANSI 는 두 개념을 구분 한다: SQL Server 는 암시적(IMPLICIT) 관계
Schema: 하나의 user에 의해 소유되는, 단일 namespace 를 형성하는 개체의 모음(collection) Namespace: 동일 이름을 가질 수 없는 개체의 집합(set) SQL Server 는 암시적(IMPLICIT) 관계 User를 만들면 schema를 만든다 User의 default schema 는 변경 불가능하다.

20 Special User: DBO A user name A default schema
All logins in sysadmin role use this user name and schema ‘실제’ owner 는 sysadmin이 아닐 수도 있다. db_owner role의 user는 이 이름이나 스키마를 default 로 갖지 않는다. Aliase를 사용한 편법

21 데모 Login / User [90분 강의는 3~4개의 데모가, 60분 강의는 1~2개의 데모가 반드시 포함되어야 합니다.]
[데모 주제 아래의 [작업 1][작업 2]는 데모의 흐름, Task 목록 등을 기입해 주시면 됩니다.] [데모별로 상기의 슬라이드가 데모 전에 나와야 합니다.]

22 기본 개념 Authentication, Authorization Login Security User/ Schema Impersonation Permission 소유권 체인 기타 이슈

23 Impersonation (SETUSER)
SETUSER may be deprecated 권한 테스트에 유용 SQL login과 Windows login에서 차이 누가 실행하는 가에 따른 차이

24 데모 Impersonation (SETUSER)
[90분 강의는 3~4개의 데모가, 60분 강의는 1~2개의 데모가 반드시 포함되어야 합니다.] [데모 주제 아래의 [작업 1][작업 2]는 데모의 흐름, Task 목록 등을 기입해 주시면 됩니다.] [데모별로 상기의 슬라이드가 데모 전에 나와야 합니다.]

25 기본 개념 Authentication, Authorization Login Security User/ Schema Impersonation Permission 소유권 체인 기타 이슈

26 권한과 역할 General permission model System and user defined roles

27 General Permission Model
Windows와 비슷 DENY 나 GRANT 가 지정되면 상위 수준의 권한이 검사된다 Grant Revoke [deny] Deny DENY Revoke - + DENY는 다른 어떤 권한보다 우선

28 역할 System Role  login name Database Role  user 새로운 것 만들 수 없다
‘owner’라는 개념 없다 Database Role  user 새로운 것 만들 수 있다 각 role 마다 owner 가 있다

29 응용 프로그램 역할 매우 독특 해당 프로시저, 해당 프로그램에서만 액세스 sp_setapprole

30 데모 권한의 부여 서버 역할 설정 DB 역할 설정 응용 프로그램 역할 사용
[90분 강의는 3~4개의 데모가, 60분 강의는 1~2개의 데모가 반드시 포함되어야 합니다.] [데모 주제 아래의 [작업 1][작업 2]는 데모의 흐름, Task 목록 등을 기입해 주시면 됩니다.] [데모별로 상기의 슬라이드가 데모 전에 나와야 합니다.]

31 Permissions Wishlish Execute all procedures
db_datareader / db_datawriter 같은 것 없다 추적 할 수 있는 권한 없다. Sys admin role ALTER / 다른 schema 변경할 수 있는 권한 없다

32 기본 개념 Authentication, Authorization Login Security User/ Schema Impersonation Permission 소유권 체인 기타 이슈

33 Ownership Chains Unbroken chain Broken chain
june.proc1  june.table1; junegrants exec permission to dan bill.view1  bill.table2; bill grants select permission to dan Dan은 table1 이나 table2에 아무 권한도 필요없다 Broken chain joy.proc1  bill.view1; joy grants exec permission to dan Dan 은 proc1을 실행할 수 없다!

34 Ownership Chain 예외 프로시저 안의 동적 SQL 문은 항상 권한 검사 한다. 실행자의 문맥에서 수행된다.
Cross Database Ownership Chains KB Q is incorrectly titled: Object Ownership Chain Checking Across Databases Depends on Database Ownership SQL Server 2000, sp3에서 제대로 동작: KB Q810474

35 Cross Database Chaining
잠재적 보안 위반 A db 에서 높은 권한 가진 userA, B db에서 낮은 권한 가진 userA SP3의 새로운 기능: Sp_configure ‘Cross DB Ownership Chaining’, 1 sp_dboption ‘mydb', 'db chaining', 'true' SETUP 에서 묻는다. default 는 NO

36 데모 소유권 체인 DB간 소유권 체인 [90분 강의는 3~4개의 데모가, 60분 강의는 1~2개의 데모가 반드시 포함되어야 합니다.] [데모 주제 아래의 [작업 1][작업 2]는 데모의 흐름, Task 목록 등을 기입해 주시면 됩니다.] [데모별로 상기의 슬라이드가 데모 전에 나와야 합니다.]

37 기본 개념 Authentication, Authorization Login Security User/ Schema Impersonation Permission 소유권 체인 기타 이슈

38 Row Level Security 보안은 오직 다음 항목에만 가능: row level security를 흉내 내려면:
Database Object Column row level security를 흉내 내려면: 각 행에 추가적인 데이터 삽입 WHERE 절을 가진 view를 생성

39 Metadata Security 대부분 메타 데이터는 everyone에게 열려있다 아주 몇가지 예외: 가능한 대안:
EM: 시스템 데이터베이스와 테이블 숨길 수 있다 QA: database 목록에는 접근할 수 있는 것만 나타난다 응용하면  EM에서 접근가능한 테이블만 나타나게 할 수 있다. 가능한 대안: 시스템 저장 프로시저를 새로 만들고, 권한을 부여한다. 정식 기술지원 안된다!

40 세션 요약 기본 개념 Authentication, Authorization Login Security User/ Schema
Impersonation Permission 소유권 체인 기타 이슈 [세션 내용을 요약하여 고객께 다시 한번 정리하여 줍니다.]

41 참고 자료 General Security Sites www.cert.org www.microsoft.com/security
첫 출발을 위한 좋은 곳 거의 매일 업데이트 매우 다양한 일반적 정보

42 참고 자료 (2) SQL Server 관련 사이트
많은 양의 주제를 다루는 기술 백서 사이트 Chip Andrew’s site – 보안 점검 리스트와 무료 툴을 다운 받을 수 있다 David Litchfield의 좋은 기술 백서

43 참고 자료 (3) Tools Microsoft Security Baseline Analyzer (MSBA) ( 취약 사항에 대한 좋은 점검 도구 보안 감사, 암호화, 침입 탐색 암호화/ 압축을 지원하는 백업 도구 보안 감사/ 검사 도구

44 참고 자료 (4) Tools www.netiq.com www.ca.com www.symantec.com 다양한 보안 도구
eTrust line : security policy management 에 대한 바이러스 강화 보안 도구, 바이러스 도구

45 추천서적: Microsoft Press IT 전문가를 위한 고급 정보
Microsoft SQL Server 2000 포켓 컨설턴트 (관리자용), 정보문화사 Microsoft SQL Server 2000 운영 가이드 [추천 서적은 Microsoft Press에서 나온 서적과 기타 서적을 분리해서 기입하시되 관련 서적이 없으시면 삭제해 주시기 바랍니다.(본 슬라이드와 다음 슬라이드 참조)] 최신 기술서적에 대한 정보는 여기서 참조하세요.

46 이 서적은 국내 대형서점에서 판매되며, 온라인 서점에서도 판매 됩니다.
추천서적: IT 전문가를 위한 참고서적 전문가를 위한 지름길, SQL Server 2000 (2), 도서출판 대림 이 서적은 국내 대형서점에서 판매되며, 온라인 서점에서도 판매 됩니다.

47 Microsoft 교육센터 IT 전문가를 위한 교육정보
코스 제목 Available  SQL Server 최적화 튜닝 2/28~3/4 실무 데이터베이스 모델링 (김연홍 저자 직강) 3/8~11 자세한 교육정보는 Microsoft 공식 교육기관 또는 인터넷에서 통해서 얻을 수 있습니다.

48

49 참고자료 : IT 전문가를 위한 Microsoft 인증

50 여러분의 Microsoft 기술 능력 평가 Microsoft Skills Assessment 무엇인가?
현재 제품 및 기술 솔루션에 대한 능력 평가 Windows Server 2003, Exchange Server 2003, Windows Storage Server 2003, Visual Studio .NET, Office 2003 무료, 온라인, 누구나 사용 가능 평가결과를 기초로 Microsoft 교육 프로그램을 제안합니다. 평가항목과 최고점수 표시 방문하세요!

51 Microsoft Certified Systems Administrator(MCSA)가 되자!
Microsoft Windows Server 기반의 시스템, 네트워크 유지보수와 관리를 하는 IT 전문가를 위한 인증제도 어떻게 MCSA(Windows Server 2003) 합격? 3개 코어 시험 통과 1개 선택 과목 자세한 정보는 아래 URL를 참고하세요?

52 Microsoft Certified Systems Engineer (MCSE)가 되자!
Microsoft Windows Server System 기반의 비즈니스 솔루션, 인프라스트럭처의 설계, 도입계획, 도입방법, IT 운영자의 요구분석 능력을 인증하는 제도 어떻게 MCSE(Microsoft Windows 2003) 합격? 6개 코어 시험 통과 1새 선택 시험 통과 자세한 정보는 아래 URL를 참고하세요?

53 Microsoft Certified Desktop Support Technician(MCDST)
What is the MCDST certification? Microsoft Windows 오퍼레이팅 시스템에서 실행되는 데스크톱 환경의 문제해결 및 전문가의 기술지원 능력을 인증하는 제도 어떻게 MCDST(Microsoft Windows XP) 합격? 2개 코어 시험 통과 오퍼레이팅 시스템 데스크톱 애플리케이션 지원 자세한 정보는 아래 URL를 참고하세요?

54 Specialization 인증을 도전하세요.
MCSA/MCSE specializations? IT 전문가를 위한 메시징, 보안 전문분야의 인증제도 현재 인증 가능한 전문? MCSA: Security – MCSA: Messaging MCSE: Security – MCSE: Messaging 자세한 정보는 아래 URL를 참고하세요? or

55 TechNet에 가입하세요. 최신 기술 뉴스를 받고 싶으세요?
평가기간 없는 소프트웨어!: Technet Plus 가입자는 평가 목적으로 Microsoft 정품제품을 다양하게 시험을 할 수 있다. 무료 기술지원: 가입자는 2개의 무료 기술지원을 받을 수 있으며, 중요한 문제해결을 위해 시간을 절약할 수 있다. 최신 TechNet 정보를 오프라인에서 사용: TechNet 사이트의 Microsoft 평가, 설치, 솔루션의 정보를 CD 또는 DVD로 받을 수 있다.

56 어디서 정보를 얻을 수 있나요? 웹 캐스트 또는 온라인 채팅 뉴스그룹 목록 Microsoft 커뮤니티 사이트 커뮤니티 이벤트 커뮤니티 컬럼