بهبودهای امنیتی Yukon نسبت به نسخه های قبلی SQL Server

محصولات مایکروسافت همواره روی لبه حملات امنیتی از جانب نفوذگران قرار داشته اند. انتشار اخبار روزانه از حملات ثبت شده علیه محصولات و سرویس های مایکروسافت، منجر به این باور عمومی گشته که آسیب پذیری محصولات مایکروسافت نسبت به محصولات سایر شرکت ها بیشتر بوده و در مجموع امنیت دغدغه اصلی این شرکت در ارائه محصولات خود محسوب نمی شود. با وجود این، توجه به امنیت یکی از شعارهای اصلی مایکروسافت در انتشار آخرین نسخه SQL Server خود، که Yukon نامیده می شود، بوده است. در این قسمت اهم بهبودهای امنیتی Yukon نسبت به نسخه های قبلی آن را بررسی خواهیم کرد:
سرویس های پیش فرض: نصب پیش فرض Yukon حداقل تعداد سرویس ها و ویژگی های مورد نیاز را فعال نگه می دارد. تعدادی از سرویس ها که بصورت پیش فرض غیرفعال باقی می مانند، عبارتند از:
Microsoft .Net Framework
SQL Server Broker Network Connectivity
HTTP Connectivity in Analysis Services
تفکیک مفهوم مدل و کاربر: در استاندارد ANSI SQL ۹۲ مدل۱ یا Schema بصورت مجموعه ای از اشیای پایگاه داده که به یک کاربر تعلق دارند، تعریف شده است. در نسخه های قبلی SQL Server یک رابطه ضمنی و خیلی نزدیک بین کاربران و schema وجود دارد که در بسیاری از موارد به تمایز مفهوم آنها توجه نمی شود. در SQL ۲۰۰۰ هر کاربر در واقع مالک یک schema است که دارای نامی مشابه نام کاربر است. به همین دلیل به هنگام حذف یک کاربر از پایگاه داده، مجبور به بازنویسی کد در همه ارجاعات مربوط به اشیاءیی که تحت تملک آن کاربر بوده اند، هستیم. ولی در Yukon، با متمایز نمودن صریح مفهوم schema و کاربران، هر کاربر بجای اینکه بصورت مستقیم مالک اشیاء باشد، مالک schema است که در واقع دربرگیرنده اشیاء می باشد. این تمایز علاوه بر تسهیل مدیریت کاربران در Yukon، اعمال کنترل دسترسی کاربران به اشیاء را بصورت دقیقتر امکان پذیر می سازد.
کنترل دسترسی: مکانیزم های کنترل دسترسی و سطح ریزدانگی آن در نسخه جدید SQL Server بهبود یافته است.
تفکیک مفهوم کاربران و مدل که اولین بار در Yukon معرفی شده است، کنترل حقوق را آسان ساخته و پایبندی به اصل "دسترسی به حداقل حقوق" را امکان پذیر می سازد.
با معرفی مفهوم زمینه ۲ برای عباراتی که در یک ماجول اجرا میشوند، ریزدانگی۳ کنترل حقوق افزایش یافته است.
با امکان جدید تعریف سیاستهای بکارگرفته شده در سطح سیستم عامل ویندوز برای ورود به سیستم پایگاه داده، میتوان از اعمال یکنواخت این سیاست ها برای همه کاربران یک دامنه اطمینان حاصل کرد.
کنترل دسترسی در چهار سطح کارگزار، پایگاه داده، مدل و شی قابل تنظیم است.
رمزگذاری داده ها: در Yukon عملیات رمزگذاری داده ها به عنوان یک امکان در داخل پایگاه داده نهاده شده و سرویس زیرساخت مدیریت کلید همراه با پایگاه داده ارائه می شود.
امکان اعمال عملیات بازرسی ۴ روی DDL ها: در نسخه جدید SQL Server اعمال موجود در DDL با تعریف triggerها قابل انجام است.
اعمال محدودیت در IIS از طریق پایگاه داده: به هنگام استقرار Yukon در محیط های سیستم عامل کارگزار ۲۰۰۰ یا ۲۰۰۳ می توان با استفاده از ابزار IIS Lockdown ویژگیهای بلااستفاده و غیرضروری از IIS را که امکان سوء استفاده نفوذگران را فراهم می آورند، غیرفعال نمود.
ایجاد نقش ۵ جدید برای استفاده از SQL Profiler: در Yukon با استفاده از تعریف یک نقش جدید، کاربرانی که از حقوق administrator برخوردار نیستند، می توانند SQL Profiler را اجرا کنند. این ویژگی بهره¬وری تولیدکنندگان نرم افزار را افزایش می دهد.
مستندات راهنمای کاربران: علاوه بر امکانات فوق، Yukon با فراهم آوردن مستندات راهنما، نحوه نصب، اسقرار و مدیریت امن پایگاه داده را بصورت مرحله به مرحله در اختیار کاربران قرار داده است. در این مستندات همچنین روش های آنالیز و ارزیابی پیکربندی موجود از جنبه امنیتی و نیز نمونه پیکربندی های امن به عنوان پیشنهاد ارائه شده است.