Difusin por el Web de SQL Server

2005
Parte 5: Proteger informacin
confidencial

Lo que vamos a cubrir:

Certificados de SQL Server 2005

Claves de encriptacin
Encriptacin simtrica
Encriptacin asimtrica
Firmas digitales

Conocimiento previo
Experiencia en dar soporte a Servidores
Windows 2003
Experiencia en administrar y dar
mantenimiento a SQL Server 2000
Experiencia en administrar bases de
datos

Nivel 200

Agenda
Repaso
Encriptacin de datos
Encriptacin de datos en SQL Server
2005
Firmas de mdulo

Repaso
Modelo de seguridad SQL Server 2005

Principales
Windows

SQL Server

Grupos
Cuenta de dominio
Cuenta local
Cuenta SQL
Rol del servidor

Base de datos

Usuario
Rol de la base de
datos
Rol de la aplicacin
Grupo

Permisos
Otorgar/revocar/rechazar

Crear
Alterar
Soltar
Controlar
Conectar
Seleccionar
Ejecutar
Actualizar
Eliminar
Insertar

Asegurables
Enfoque del servidor

Enfoque de la base
de datos

Inicios de sesin
Puntos finales
Bases de datos
Usuarios
Ensamblados
Esquemas

Enfoque del esquema

Tablas
Procedimientos
Vistas

Repaso
Puntos finales de HTTP
Beneficios del soporte HTTP nativo
Soporte a protocolos en toda la industria
Puertos abiertos limitados en los firewalls

Puntos finales de HTTP

Los puntos finales se deben crear explcitamente
Sin permisos por predeterminacin

Requiere Windows Server 2003 (HTTP.sys)

pero no Internet Information Services (IIS)

Repaso
Poltica de la contrasea
Requiere Windows Server 2003
Autenticacin Windows
Inicio de sesin del usuario para Windows
Poltica de contrasea para Windows reforzada

Autenticacin de SQL Server

Inicio de sesin de SQL Server
Poltica de contrasea de mquina local aplicada
Poltica de dominio en un ambiente de dominio

Vista del catlogo sys.sql_logins

Repaso
Separacin del esquema del usuario
Funcionalidad ampliada de versiones previas
Espacio de nombre para objetos de la base de datos
Los grupos de objetos no dependen de la propiedad
Permisos otorgados en el esquema as como en los objetos
individuales de la base de datos
Los permisos otorgados en el esquema afectan los objetos
de la base de datos del esquema
Soltar a un usuario no requiere renombrar los objetos
propiedad del usuario

Repaso
Contexto de ejecucin de mdulo
Configure el contexto de ejecucin de los mdulos
El que llama no requiere permisos
Efectivo con una cadena de propiedad rota

EJECUTAR COMO
El que llama (predeterminado)
Nombre del usuario (personaliza los permisos que se
requieren)
Uno mismo
Propietario

Repaso
Permisos granulares
Asegurables ordenados en una jerarqua
Herencia de permisos

Todos los objetos tienen permisos asociados

Principal de menor privilegio

Encuesta: Usted desea asignar

permisos SELECT a todas las tablas e...
[Encuesta de opcin mltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para
editar.]

Asignar permisos a cada tabla de manera

individual
Asignar permisos al esquema
Asignar permisos a la base de datos
Asignar permisos al servidor

Repaso
Permisos granulares
Usted desea asignar permisos SELECT a todas las
tablas en un esquema para Jane. Cul es la
mejor manera de lograr esto?
1. Asignar permisos a cada tabla de manera
individual
2. Asignar permisos al esquema
3. Asignar permisos a la base de datos
4. Asignar permisos al servidor

Encuesta: Usted desea asegurarse de

que tanto los INICIOS DE SESIN de
Windows como de SQL...
[Encuesta de opcin mltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para
editar.]

Windows Server 2003

Windows 2000
Windows NT 4
Windows XP

Repaso
Polticas de contrasea
Usted desea asegurarse de que tanto los inicios
de sesin de Windows como de SQL utilicen
contraseas complejas. Qu sistema

operativo se debe usar?

1. Windows Server 2003
2. Windows 2000
3. Windows NT 4
4. Windows XP

Encuesta: Para usar el contexto de

la ejecucin del mdulo usted debe
tener una ca...
[Encuesta de opcin mltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para
editar.]

Verdadero
Falso

Repaso
Contexto de ejecucin de mdulo
Para usar el contexto de la ejecucin del
mdulo debe tener una cadena de
propiedad sin romper.
1. Verdadero
2. Falso

Agenda
Repaso
Encriptacin de datos
Encriptacin de datos en SQL Server
2005
Firmas de mdulo

Encriptacin de datos
Algoritmos y claves
Algoritmos de encriptacin
Pblicamente conocidos
Permiten almacenamiento seguro de los datos
Los datos tambin se desencriptan

Algoritmos Hash
Pblicamente conocidos
Permiten la verificacin de la integridad de los datos
Los datos NO estn dehashed

Claves de encriptacin
Porcin nica del algoritmo

Encriptacin de datos
Algoritmos de encriptacin
Encriptacin

Datos

Algoritmo

Desencriptacin

Datos
encriptados

Encriptacin de datos
Algoritmos Hashing
Hashing

Datos

Algoritmo

Datos
Digest

Encriptacin de datos
Encriptacin asimtrica
Par de claves pblicas/privadas
Encripte con un clave pblica, desencripte con una clave
privada
Encripte con un clave privada, desencripte con una clave
pblica

Autenticacin
Firma digital
Encriptacin de datos
Altos costos administrativos de encriptacin

Encriptacin de datos
Encriptacin asimtrica

Pblica

Privada Pblica

Pblica

La clave pblica se hace disponible o se distribuye a

los socios de negocios de comunicacin

Encriptacin de datos
Encriptacin asimtrica

Pblica

Privada
Encriptacin de
datos

Pblica

Los datos encriptados con la clave pblica slo se

pueden desencriptar con la clave privada

Encriptacin de datos
Encriptacin asimtrica

Pblica

Privada
Encriptacin de
datos

Pblica

Los datos encriptados con la clave privada slo se

pueden desencriptar con la clave pblica
Se utiliza en firmas digitales

Encriptacin de datos
Encriptacin simtrica
Par de claves idnticas o clave nica
Encriptar/desencriptar con la misma clave

Encriptacin de datos
Bajos costos administrativos de encriptacin

Encriptacin de datos
Encriptacin simtrica
Simtrica

Simtrica

Simtrica

La copia de la clave simtrica se almacena o

distribuye a los socios de negocios de comunicacin

Encriptacin de datos
Encriptacin simtrica

Simtrica

Simtrica
La clave simtrica
encripta y
desencripta datos

Se utiliza la misma clave para encriptar y desencriptar

datos

Encriptacin de datos
Certificados
SQL Server 2005 puede emitir certificados
Contiene clave pblica
Clave privada asociada
Identifica al propietario de las claves pblicas/privadas

Autenticacin
Emisin de certificados
Interna
Terceros

Encriptacin de datos
Certificados
Certificado

Privada

Certificado

Certificado

El certificado se hace disponible o se distribuye a los

socios de negocios de comunicacin
El certificado contiene la clave pblica e identifica el
propietario de la clave

Encriptacin de datos
Certificados
Certificado

Privada
Los datos
encriptados con la
clave pblica a
partir del certificado

Certificado

El certificado identifica al propietario del par de claves

pblica/privada
Slo el propietario de la clave privada puede desencriptar los
datos

Encriptacin de datos
Certificados
Certificado

Privada
Los datos son
encriptados por
la clave privada

Certificado

Se utiliza la clave pblica para desencriptar datos

El certificado asociado con la clave pblica verifica la
identidad

Encriptacin de datos
Combina claves y certificados
Certificado
Se distribuye el
certificado

Privada

Certificado

Certificado

El servidor enva el certificado y la clave pblica al cliente

El certificado identifica el servidor para el cliente

Encriptacin de datos
Combina claves y certificados
Simtrica
Se distribuye la
clave simtrica

Privada

Certificado

Certificado

Simtrica

El cliente crea claves simtricas

El cliente encripta una clave simtrica con una clave
pblica y la enva al servidor

Encriptacin de datos
Combina claves y certificados
Simtrica

Simtrica
Los datos se
encriptan y
desencriptan
utilizando las claves
simtricas

Privada

Certificado

Certificado

Slo la clave privada del servidor puede desencriptar

la clave simtrica
El servidor y el cliente encriptan/desencriptan datos
utilizando las claves simtricas

Agenda
Repaso
Encriptacin de datos
Encriptacin de datos en SQL Server
2005
Firmas de mdulo

Encriptacin de datos en SQL Server 2005

Jerarqua de claves de SQL Server 2005

API para proteccin de datos de Windows

Clave maestra del servicio de SQL Server

Contrasea

Clave maestra de la base de datos

Contrasea

Certificado pblico/clave privada

Clave simtrica

Encriptacin de datos en SQL Server 2005

Encriptacin de datos de SQL Server 2005

Infraestructura de certificados usada por los

servicios de SQL Server
Intermediario de servicio
Sincronizacin con el Web

Almacenamiento de datos del usuario

Claves asimtricas
Claves simtricas
Certificado

Encriptacin de datos en SQL Server 2005

Encriptar los datos del usuario

Simtrica

Privada Certificado
Las claves del usuario
se almacenan dentro de
la base de datos

Simtrica
Privada Certificado

Claves y certificados creados y asignados al principal

Se almacenan en la base de datos y estn protegidos con la
clave maestra de la base de datos

Encriptacin de datos en SQL Server 2005

Encriptar los datos del usuario

Tabla

Simtrica

Base de
datos

La clave simtrica se utiliza para encriptar los datos

La clave pblica a partir del certificado del principal se
utiliza para encriptar la clave simtrica

Encriptacin de datos en SQL Server 2005

Desencriptar datos del usuario

Privada

Simtrica
Simtrica

Tabla

La clave privada del principal se utiliza para desencriptar la clave

simtrica
La clave simtrica se utiliza para desencriptar los datos

demo
Encriptacin de datos

Crear certificados y claves

Encriptar datos del usuario
Desencriptar datos del usuario

Encuesta: Usted desea implementar

la encriptacin de datos del usuario
que no...
[Encuesta de opcin mltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para
editar.]

Clave maestra de la base de datos

Proteccin a los datos de Windows
Claves simtricas
Claves asimtricas

Repaso
Encriptacin de datos
Usted desea implementar la encriptacin de datos
del usuario que no requiera el ingreso de
contraseas adicionales. Qu se debe crear
antes de que se puedan asignar los certificados?
1. Clave maestra de la base de datos
2. Proteccin a los datos de Windows
3. Claves simtricas
4. Claves asimtricas

Encuesta: Dnde almacena SQL

Server 2005 las claves de
encriptacin de los usuarios...
[Encuesta de opcin mltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para
editar.]

En el perfil del usuario

En una ubicacin segura en el cliente
En la base de datos
En el controlador de dominio

Repaso
Encriptacin de datos
Dnde almacena SQL Server 2005 las claves de
encriptacin de los usuarios?
1.
2.
3.
4.

En el perfil del usuario

En una ubicacin segura en el cliente
En la base de datos
En el controlador de dominio

Agenda
Repaso
Encriptacin de datos
Encriptacin de datos en SQL Server
2005
Firmas de mdulo

Firmas de mdulo
Firmas digitales
Firme datos con la clave privada
Digest de encriptacin
Evita cambios a los datos
Identifica al que firma

Identifique la firma con una clave pblica

Digest de desencriptacin
El certificado asociado con la clave pblica
identifica al que firma

Firmas de mdulo
Firmar mdulos
Asegura el acceso a los datos
Similar a la funcionalidad del contexto de
ejecucin del mdulo
El contexto de seguridad del que llama
permanece sin modificaciones
Funcional con las cadenas de propiedad
rotas

Firmas de mdulo
Proceso de firma del mdulo

Crear un certificado
Asignar un certificado al usuario
Firmar el procedimiento
Otorgar permisos en la tabla al
certificado/usuario
El acceso a la tabla slo ocurre a travs del
procedimiento

Firmas de mdulo
Proceso de firma del mdulo

SELECT *
FROM sales.customer

Privada Certificado

Cree un certificado y claves pblicas/privadas

Firme el mdulo con la clave privada
Asigne el certificado a un principal
Asigne el acceso a los datos para el principal

Firmas de mdulo
Proceso de firma del mdulo

SELECT *
FROM sales.customer

El principal ejecuta el mdulo

Se utiliza la clave pblica para verificar la firma de la
clave privada
Se agrega el certificado temporalmente al token de
acceso al principal

demo
Firmas de mdulo

Firmas de mdulo

Encuesta: Usted desea configurar

mdulos firmados pero no puede
asignar...
[Encuesta de opcin mltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para
editar.]

Registrar la clave privada

Proteger el certificado con una clave
simtrica
Asignar el certificado a un principal
Hacer el certificado pblico

Repaso
Firmas de mdulo
Usted desea configurar mdulos firmados pero
no puede asignar los permisos necesarios al
certificado. Qu necesita hacer?
1. Registrar la clave privada
2. Proteger el certificado con una clave simtrica
3. Asignar el certificado a un principal
4. Hacer el certificado pblico

Encuesta: Los mdulos firmados

utilizan el contexto de seguridad
del prin...
[Encuesta de opcin mltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para
editar.]

Verdadero
Falso

Repaso
Firmas de mdulo
Los mdulos firmados utilizan el contexto de
seguridad del principal que llama.
1. Verdadero
2. Falso

Encuesta: La clave simtrica se

utiliza para encriptar los datos del
usuario...

[Encuesta de opcin mltiple de PlaceWare. Utilice PlaceWare >

Editar propiedades de la diapositiva...Para editar.]

Encriptada por la clave maestra de la base de

datos
Encriptada por la clave privada de los usuarios
Encriptada por la clave maestra del servicio
No se utilizan las claves simtricas para
encriptar los datos del usuario

Repaso
Encriptacin de datos
Se utiliza la clave simtrica para encriptar los datos
del usuario. Cmo est protegida est clave?
1. Encriptada por la clave maestra de la base de
datos
2. Encriptada por la clave privada de los usuarios
3. Encriptada por la clave maestra del servicio
4. No se utilizan las claves simtricas para
encriptar los datos del usuario

Encuesta: Se utiliza la funcin

encryptByKey para encriptar los
datos del usuario...
[Encuesta de opcin mltiple de PlaceWare. Utilice
PlaceWare > Editar propiedades de la diapositiva...Para
editar.]

Verdadero
Falso

Repaso
Encriptacin de datos

Se utiliza la funcin encryptByKey para encriptar los datos

del usuario con una clave simtrica.
1.Verdadero
2.Falso

Resumen de la sesin
Proteccin a los datos del usuario
Uso combinado de tecnologas
Certificados
Clave pblicas/privadas
Clave simtrica

Firma del mdulo

Acceso seguro a los datos
Mantiene el contexto de seguridad del que
llama

Pasos a seguir
Informacin del producto SQL Server 2005:
http://www.microsoft.com/sql/2005/default.asp

Actualice sus habilidades de administracin de bases de datos a SQL Server 2005 :

http://www.microsoft.com/learning/syllabi/en-us/2733afinal.mspx

Difusin por el Web de SQL Server 2005 en MSDN:

http://msdn.microsoft.com/sql/2005/2005Webcasts/default.aspx

Para mayores informes

Visite TechNet en

www.microsoft.com/technet

Para obtener informacin adicional sobre los libros,

cursos y otros recursos de la comunidad que
respalden esta sesin visite

www.microsoft.com/technet/tnt4-05

Serie de las difusiones por el Web:

SQL Server 2005 Preprese!
Lunes, 9:00 A.M. hora del Pacfico durante 10 semanas!
del 21 de marzo al 18 de mayo, 2005
Microsoft SQL Server 2005 est en camino, e incluir mejoras
importantes en el rendimiento, disponibilidad, seguridad y el conjunto
ms poderoso y flexible de herramientas de productividad DBA que
hayamos entregado jams. Al utilizar presentaciones interactivas y
demos en vivo del producto, lo guiaremos a travs de todas las
funciones y mejoras principales integradas en SQL Server 2005 para
darle un gran inicio en sus planes de integrar estos beneficios en su
organizacin.
Bono: Asista a una difusin por el Web en esta serie y enve una
evaluacin, recibir una copia de la versin ms reciente de la versin
en desarrollo del software de SQL Server 2005 en CD! Adems, asista a
cualquier difusin por el Web en vivo de Microsoft durante junio y podr
ganar un Centro de medios porttil!

http://www.microsoft.com/seminar/events/series/technetsqlserver2005.mspx