{"id":49041,"date":"2022-12-31T00:00:00","date_gmt":"2022-12-30T23:00:00","guid":{"rendered":"https:\/\/jotelulu.com\/blog\/como-melhorar-a-seguranca-do-sql-server\/"},"modified":"2022-12-31T00:00:00","modified_gmt":"2022-12-30T23:00:00","slug":"melhorar-seguranca-sql-server","status":"publish","type":"post","link":"https:\/\/jotelulu.com\/pt-pt\/blog\/melhorar-seguranca-sql-server\/","title":{"rendered":"Como melhorar a seguran\u00e7a do SQL Server?"},"content":{"rendered":"

Descubra como melhorar a segurança do SQL Server 2022 <\/strong>em Microsoft Windows Server, com recurso às melhores práticas para proteção de dados e de uma arquitetura resiliente e segura.<\/p>\n

NOTA:<\/strong> É importante referir que tudo o que será aqui descrito está pensado para ambientes SQL Server em Windows Server, embora algumas das recomendações também sejam válidas para sistemas GNU\/Linux.<\/i><\/p>\n

Além da informação mencionada aqui, é recomendável dar uma vista de olhos ao artigo Requisitos e planificação da instalação do SQL Server 2022<\/a> no nosso blog.<\/p>\n

 <\/p>\n

Dicas e práticas recomendadas para a segurança do SQL Server:<\/h2>\n

A primeira coisa que devemos ter em mente é que, quando falamos de segurança, nunca existe suficiente<\/strong>. Temos de falar sempre sobre um modelo de camadas <\/strong>de cebola, no qual implementamos diferentes níveis de proteção.<\/p>\n

Estes níveis de proteção devem ter uma aplicação holística, ou seja, devem ser aplicados a todos os níveis e aspetos<\/strong> da instalação do servidor da base de dados: desde a instalação física do servidor até aos patches de segurança das aplicações e sistema operativo, ou a maneira em que as consultas são desenhadas.<\/p>\n

A seguir, vamos rever alguns dos pontos a considerar para melhorar a segurança da nossa base de dados Microsoft SQL Server em sistemas Microsoft Windows Server.<\/p>\n

 <\/p>\n

Segurança física: <\/strong><\/h3>\n

O ponto número 1 da segurança de um sistema, antes de entrar na parte lógica, deve ser proteger a máquina física<\/strong> que contém o servidor. Por mais que protejamos um servidor a nível lógico, por mais que coloquemos firewalls<\/em>, antivírus, façamos correções, configuremos acessos, etc., se não houver segurança física, uma porta que impeça o acesso ao servidor, que controle os acessos, a verificação de temperatura, etc., todos os itens anteriores serão inúteis, porque alguém poderá aceder ao servidor e desligá-lo, destruí-lo, roubá-lo, etc.<\/p>\n

A segurança física do servidor pode compreender um grande número de elementos, que incluem o facto de os servidores estarem numa sala separada com acesso controlado<\/strong> (através de porta fechada, fecho eletrónico, sistemas biométricos, etc.) com sistemas de extinção de incêndios<\/strong>, sistemas de ar condicionado<\/strong> para manter a temperatura estável e evitar problemas de sobreaquecimento dos servidores, etc.<\/p>\n

Embora não faça parte da segurança física, há outras “facilites” que devem ser tidas em consideração, como fontes de alimentação redundantes<\/strong>, unidades de alimentação ininterrupta (UPS), conexão de diferentes provedores, ligação <\/strong>à Internet<\/strong> (de preferência redundante), etc.<\/p>\n

 <\/p>\n

Segurança do sistema operativo: <\/strong><\/h2>\n

Não nos cansamos de falar sobre isto. Se não tivermos um sistema operativo forte, é impossível executar uma aplicação segura.<\/p>\n

Em primeiro lugar, temos de dizer que é essencial implementar apenas os serviços fundamentais<\/strong> no servidor e que é desejável não implementar mais de um por servidor, sendo preferível usar máquinas virtuais, contentores<\/strong>, etc. Desta forma, evitaremos a possibilidade de criar pontos críticos de erro na nossa infraestrutura. Obviamente, no caso das bases de dados, estas devem ser implementadas num servidor isolado que não forneça nenhum outro serviço além desse.<\/p>\n

Devemos aplicar todos os patches<\/em> e atualizações possíveis<\/strong>, mas só aqueles que se destinam à nossa plataforma.<\/p>\n

Com isto, queremos dizer que, pode ser contraproducente aplicar um patch<\/em> criado para um hardware <\/em>específico se não tivermos esse hardware<\/em>, e que se houver um patch<\/em> para o Office e não tivermos o Office instalado, é melhor ignorá-lo, porque pode ter algum bug, problema, etc.<\/p>\n

Relembramos que é preferível fazer o deploy<\/em> de um ambiente de teste para implementar as nossas atualizações e testá-las antes de as colocar em produção.<\/p>\n

Claro que, além das atualizações, devemos instalar algum software<\/em> antivírus e antimalware<\/strong> que nos proteja das mil e uma ameaças que existem hoje em dia, e que não param de melhorar e surgir continuamente.<\/p>\n

Para terminar este ponto, não devemos esquecer a firewall<\/em> do sistema operativo<\/strong>, que deve ter apenas as portas necessárias abertas para poder operar. Para reforçar este ponto, recomendamos consultar este tutorial<\/a> (em inglês) onde pode aprender como configurar as portas exigidas pelo SGBD. Da mesma forma, recomendamos dar uma vista de olhos ao seguinte conteúdo do site da Microsoft, para saber como configurar o serviço SSIS com a firewall<\/em> do Windows<\/a>.<\/p>\n

 <\/p>\n

A seguir, vamos rever algumas das recomendações para melhorar a segurança do SQL Server.<\/p>\n

 <\/p>\n

Segurança dos ficheiros do SQL Server: <\/strong><\/h3>\n

O SQL Server usa o sistema de ficheiros do sistema operativo para armazenar alguns ficheiros<\/strong>. Para evitar problemas, o acesso<\/strong> a estes ficheiros deve ser limitado<\/strong>. Para isso, devemos determinar os caminhos a proteger, e a primeira coisa que devemos fazer é lançar a seguinte frase no SSMS:<\/p>\n

SELECT CONVERT(char(20), SERVERPROPERTY(‘productlevel’));<\/em><\/p>\n

NOTA: <\/strong>No nosso caso estamos a trabalhar com o SQL Server 2022, que é 16.x, mas fica a explicação para quem tiver outras versões.<\/em><\/p>\n

Como resultado:<\/p>\n\n\n\n\n\n\n\n\n\n\n
Versão<\/strong><\/td>\n*nnn*<\/strong><\/td>\n{nn}<\/strong><\/td>\n<\/tr>\n<\/thead>\n
SQL Server 2022 (16.x)<\/td>\n160<\/td>\n16<\/td>\n<\/tr>\n
SQL Server 2019 (15.x)<\/td>\n150<\/td>\n15<\/td>\n<\/tr>\n
SQL Server 2017 (14.x)<\/td>\n140<\/td>\n14<\/td>\n<\/tr>\n
SQL Server 2016 (13.x)<\/td>\n130<\/td>\n13<\/td>\n<\/tr>\n
SQL Server 2014 (12.x)<\/td>\n120<\/td>\n12<\/td>\n<\/tr>\n
SQL Server 2012 (11.x)<\/td>\n110<\/td>\n11<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

 <\/p>\n

Quando soubermos a versão do nosso SQL Server, podemos substituir a versão na string<\/strong> “<unidade>:Ficheiros de ProgramasMicrosoft SQL Servernnn”.<\/p>\n

Onde:<\/p>\n