MSSQL - 最佳實踐 - 使用SSL加密連接配接

MSSQL - 最佳實踐 - 使用SSL加密連接配接

在SQL Server安全系列專題月報分享中，往期我們已經陸續分享了：如何使用對稱密鑰實作SQL Server列加密技術、使用非對稱密鑰實作SQL Server列加密、使用混合密鑰實作SQL Server列加密技術、列加密技術帶來的查詢性能問題以及相應解決方案、行級别安全解決方案、SQL Server 2016 dynamic data masking實作隐私資料列打碼技術、使用證書做資料庫備份加密和SQL Server Always Encrypted這八篇文章，直接點選以上文章前往檢視詳情。本期月報我們分享SQL Server SSL證書連接配接加密技術，實作網絡上傳輸層連接配接加密。

在SQL Server關系型資料庫中，我們可以使用透明資料加密（TDE）、行級别加密(Row-level Security)、資料打碼(Dynamic Data Masking)和備份加密(Backup Encryption)等技術來實作資料庫引擎層的安全。但是，在網絡傳輸層，用戶端和服務端之前預設沒有資料加密傳輸保護。是以，為了提高鍊路安全性，我們可以啟用SSL（Secure Sockets Layer）加密，SSL在傳輸層對網絡連接配接進行加密，能提升資料通道的安全性，但同時會增加網絡連接配接響應時間和CPU開銷。

為了友善觀察，我們使用Microsoft Network Monitor 3.4（以下簡稱MNM）工具來觀察網絡傳輸層事件，如果您已經安裝MNM，請跳過該準備工作部分。

首先，我們從微軟官網下載下傳MNM,根據需要下載下傳對應的版本，我們這裡下載下傳64 bit版本，NM34_x64.exe。

接下來，安裝MNM，直接執行NM34_x64.exe，然後按照向導完成安裝。

最後，重新開機OS。

在啟用SSL證書加密之前，用戶端和SQL Server服務端的網絡傳輸層預設沒有加密保護的，我們可以通過如下步驟驗證。

 建立測試表

 建立MNM抓取

 連接配接查詢測試

 MNM中檢查

 動态視圖檢視加密狀态

為了測試友善，我們首先建立測試表CustomerInfo，存入三個客戶敏感資訊，包含客戶名稱和客戶電話号碼。

打開MNM，點選New Capture，然後Start，啟動網絡層時間抓取。

從用戶端，連接配接上對應的SQL Server，執行下面的查詢語句，以便觀察MNM抓取情況。

執行結果如下：

我們仔細觀察MNM中的事件，發現在客戶機和SQL Server服務端的網絡傳輸層，使用的明文傳輸，如下截圖：

從圖中右下角紅色方框中，我們可以清清楚楚的看到了這三個客戶的姓名和對應的手機号碼，我們使用MNM看到資料在網絡傳輸層以明文傳送，并未做任何加密，可能會存在資料被竊聽的風險。

當然，您也可以從SQL Server的連接配接動态視圖看出，連接配接并未加密：

從MNM和SQL Server動态視圖我們可以得出相同的結論是：用戶端和SQL Server服務端資料在網絡傳輸層預設以明文傳送，并未加密傳輸，可能會存在資料被竊聽的風險。那麼，我們可以啟動SSL證書來加密資料傳輸，以達到更為安全的目的。

啟動SSL證書，分為以下幾個部分：

 證書申請

 強制所有連接配接使用SSL

 加密特定用戶端連接配接

Start –> 輸入：mmc.exe -> File -> Add/Remove Snap-ins -> Certificate -> add -> Computer account -> Next -> Local Computer -> Finish -> OK

展開Certificates -> 右鍵 Personal -> 選擇 All Tasks -> 選擇Request New Certificate -> 點選 Next -> 選中 Computer -> 點選Enroll -> 點選Finish。

右鍵點選對應證書 -> 選中All Tasks -> 選擇Manage Private Keys… -> 授予 read 權限給本地賬号NT ServiceMSSQLSERVER。

在SQL Server伺服器上，Start -> Run -> sqlservermanager13.msc -> 右鍵點選Protocols for MSSQLSERVER -> Flags中将Force Encryption設定為Yes -> Certificate頁籤中選擇證書 -> OK

強制所有連接配接設定完畢後，如果想要立即生效，請重新開機SQL Service。 

注意：

這裡需要特别注意，如果是目前線上正常運作的應用，請慎重測試後，打開強制所有連接配接使用SSL。

當然，您也可以不用打開強制所有的連接配接使用SSL，轉而使用加密特定的用戶端連接配接，這裡以SSMS連接配接工具為例。

Start -> Run -> 輸入：certmgr.msc -> 右鍵選擇Trusted Root Certification Authorities -> All Tasks -> Import

選擇SQL Server服務端生成的證書檔案

Next -> Finish -> OK

在SSMS連接配接服務端界面 -> 選擇Options

然後選擇Encrypt connection

然後，參照“連接配接查詢測試”中方法進行連接配接測試。同樣在連接配接管理視圖中檢視，我們可以看到連接配接已經加密：

至此，使用SSL證書加密加密用戶端和SQL Server服務端連接配接的實驗成功。

由于使用了SSL證書來加密用戶端和SQL Server服務端連接配接，在提升資料通信的安全性同時，加密解密操作也會導緻網絡連接配接響應時間增加和CPU使用率上升，對業務系統有一定的性能影響。是以，建議您僅在外網鍊路有加密需求的時候啟用SSL加密，内網鍊路相對較安全，一般無需對鍊路加密。

本期月報我們分享了如何啟用SSL證書，來加密用戶端和SQL Server服務端連接配接，提升網絡傳輸層通信安全，使得資料在傳輸過程中被加密後，以密文傳送，最大限度保證了鍊路安全。

如果您發現本社群中有涉嫌抄襲的内容，歡迎發送郵件至：[email protected] 進行舉報，并提供相關證據，一經查實，本社群将立刻删除涉嫌侵權内容。