Protezione in SQL Server 2005
Nel gennaio 2002, Microsoft ha avviato l'iniziativa Trustworthy Computing allo scopo di migliorare i livelli di sicurezza, riservatezza, affidabilità e integrità. Nell'ambito di tale iniziativa, Microsoft implementa processi di sviluppo che garantiscono la sicurezza dei prodotti in fase di progettazione, nelle impostazioni predefinite e in fase di deployment. Il team di sviluppo di SQL Server ha incorporato questi processi nello sviluppo di SQL Server 2005, la versione più recente del prodotto.
|
Trustworthy Computing e SQL Server 2005
L'iniziativa Trustworthy Computing definisce sia le procedure necessarie per supportare l'elaborazione sicura, sia le misure da adottare per implementare e gestire un ambiente protetto. Queste procedure consentono di assicurare la riservatezza, l'integrità e la disponibilità di dati e sistemi in tutte le fasi del ciclo di vita del prodotto software, dalla progettazione alla distribuzione fino alla manutenzione. L'iniziativa Trustworthy Computing di Microsoft è finalizzata al raggiungimento dei seguenti obiettivi:
| • | Ridurre i potenziali problemi di protezione tramite la progettazione e il testing dei prodotti. |
| • | Ridurre la superficie di attacco disattivando le funzioni non necessarie, nonché garantire che al momento dell'installazione venga scelto l'insieme appropriato di valori di configurazione per tutte le opzioni, in modo da assicurare la protezione per impostazione predefinita di ogni sistema installato. |
| • | Fornire strumenti e indicazioni in grado di supportare in modo continuativo protezione, rilevamento, difesa, ripristino e manutenzione. |
| • | Creare documentazione e comunicare regolarmente informazioni aggiornate sulla protezione per aiutare i clienti a mantenere la sicurezza e l'integrità dell'ambiente SQL Server. |
Per ulteriori informazioni su questi obiettivi, visita la pagina relativa alla vision e all'infrastruttura per la protezione sul sito Web Microsoft Trustworthy Computing.
Come richiesto dai quattro principi fondamentali dell'iniziativa Trustworthy Computing, Microsoft e il team di SQL Server hanno adottato le seguenti procedure:
| • | Sicurezza in fase di progettazione. Il team di sviluppo di SQL Server ha eseguito numerosi controlli della sicurezza e ha dedicato più di due mesi allo studio dei componenti di SQL Server e alla loro interazione. Per ogni potenziale minaccia alla protezione il team ha eseguito un'analisi dei rischi per valutare l'entità del problema e ha svolto ulteriori attività di progettazione e testing per neutralizzare i potenziali pericoli. Questo accurato lavoro di progettazione ha consentito di includere in SQL Server 2005 molte nuove funzionalità di protezione server. |
| • | Sicurezza nelle impostazioni predefinite. Durante l'installazione di SQL Server 2005 vengono impostati i valori di configurazione appropriati per tutte le opzioni di installazione, in modo da garantire la protezione per impostazione predefinita di ogni nuovo sistema installato. |
| • | Sicurezza in fase di deployment. Microsoft ha creato varie risorse per aiutare le organizzazioni a eseguire il deployment di SQL Server utilizzando le credenziali di protezione appropriate e a determinare le procedure e le autorizzazioni necessarie. Gli strumenti di deployment di SQL Server forniscono tutte le informazioni che occorrono per prendere decisioni consapevoli durante il deployment. Inoltre, gli aggiornamenti per la protezione possono essere individuati e installati facilmente e, se lo si desidera, possono essere applicati automaticamente. Sono anche disponibili strumenti per la valutazione e la gestione dei rischi per la protezione negli ambienti che includono più organizzazioni. |
| • | Comunicazione. Per garantire un servizio di supporto continuo per i deployment SQL Server, Microsoft pubblica una serie di comunicazioni sui problemi di protezione. La pagina dedicata alle risorse per la protezione offre una posizione centrale per tutte le informazioni relative alla sicurezza di SQL Server, incluse sia le descrizioni delle possibili minacce che le patch e gli strumenti necessari per limitarle. |
Per raggiungere gli obiettivi dell'iniziativa Trustworthy Computing, in SQL Server 2005 sono state incorporate numerose funzionalità di protezione avanzate, che possono essere suddivise nelle aree seguenti:
| • | Limitazione dell'accesso utente al server. SQL Server 2005 offre un maggior controllo sull'accesso e consente agli amministratori di controllare l'accesso a SQL Server tramite criteri. |
| • | Disattivazione di servizi e limitazione della configurazione dei servizi. Gli amministratori possono limitare l'accesso alle risorse in SQL Server, definendo ambiti specifici e con un elevato livello di precisione. Hanno inoltre a disposizione un sistema gestibile che rispetta il principio dei privilegi minimi. Poiché determinati servizi risultano disattivati per impostazione predefinita nelle nuove installazioni server, gli amministratori partecipano in modo più attivo alla selezione degli specifici servizi da attivare. |
| • | Riduzione della superficie di attacco per le nuove funzionalità. La superficie di attacco viene ridotta al minimo a partire dall'installazione e dalla configurazione di SQL Server. Nell'intero ciclo di sviluppo del prodotto, le nuove funzionalità sono state esaminate e testate dal punto di vista della protezione per ridurre la superficie di attacco. |
