Matriz de vulnerabilidad
Páginas: 6 (1406 palabras)
Publicado: 22 de junio de 2011
Matriz de amenazas y vulnerabilidad (motor de base de datos)
SQL Server 2008 R2
Otras versiones
* SQL Server 2008
Aunque SQL Server incluye varios mecanismos de seguridad, todo sistema tiene características que se podrían aprovechar con fines malintencionados. Cualquier característica que exponga datos u otra información puede constituir un riesgo si se implementa incorrectamente.Aunque cualquier característica podría representar un riesgo, no todos los riesgos son iguales. Algunos requieren un cambio de procedimiento, otros de configuración y algunos de código. En las tablas siguientes se explican los riesgos y los pasos proactivos que se pueden dar para disminuirlos.
Amenazas y vulnerabilidades de los procesos
Amenaza o vulnerabilidad | Definición | Mitigación |Directivas de seguridad | Una directiva de seguridad es un registro de los procesos y procedimientos que debe seguir una organización para evitar, realizar un seguimiento y responder a las amenazas de seguridad. Contiene directivas relacionadas con el acceso adecuado a los sistemas, la aplicación de revisiones y los firewalls, así como mecanismos de prevención antivirus. | Cree, revise, distribuya ymantenga una directiva de seguridad efectiva. Para obtener más información acerca de cómo crear una directiva de seguridad, vea Proteger SQL Server. |
Principio de "privilegios mínimos" | Según el principio de "privilegios mínimos", un sistema sólo debería permitir el nivel de acceso necesario a un objeto protegible. Además, el acceso sólo debería estar habilitado para quienes tienen unanecesidad directa y sólo durante un tiempo especificado. Las aplicaciones pueden estar codificadas para proporcionar más acceso del necesario y las cuentas podrían tener demasiado acceso. | Revise e implemente la seguridad de acuerdo con el principio de privilegios mínimos. Para obtener más información sobre cómo desarrollar aplicaciones que utilizan los conceptos de privilegios mínimos, vea el temarelativo a procedimientos recomendados en un entorno con privilegios mínimos en MSDN. |
Boletines de seguridad | Microsoft publica información de seguridad tan pronto como se comprueba y se prueba en distintas plataformas. Las organizaciones que no están al corriente de estos boletines ponen en peligro sus sistemas al no implementar las instrucciones de seguridad adecuadas. | Revise y haga unseguimiento de los boletines de seguridad de SQL Server. Para obtener más información, vea la búsqueda de boletines de seguridad de Microsoft en TechNet. |
Amenazas y vulnerabilidades de la plataforma
Amenaza o vulnerabilidad | Definición | Mitigación |
El sistema no está actualizado (no se han aplicado las actualizaciones de software) | Microsoft publica actualizaciones de software paramejorar la seguridad de SQL Server. Si no se siguen o se aplican estas actualizaciones de software, el sistema será más vulnerable a los ataques. | Revise y aplique todos los Service Packs y todas las revisiones en cuanto estén disponibles. Para obtener más información, consulte la página de descargas en SQL Server TechCenter. |
Vulnerabilidades de seguridad de los puertos de red | La red es laprincipal vía de acceso para los ataques contra SQL Server. Si los puertos estándar están abiertos a Internet, se favorecerán los ataques. | Utilice un firewall en el servidor si está expuesto a Internet y utilice la herramienta Administrador de configuración de SQL Server para establecer la configuración de la red. Considere también la posibilidad de utilizar SSL (Capa de sockets seguros) para aumentaraún más la seguridad. Para obtener más información acerca de los firewalls y SQL Server, vea Cómo configurar Firewall de Windows para el acceso al motor de base de datos. Para obtener más información acerca de cómo cambiar la configuración de la red, vea Administrador de configuración de SQL Server. Para obtener más información acerca de cómo utilizar SSL en SQL Server, vea Cifrar conexiones a...
SQL Server 2008 R2
Otras versiones
* SQL Server 2008
Aunque SQL Server incluye varios mecanismos de seguridad, todo sistema tiene características que se podrían aprovechar con fines malintencionados. Cualquier característica que exponga datos u otra información puede constituir un riesgo si se implementa incorrectamente.Aunque cualquier característica podría representar un riesgo, no todos los riesgos son iguales. Algunos requieren un cambio de procedimiento, otros de configuración y algunos de código. En las tablas siguientes se explican los riesgos y los pasos proactivos que se pueden dar para disminuirlos.
Amenazas y vulnerabilidades de los procesos
Amenaza o vulnerabilidad | Definición | Mitigación |Directivas de seguridad | Una directiva de seguridad es un registro de los procesos y procedimientos que debe seguir una organización para evitar, realizar un seguimiento y responder a las amenazas de seguridad. Contiene directivas relacionadas con el acceso adecuado a los sistemas, la aplicación de revisiones y los firewalls, así como mecanismos de prevención antivirus. | Cree, revise, distribuya ymantenga una directiva de seguridad efectiva. Para obtener más información acerca de cómo crear una directiva de seguridad, vea Proteger SQL Server. |
Principio de "privilegios mínimos" | Según el principio de "privilegios mínimos", un sistema sólo debería permitir el nivel de acceso necesario a un objeto protegible. Además, el acceso sólo debería estar habilitado para quienes tienen unanecesidad directa y sólo durante un tiempo especificado. Las aplicaciones pueden estar codificadas para proporcionar más acceso del necesario y las cuentas podrían tener demasiado acceso. | Revise e implemente la seguridad de acuerdo con el principio de privilegios mínimos. Para obtener más información sobre cómo desarrollar aplicaciones que utilizan los conceptos de privilegios mínimos, vea el temarelativo a procedimientos recomendados en un entorno con privilegios mínimos en MSDN. |
Boletines de seguridad | Microsoft publica información de seguridad tan pronto como se comprueba y se prueba en distintas plataformas. Las organizaciones que no están al corriente de estos boletines ponen en peligro sus sistemas al no implementar las instrucciones de seguridad adecuadas. | Revise y haga unseguimiento de los boletines de seguridad de SQL Server. Para obtener más información, vea la búsqueda de boletines de seguridad de Microsoft en TechNet. |
Amenazas y vulnerabilidades de la plataforma
Amenaza o vulnerabilidad | Definición | Mitigación |
El sistema no está actualizado (no se han aplicado las actualizaciones de software) | Microsoft publica actualizaciones de software paramejorar la seguridad de SQL Server. Si no se siguen o se aplican estas actualizaciones de software, el sistema será más vulnerable a los ataques. | Revise y aplique todos los Service Packs y todas las revisiones en cuanto estén disponibles. Para obtener más información, consulte la página de descargas en SQL Server TechCenter. |
Vulnerabilidades de seguridad de los puertos de red | La red es laprincipal vía de acceso para los ataques contra SQL Server. Si los puertos estándar están abiertos a Internet, se favorecerán los ataques. | Utilice un firewall en el servidor si está expuesto a Internet y utilice la herramienta Administrador de configuración de SQL Server para establecer la configuración de la red. Considere también la posibilidad de utilizar SSL (Capa de sockets seguros) para aumentaraún más la seguridad. Para obtener más información acerca de los firewalls y SQL Server, vea Cómo configurar Firewall de Windows para el acceso al motor de base de datos. Para obtener más información acerca de cómo cambiar la configuración de la red, vea Administrador de configuración de SQL Server. Para obtener más información acerca de cómo utilizar SSL en SQL Server, vea Cifrar conexiones a...
Leer documento completo
Regístrate para leer el documento completo.