tiene permisos que se pueden otorgar a una entidad de seguridad mediante instrucciones de permiso
Páginas: 5 (1116 palabras)
Publicado: 5 de marzo de 2014
Al crear objetos de base de datos, se deben conceder permisos de forma explícita para que los usuarios tengan acceso a ellos. Cada objeto susceptible de protegerse tiene permisos que se pueden otorgar a una entidad de seguridad mediante instrucciones de permiso.
Principio de los privilegios mínimos
Desarrollar una aplicación utilizando un enfoque basado en cuenta de usuario de privilegiosmínimos (LUA) constituye una parte importante de una estrategia de defensa exhaustiva contra las amenazas a la seguridad. El enfoque LUA garantiza que los usuarios siguen el principio de los privilegios mínimos y siempre inician sesión con cuentas de usuario limitadas. Las tareas administrativas se realizan utilizando roles fijos del servidor y el uso del rol fijo del servidor sysadmin es muyrestringido.
Cuando conceda permisos a usuarios de base de datos, siga siempre el principio de los privilegios mínimos.Otorgue a usuarios y roles los mínimos permisos necesarios para que puedan realizar una tarea concreta.
Nota sobre la seguridad
Cuado se desarrolla o prueba una aplicación utilizando el enfoque LUA, se aumenta el grado de dificultad del proceso de desarrollo. Resulta más fácilcrear objetos y escribir código cuando se inicia sesión como administrador del sistema o propietario de la base de datos que cuando se utiliza una cuenta LUA. Sin embargo, el desarrollo de aplicaciones con cuentas de privilegios elevados puede entorpecer el impacto de funcionalidades reducidas cuando usuarios con privilegios de nivel bajo intentan ejecutar una aplicación que requiere permisoselevados para funcionar correctamente. Otorgar a los usuarios permisos excesivos para recuperar funcionalidades perdidas puede exponer a la aplicación a posibles ataques. El diseño, desarrollo y prueba de una aplicación en la que se ha iniciado sesión con una cuenta LUA impone un enfoque disciplinado del planeamiento de la seguridad que evita sorpresas desagradables, así como la tentación de recurrir ala solución rápida de otorgar privilegios elevados. Puede utilizar un inicio de sesión de SQL Server para realizar pruebas, incluso aunque la aplicación esté pensada para implementarse con autenticación de Windows.
Permisos basados en roles
Otorgar permisos a roles en lugar de a usuarios simplifica la administración de la seguridad. Los conjuntos de permisos asignados a roles los heredan todoslos miembros del rol. Es más fácil agregar o quitar usuarios de un rol que volver a crear conjuntos de permisos distintos para cada usuario. Las roles se pueden anidar. Sin embargo, la existencia de demasiados niveles de anidamiento puede reducir el rendimiento. También puede agregar usuarios a roles fijos de bases de datos para simplificar los permisos de asignación.
Puede conceder permisos enel nivel de esquema. Los usuarios heredan automáticamente los permisos en todos los objetos nuevos creados en el esquema; no es necesario otorgar permisos cuando se crean objetos nuevos.
Permisos a mediante código basado en procedimiento
El encapsulamiento del acceso a los datos a través de módulos tales como procedimientos almacenados y funciones definidas por el usuario brinda un nivel deprotección adicional a la aplicación. Se puede evitar que los usuarios interactúen directamente con objetos de la base de datos otorgando permisos solo a procedimientos almacenados o funciones, y denegando permisos a objetos subyacentes tales como tablas. SQL Server lo consigue mediante encadenamiento de propiedad.
Instrucciones de permiso
En la siguiente tabla se describen las tresinstrucciones de permiso de Transact-SQL.
Instrucción de permiso
Descripción
GRANT
Concede un permiso.
REVOKE
Revoca un permiso. Este es el estado predeterminado de un objeto nuevo. Un permiso revocado a un usuario o rol se puede heredar de otros grupos o roles a los que está asignada la entidad de seguridad.
DENY
DENY revoca un permiso de manera que no pueda ser heredado. DENY tiene prioridad...
Al crear objetos de base de datos, se deben conceder permisos de forma explícita para que los usuarios tengan acceso a ellos. Cada objeto susceptible de protegerse tiene permisos que se pueden otorgar a una entidad de seguridad mediante instrucciones de permiso.
Principio de los privilegios mínimos
Desarrollar una aplicación utilizando un enfoque basado en cuenta de usuario de privilegiosmínimos (LUA) constituye una parte importante de una estrategia de defensa exhaustiva contra las amenazas a la seguridad. El enfoque LUA garantiza que los usuarios siguen el principio de los privilegios mínimos y siempre inician sesión con cuentas de usuario limitadas. Las tareas administrativas se realizan utilizando roles fijos del servidor y el uso del rol fijo del servidor sysadmin es muyrestringido.
Cuando conceda permisos a usuarios de base de datos, siga siempre el principio de los privilegios mínimos.Otorgue a usuarios y roles los mínimos permisos necesarios para que puedan realizar una tarea concreta.
Nota sobre la seguridad
Cuado se desarrolla o prueba una aplicación utilizando el enfoque LUA, se aumenta el grado de dificultad del proceso de desarrollo. Resulta más fácilcrear objetos y escribir código cuando se inicia sesión como administrador del sistema o propietario de la base de datos que cuando se utiliza una cuenta LUA. Sin embargo, el desarrollo de aplicaciones con cuentas de privilegios elevados puede entorpecer el impacto de funcionalidades reducidas cuando usuarios con privilegios de nivel bajo intentan ejecutar una aplicación que requiere permisoselevados para funcionar correctamente. Otorgar a los usuarios permisos excesivos para recuperar funcionalidades perdidas puede exponer a la aplicación a posibles ataques. El diseño, desarrollo y prueba de una aplicación en la que se ha iniciado sesión con una cuenta LUA impone un enfoque disciplinado del planeamiento de la seguridad que evita sorpresas desagradables, así como la tentación de recurrir ala solución rápida de otorgar privilegios elevados. Puede utilizar un inicio de sesión de SQL Server para realizar pruebas, incluso aunque la aplicación esté pensada para implementarse con autenticación de Windows.
Permisos basados en roles
Otorgar permisos a roles en lugar de a usuarios simplifica la administración de la seguridad. Los conjuntos de permisos asignados a roles los heredan todoslos miembros del rol. Es más fácil agregar o quitar usuarios de un rol que volver a crear conjuntos de permisos distintos para cada usuario. Las roles se pueden anidar. Sin embargo, la existencia de demasiados niveles de anidamiento puede reducir el rendimiento. También puede agregar usuarios a roles fijos de bases de datos para simplificar los permisos de asignación.
Puede conceder permisos enel nivel de esquema. Los usuarios heredan automáticamente los permisos en todos los objetos nuevos creados en el esquema; no es necesario otorgar permisos cuando se crean objetos nuevos.
Permisos a mediante código basado en procedimiento
El encapsulamiento del acceso a los datos a través de módulos tales como procedimientos almacenados y funciones definidas por el usuario brinda un nivel deprotección adicional a la aplicación. Se puede evitar que los usuarios interactúen directamente con objetos de la base de datos otorgando permisos solo a procedimientos almacenados o funciones, y denegando permisos a objetos subyacentes tales como tablas. SQL Server lo consigue mediante encadenamiento de propiedad.
Instrucciones de permiso
En la siguiente tabla se describen las tresinstrucciones de permiso de Transact-SQL.
Instrucción de permiso
Descripción
GRANT
Concede un permiso.
REVOKE
Revoca un permiso. Este es el estado predeterminado de un objeto nuevo. Un permiso revocado a un usuario o rol se puede heredar de otros grupos o roles a los que está asignada la entidad de seguridad.
DENY
DENY revoca un permiso de manera que no pueda ser heredado. DENY tiene prioridad...
Leer documento completo
Regístrate para leer el documento completo.