MSSQL - 最佳實踐 - 使用SSL加密鏈接mysql

author: 風移

摘要

在SQL Server安全系列專題月報分享中，往期咱們已經陸續分享了：如何使用對稱密鑰實現SQL Server列加密技術、使用非對稱密鑰實現SQL Server列加密、使用混合密鑰實現SQL Server列加密技術、列加密技術帶來的查詢性能問題以及相應解決方案、行級別安全解決方案、SQL Server 2016 dynamic data masking實現隱私數據列打碼技術、使用證書作數據庫備份加密和SQL Server Always Encrypted這八篇文章，直接點擊以上文章前往查看詳情。本期月報咱們分享SQL Server SSL證書鏈接加密技術，實現網絡上傳輸層鏈接加密。sql

問題引入

在SQL Server關係型數據庫中，咱們可使用透明數據加密（TDE）、行級別加密(Row-level Security)、數據打碼(Dynamic Data Masking)和備份加密(Backup Encryption)等技術來實現數據庫引擎層的安全。可是，在網絡傳輸層，客戶端和服務端以前默認沒有數據加密傳輸保護。所以，爲了提升鏈路安全性，咱們能夠啓用SSL（Secure Sockets Layer）加密，SSL在傳輸層對網絡鏈接進行加密，能提高數據通道的安全性，但同時會增長網絡鏈接響應時間和CPU開銷。數據庫

準備工做

爲了方便觀察，咱們使用Microsoft Network Monitor 3.4（如下簡稱MNM）工具來觀察網絡傳輸層事件，若是您已經安裝MNM，請跳過該準備工做部分。
首先，咱們從微軟官網下載MNM,根據須要下載對應的版本，咱們這裏下載64 bit版本，NM34_x64.exe。
接下來，安裝MNM，直接執行NM34_x64.exe，而後按照嚮導完成安裝。
最後，重啓OS。安全

啓用SSL證書以前

在啓用SSL證書加密以前，客戶端和SQL Server服務端的網絡傳輸層默認沒有加密保護的，咱們能夠經過以下步驟驗證。
 建立測試表
 新建MNM抓取
 鏈接查詢測試
 MNM中檢查
 動態視圖查看加密狀態服務器

建立測試表

爲了測試方便，咱們首先建立測試表CustomerInfo，存入三個客戶敏感信息，包含客戶名稱和客戶電話號碼。markdown

USE [TestDb] GO IF OBJECT_ID('dbo.CustomerInfo', 'U') IS NOT NULL DROP TABLE dbo.CustomerInfo CREATE TABLE dbo.CustomerInfo ( CustomerId INT IDENTITY(10000,1) NOT NULL PRIMARY KEY, CustomerName VARCHAR(100) NOT NULL, CustomerPhone CHAR(11) NOT NULL ); -- Init Table INSERT INTO dbo.CustomerInfo VALUES ('CustomerA','13402872514') ,('CustomerB','13880674722') ,('CustomerC','13487759293') GO

新建MNM抓取

打開MNM，點擊New Capture，而後Start，啓動網絡層時間抓取。
網絡

鏈接查詢測試

從客戶端，鏈接上對應的SQL Server，執行下面的查詢語句，以便觀察MNM抓取狀況。工具

USE [TestDb] GO SELECT * FROM dbo.CustomerInfo WITH(NOLOCK)

執行結果以下：
sqlserver

MNM中檢查

咱們仔細觀察MNM中的事件，發如今客戶機和SQL Server服務端的網絡傳輸層，使用的明文傳輸，以下截圖：

從圖中右下角紅色方框中，咱們能夠清清楚楚的看到了這三個客戶的姓名和對應的手機號碼，咱們使用MNM看到數據在網絡傳輸層以明文傳送，並未作任何加密，可能會存在數據被竊聽的風險。性能

動態視圖查看鏈接狀態

固然，您也能夠從SQL Server的鏈接動態視圖看出，鏈接並未加密：

從MNM和SQL Server動態視圖咱們能夠得出相同的結論是：客戶端和SQL Server服務端數據在網絡傳輸層默認以明文傳送，並未加密傳輸，可能會存在數據被竊聽的風險。那麼，咱們能夠啓動SSL證書來加密數據傳輸，以達到更爲安全的目的。

啓用SSL證書

啓動SSL證書，分爲如下幾個部分：
 證書申請
 強制全部鏈接使用SSL
 加密特定客戶端鏈接

證書申請

Start –> 輸入：mmc.exe -> File -> Add/Remove Snap-ins -> Certificate -> add -> Computer account -> Next -> Local Computer -> Finish -> OK

展開Certificates -> 右鍵 Personal -> 選擇 All Tasks -> 選擇Request New Certificate -> 點擊 Next -> 選中 Computer -> 點擊Enroll -> 點擊Finish。
右鍵點擊對應證書 -> 選中All Tasks -> 選擇Manage Private Keys… -> 授予 read 權限給本地帳號NT ServiceMSSQLSERVER。

強制全部鏈接使用SSL

強制全部鏈接加密

在SQL Server服務器上，Start -> Run -> sqlservermanager13.msc -> 右鍵點擊Protocols for MSSQLSERVER -> Flags中將Force Encryption設置爲Yes -> Certificate選項卡中選擇證書 -> OK

重啓SQL Service

強制全部鏈接設置完畢後，若是想要當即生效，請重啓SQL Service。
注意：
這裏須要特別注意，若是是目前線上正常運行的應用，請慎重測試後，打開強制全部鏈接使用SSL。

加密特定客戶端鏈接

固然，您也能夠不用打開強制全部的鏈接使用SSL，轉而使用加密特定的客戶端鏈接，這裏以SSMS鏈接工具爲例。

客戶端導入證書

Start -> Run -> 輸入：certmgr.msc -> 右鍵選擇Trusted Root Certification Authorities -> All Tasks -> Import

選擇SQL Server服務端生成的證書文件

Next -> Finish -> OK

SSMS啓用加密鏈接

在SSMS鏈接服務端界面 -> 選擇Options

而後選擇Encrypt connection

而後，參照「鏈接查詢測試」中方法進行鏈接測試。一樣在鏈接管理視圖中查看，咱們能夠看到鏈接已經加密：

至此，使用SSL證書加密加密客戶端和SQL Server服務端鏈接的實驗成功。

注意事項

因爲使用了SSL證書來加密客戶端和SQL Server服務端鏈接，在提高數據通訊的安全性同時，加密解密操做也會致使網絡鏈接響應時間增長和CPU使用率上升，對業務系統有必定的性能影響。所以，建議您僅在外網鏈路有加密需求的時候啓用SSL加密，內網鏈路相對較安全，通常無需對鏈路加密。

最後總結

本期月報咱們分享瞭如何啓用SSL證書，來加密客戶端和SQL Server服務端鏈接，提高網絡傳輸層通訊安全，使得數據在傳輸過程當中被加密後，以密文傳送，最大限度保證了鏈路安全。