Si può proteggere i server da sa collegato
https://stackoverflow.com/questions/4564206
-
14-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Abbiamo una creazione di software su un server di fornitore di terze parti. Essi hanno pieno accesso a tale server e lo sql-server con l'account sa. Vorremmo impostare un server collegato in modo che un trigger può aggiornare i dati su una macchina remota. Ha accesso all'account sa necessariamente che essi hanno pieno accesso al server collegato o c'è un modo per proteggersi da sa?
EDIT: Abbiamo voluto dare loro il pieno controllo del server perché vogliamo loro di avere la piena responsabilità. Si prende la colpa fuori noi quando smette di funzionare. "Hey, non abbiamo toccarlo, a risolvere il problema, si dispone di autorizzazioni complete". In questo modo, si può fare quello di cui hanno bisogno per ottenere il loro lavoro software, ma è in un ambiente di sabbia in scatola. Abbiamo solo bisogno di un trigger per ottenere i record finale fuori del loro database e inserimento nel nostro database di produzione. Ciò richiede permessi non vogliamo dare loro. La domanda è stata pensata per chiedere se ci fosse un modo per salvare la password in quell'ambiente sabbia inscatolata lì sotto il naso. per così dire.
Soluzione
È possibile impostare il server collegato per utilizzare un utente di nome -. Vostro appaltatore di terze parti sarà ancora in grado di vedere "l'altra estremità" del collegamento, ma solo con i diritti concessi a quello di nome utente
Altri suggerimenti
Non dare a chiunque l'accesso all'account SA.
Al contrario, dare loro un account utente denominato anche se non ha ancora i privilegi a livello di sistema.
In secondo luogo, il server collegato sta per essere impostato con un utente chiamato a cui è consentito di impersonare un utente chiamato su l'altra estremità. Se hanno un account con privilegi completi sul primo server allora saranno in grado di raggiungere l'altro. E 'semplice come cambiare la password dell'account utente che viene concesso l'accesso al server remoto.
Il che ci porta a un altro elemento: Mai dare un'entità esterna diritti completi per nulla a meno di loro proprietà la casella. Se, per qualche strana ragione, non hai altra scelta allora si dovrebbe trovare un modo alternativo di trasferire i dati da questo server a server di produzione.
Un modo potrebbe essere quello di istituire pacchetti SSIS che cadono i dati in una directory del server remoto monitorerà per il ritiro. Certo questo aggiunge un po 'più di complessità, ma alla fine vorrà dire la tua roba è ancora sicuro.
Infine, server collegati sono noti per essere traballante in generale. Tu sei molto meglio trovare un modo diverso per trasferire i dati ... come ad esempio utilizzando il metodo SSIS.
