Utilizzo protetto (Integration Services)
Come in ogni fase del ciclo di vita di un pacchetto Integration Services, è possibile migliorare la sicurezza quando si gestiscono pacchetti distribuiti in un ambiente di sviluppo adottando le misure seguenti:
Aprire ed eseguire i pacchetti solo da origini attendibili.
Questo comporta la verifica della validità della firma ogni volta che viene aperto ed eseguito un pacchetto.
Assicurarsi che i pacchetti vengano aperti ed eseguiti solo da utenti autorizzati.
Questo comporta la necessità di utilizzare le caratteristiche di sicurezza disponibili in Integration Services, SQL Server e nel file system per realizzare gli obiettivi seguenti:
Controllare l'accesso ai pacchetti archiviati e ai file aggiuntivi a essi associati.
Controllare l'accesso al servizio Integration Services.
Controllare le firme digitali per identificare i pacchetti dalle origini attendibili
I pacchetti possono essere firmati con i certificati digitali. Tali certificati identificano l'utente singolo o l'unità organizzativa che ha creato o apportato l'ultima modifica ai pacchetti. Gli amministratori possono configurare Integration Services in modo che venga richiesta una firma valida e attendibile per i pacchetti, vengano controllate le firme quando si aprono i pacchetti e venga visualizzato un avviso o vengano rifiutati i pacchetti non firmati.
Gli amministratori possono configurare Integration Services in modo da impostare il controllo delle firme per tutti i pacchetti o per singoli pacchetti:
Controllare le firme per tutti i pacchetti impostando un valore del Registro di sistema. È possibile applicare i criteri che verificano le firme per tutti i pacchetti caricati e in esecuzione in un computer impostando il valore facoltativo del Registro di sistema BlockedSignatureStates. Per ulteriori informazioni, vedere Procedura: Implementazione di criteri per le firme impostando un valore del Registro di sistema.
Controllare le firme quando si esegue un pacchetto singolo dall'utilità dtexec (dtexec.exe). È possibile controllare la firma di un pacchetto singolo specificando l'opzione VerifySigned alla riga di comando dtexec. Per ulteriori informazioni, vedere Utilità dtexec (strumento di SSIS).
Per ulteriori informazioni sulle firme digitali, vedere Utilizzo delle firme digitali con i pacchetti.
Controllare l'accesso ai pacchetti e ai file creati o utilizzati dai pacchetti
I pacchetti possono essere archiviati nel database msdb in SQL Server o nel file system.
Quando archiviare i pacchetti in SQL Server. È possibile utilizzare le caratteristiche di sicurezza disponibili in SQL Server e i ruoli predefiniti del database di Integration Services per controllare l'accesso ai pacchetti archiviati. Per ulteriori informazioni su tali ruoli, vedere Utilizzo dei ruoli di Integration Services.
Quando archiviare i pacchetti nel file system. È possibile utilizzare le caratteristiche di sicurezza disponibili in Microsoft Windows e gli elenchi di controllo di accesso (ACL) disponibili nel file system per controllare l'accesso ai pacchetti archiviati.
Quando si eseguono i pacchetti, vengono talvolta creati file aggiuntivi, ad esempio file di configurazione, file di log e file del checkpoint. Tali file potrebbero contenere dati sensibili. Per ulteriori informazioni su come controllare l'accesso a tali file aggiuntivi, vedere Controllo dell'accesso ai file utilizzati dai pacchetti.
Controllare l'accesso al servizio Integration Services.
Gli utenti che si connettono al servizio Integration Services in Management Studio possono vedere:
L'elenco dei pacchetti archiviati e i relativi percorsi.
I pacchetti in esecuzione avviati dall'utente. (Gli amministratori possono vedere tutti i pacchetti in esecuzione.)
Per informazioni sul controllo dell'accesso al servizio Integration Services in Management Studio, vedere Controllo dell'accesso al servizio Integration Services.
|
.gif "Icona di Integration Services (piccola)")
Rimanere aggiornati con Integration Services