Mitigação de Ameaças e Vulnerabilidades (Replicação)

Este tópico descreve técnicas para reduzir ameaças a uma topologia de replicação.

Encriptação

A criptografia é o processo de conversão de dados em um formulário que não pode ser lido sem uma chave especial, de modo que somente o destinatário pretendido possa ler os dados. A replicação não criptografa dados armazenados em tabelas ou enviados por conexões de rede. Isso é por design, pois a criptografia está disponível no nível de transporte com várias tecnologias, incluindo as seguintes tecnologias padrão do setor: VPN (Redes Virtuais Privadas), SSL (Secure Sockets Layer) e IPSEC (Segurança de IP). É recomendável usar um desses métodos de criptografia para as conexões entre computadores em uma topologia de replicação. Para obter mais informações, confira Habilitar conexões criptografadas para o mecanismo de banco de dados (SQL Server Configuration Manager). Para obter informações sobre como usar VPN e SSL para replicar dados pela Internet, consulte Como proteger a replicação pela Internet.

Se você usar ssl para proteger as conexões entre computadores em uma topologia de replicação, especifique um valor de 1 ou 2 para o parâmetro -EncryptionLevel de cada agente de replicação (um valor de 2 é recomendado). Um valor de 1 especifica que a criptografia é usada, mas o agente não verifica se o certificado do servidor SSL é assinado por um emissor confiável; um valor de 2 especifica que o certificado é verificado. Os parâmetros de agente podem ser especificados em perfis de agente e na linha de comando. Para obter mais informações, consulte:

• Trabalhar com perfis do Agente de Replicação

• Exibir e modificar parâmetros do prompt de comando de Agentes de Replicação (SQL Server Management Studio)

• Conceitos de Executáveis do Agente de Replicação

A replicação tem o seguinte comportamento em relação às Chaves Mestras do banco de dados, que são usadas para criptografar dados:

• Se uma Chave Mestra estiver presente em um banco de dados envolvido na replicação (um banco de dados de publicação, um banco de dados de assinatura ou um banco de dados de distribuição), a replicação criptografa e descriptografa senhas do agente nesse banco de dados usando uma chave simétrica do banco de dados do SQL Server 2012. Se as Chaves Mestras forem usadas, uma Chave Mestra deverá ser criada em cada banco de dados envolvido na replicação. Para obter mais informações sobre como criar chaves mestras, consulte CREATE MASTER KEY (Transact-SQL).

• A replicação não replica chaves mestras. Caso você precise da chave mestra no banco de dados de assinatura, deverá exportá-la a partir do banco de dados de publicação usando BACKUP MASTER KEY e depois importá-la no banco de dados de assinatura usando RESTORE MASTER KEY. Para obter mais informações, consulte BACKUP MASTER KEY (Transact-SQL) e RESTORE MASTER KEY (Transact-SQL).

• Se uma Chave Mestra for definida para um banco de dados de assinatura anexável, especifique a senha da Chave Mestra usando o parâmetro @db_master_key_password de sp_attachsubscription (Transact-SQL). Isso permite que o banco de dados seja anexado ao Assinante.

Para obter mais informações sobre criptografia e chaves mestras, consulte Hierarquia de Criptografia.

A replicação permite que você publique dados de coluna criptografados. Para descriptografar e usar esses dados no Assinante, a chave usada para criptografar os dados no Publicador também deve estar presente no Assinante. A replicação não fornece um mecanismo seguro para transportar chaves de criptografia. Você deve recriar manualmente a chave de criptografia no Assinante. Para obter mais informações, consulte Replicar dados em colunas criptografadas (SQL Server Management Studio).

Consulte Também

Controle de identidade e acesso (replicação)
Implantação de Replicação Segura