Melhores Práticas de Segurança da Replicação

Aplica-se a:SQL ServerInstância Gerenciada de SQL do Azure

A replicação move dados em ambientes distribuídos, variando desde intranets em um único domínio até aplicativos que acessam dados entre domínios não confiáveis e pela Internet. É importante para entender a melhor abordagem para proteger as conexões de replicação sob essas diversas circunstâncias.

As informações abaixo são relevantes para a replicação em todos os ambientes:

• Criptografar as conexões entre computadores em uma topologia de replicação que usa um método padrão do setor, como VPN (redes virtuais privadas), protocolo TLS, conhecido anteriormente como protocolo SSL, ou IPSEC (Segurança de IP). Para obter mais informações, confira Habilitar conexões criptografadas para o mecanismo de banco de dados (SQL Server Configuration Manager). Para obter informações sobre como usar VPN e TLS para replicar dados na Internet, confira Proteger a replicação na Internet.

  Se você usar o TLS 1.2 para proteger as conexões entre computadores em uma topologia de replicação, especifique um valor de 1 ou para o 2 parâmetro de cada agente de replicação (um valor de -EncryptionLevel é 2 recomendado). Um valor de 1 especifica que a criptografia é usada, mas o agente não verifica se o certificado do servidor TLS/SSL é assinado por um emissor confiável; um valor de 2 especifica que o certificado é verificado. A Instância Gerenciada de SQL do Azure dá suporte ao TLS 1.3 para conexões provenientes de Instâncias Gerenciadas de SQL do Azure ou do SQL Server 2025 e versões posteriores, especificando um valor de 3. A Instância Gerenciada de SQL do Azure e o SQL Server 2025 e versões posteriores dão suporte ao TLS 1.3 para conexões com o SQL Server especificando um valor de 4.

  Para obter informações sobre como trabalhar com agentes, consulte:

  • Exibir e modificar parâmetros do prompt de comando de Agentes de Replicação (SQL Server Management Studio)

  • Trabalhar com perfis do Agente de Replicação

  • Conceitos de Executáveis do Agente de Replicação

• Execute cada agente de replicação em uma conta diferente do Windows e use a Autenticação do Windows para todas as conexões de agente de replicação. Para obter mais informações sobre como especificar contas, confira Controle de acesso e identidade para replicação.

• Conceda somente as permissões exigidas para cada agente. Para obter mais informações, consulte a seção "Permissões necessárias para agentes" em Replication Agent Security Model.

• Verifique se todas as contas do Agente de Mesclagem e do Agente de Distribuição estão na lista de acesso à publicação (PAL). Para obter mais informações, consulte Secure the Publisher (Proteger o publicador).

• Siga o princípio de menos privilégios concedendo às contas na PAL somente as permissões que necessitam para executar tarefas de replicação. Não adicione os logons a qualquer função de servidor fixa que não seja necessária para replicação.

• Configure o compartilhamento de instantâneos para permitir acesso de leitura por todos os Agentes de Mesclagem e Agentes de Distribuição. No caso de instantâneos para publicações com filtros parametrizados, verifique se cada pasta está configurada para permitir acesso apenas às contas apropriadas do Agente de Mesclagem.

• Configure o compartilhamento de instantâneos para permitir acesso para gravação pelo Agente de Instantâneo.

• Se você usar assinaturas pull, use um compartilhamento de rede em vez de um caminho local para a pasta de instantâneos.

Se a sua topologia de replicação incluir computadores que não estejam no mesmo domínio ou que estejam em domínios que não possuam relação segura um com o outro, você poderá usar a Autenticação do Windows ou a Autenticação do SQL Server para as conexões feitas por agentes (para obter mais informações sobre domínios, consulte a documentação do Windows). Sugerimos como prática recomendada de segurança que você use a Autenticação do Windows.

• Para usar a Autenticação do Windows:

  • Adicione uma conta local do Windows (não uma conta de domínio) para cada agente nos nós adequados (use o mesmo nome e senha em cada nó). Por exemplo, o Agente de Distribuição para uma assinatura push é executado no Distribuidor e faz conexões com o Distribuidor e o Assinante. A conta do Windows para o Agente de Distribuição deve ser adicionada ao Distribuidor e ao Assinante.

  • Certifique-se que um determinado agente (por exemplo, o Agente de Distribuição para uma assinatura) é executado na mesma conta em cada computador.

• Para usar a Autenticação do SQL Server

  • Adicione uma conta do SQL Server para cada agente nos nós adequados (use o mesmo nome e senha em cada nó). Por exemplo, o Agente de Distribuição para uma assinatura push é executado no Distribuidor e faz conexões com o Distribuidor e o Assinante. A conta do SQL Server para o Agente de Distribuição deve ser adicionada ao Distribuidor e ao Assinante.

  • Certifique-se que um determinado agente (por exemplo, o Agente de Distribuição para uma assinatura) faz conexões na mesma conta em cada computador.

  • Quando for necessária a Autenticação do SQL Server, normalmente o acesso ao compartilhamento de instantâneo UNC não estará disponível (por exemplo, o acesso poderá ser bloqueado por um firewall). Neste caso, você pode transferir o instantâneo aos Assinantes por FTP (File Transfer Protocol). Para obter mais informações, consulte Transferir instantâneos pelo FTP.

Melhore a postura de segurança com a chave mestra do banco de dados

Ao usar a autenticação do SQL Server para replicação, os segredos fornecidos ao configurar a replicação são armazenados no SQL Server , especificamente, no banco de dados de distribuição e, para assinaturas pull, também no banco de dados do assinante.

Para aprimorar a postura de segurança para replicação, antes de começar a configurar a replicação:

• Crie uma DMK (chave mestra de banco de dados) no banco de dados de distribuição do servidor que hospeda o Distribuidor.
• Para assinaturas pull, também crie uma DMK no banco de dados do assinante.

Se a replicação foi criada antes do DMK, primeiro crie o DMK e atualize os segredos de replicação atualizando senhas para trabalhos de replicação. Você pode atualizar o trabalho com a mesma senha ou usar uma nova senha.

Para atualizar os segredos de replicação, use um dos seguintes procedimentos armazenados relevantes para atualizar senhas para trabalhos de replicação:

• sp_changelogreader_agent
• sp_changesubscriber
• sp_changedistpublisher
• sp_changepublication_snapshot

Configurar a replicação transacional sem um DMK pode resultar em aviso 14130 do SQL Server em:

• Instância Gerenciada de SQL do Azure
• SQL Server 2022 CU18 e posterior
• SQL Server 2019 CU31 e posterior

Conteúdo relacionado

• Habilitar conexões criptografadas no Mecanismo de Banco de Dados (SQL Server Configuration Manager)
• Replicação na Internet
• Proteger o Assinante
• Proteger o Distribuidor
• Proteger o Publicador
• Exibir e modificar configurações de segurança de replicação