Sql-Server

設計數據庫訪問級別

  • April 4, 2018

目前,我們的生產和開發數據庫允許系統管理員訪問所有 devops、第三方開發人員等。我想根據現有的 AD 組提出新的訪問級別,但我想知道是否有人可以指點一下哪些級別應該定義訪問權限?

目前我想出了3個角色:

  1. 管理員 - 授予系統管理員訪問權限
  2. 開發人員 - 授予創建/刪除表、插入/更新/刪除的權限。
  3. 查看器 - 只讀訪問。

我們還在每個數據庫/伺服器上執行不同的應用程序,並且建議我們不要按訪問級別將它們分開。因此,如果一個人在“銷售”數據庫中有系統管理員,那麼他們在“人力資源”等方面也將具有相同級別。

也有人建議我們的新 AD 組將與伺服器無關,以便於轉換新的應用程序訪問。

我想知道是否有人可以就您如何定義訪問級別等發表意見。

謝謝你。

在所有伺服器/應用程序中實現通用安全性將是一種糟糕的方法。根據您的建議,一旦您讓客戶服務部的 John Doe 擁有對客戶數據庫的讀取訪問權限(他需要該數據庫來完成他的工作),您就可以有效地授予他對 HR 數據庫中求職者的讀取訪問權限。HR 數據庫將包含個人身份資訊 (PII)。由於 John Doe 不是 HR 的一部分,因此他不應該擁有訪問這些數據的權限。允許他讀取人力資源數據庫會導致合規問題,並且當那些審計員闖入大門時可能會導致巨額罰款!

John Doe 還可以從工資數據庫中讀取工資,哦,天哪,一旦該資訊公開,您的辦公室肯定會有些緊張;員工會質疑為什麼新人的薪水比他們高,等等。

現在我已經打敗了那匹馬,這是我最近看到的一篇文章,討論瞭如何設置對特定數據庫具有特定訪問級別的 AD 組。這比您可能需要的更詳細一些,例如創建腳本來創建 AD 組,但應該是一個有用的開始。

http://www.sqlservercentral.com/articles/Security/133778/

引用自:https://dba.stackexchange.com/questions/202964