備份到 UNC 路徑的安全隱患
我有幾台伺服器備份到數據域。這可以通過 UNC 路徑訪問,也就是說
\\datadomain\SqlBackups\
,似乎要做的只是我們通過防火牆規則授予 SQL Server 訪問數據伺服器的權限,並且我們授予 SQL DB 服務帳戶對 SqlBackups 文件夾的完全訪問權限。伺服器配置為將
Y:\
驅動器映射到此位置,以便備份轉到Y:\<InstanceName>\<DatabaseName>
.這一直有效,直到驅動器映射發生某些事情。例如,有時在重新啟動時映射會失去,因此備份會失敗。
我只想備份到我測試過的 UNC 路徑,它可以正常工作。但是有人告訴我,這會帶來安全隱患,比如讓潛在黑客可以看到 UNC 路徑……這對我來說沒有意義,因為您可以輕鬆找出映射驅動器指向的位置。
任何人都可以從 SQL Server / Windows Server 安全的角度對此有所了解嗎?備份 UNC 路徑有什麼不好?
我們有很多 SQL Server 虛擬機,我們發現最好通過 Windows 共享將數據庫備份到一個集中位置並保持我們的虛擬機苗條。然而,我們一直在備份管理 Windows $ 共享——我還沒有看到任何管理員關閉它——儘管它可以完成。
至於您的問題:通常您映射驅動器只是為了方便起見,因為您想要或提供預期的好處,但您仍然必須將其映射到 UNC 名稱。進出映射驅動器的網路數據包仍將包含 UNC 資訊。該資訊不會被混淆,因為您將其映射到驅動器號。實際上,映射驅動器的系統更容易受到 Cryptolocker 等木馬的攻擊!
如果存在合法的數據黑客問題,只需打開備份加密——知道它會增加一些 CPU 週期(以及獲取、管理和維護證書的新任務)。我們的網路相當安全,所以我們目前沒有加密我們的備份——但那一天可能遲早會到來。此外,聽起來問題需要重新定向到數據域的所有者和創建者,因為這是共享所在的位置並且存在大部分風險(更不用說 UNC 共享名稱)。
如果有權力想知道 UNC 黑客攻擊,我會開始提出以下問題:
1.>“我們的網路有被黑客入侵的危險還是我們已經被黑客入侵了?您對這種情況的信心水平是多少?”
2.>“伺服器備份目前是否被加密?”
3.>“是否關閉了 Windows admin/$ UNC 共享?”
4.>“證書是否容易用於加密——我們應該走那條路嗎?”
5.> “我們是否有可以依賴的公司證書政策,以便從可靠來源獲取證書?”
6.> 和我個人最喜歡的“我需要隔離我的 SQL Server 嗎?”