Обеспечение безопасности служб SSAS
Чтобы обеспечить надлежащую безопасность данных, хранимых в службах SSAS, необходимо обеспечить безопасность всех точек доступа к экземпляру служб SSAS. Эти точки доступа включают:
1. Защита компьютера со службами SSAS. Как и в случае любого приложения, наиболее простым способом доступа к данным в службах SSAS является физическое использование компьютера, на котором запущено приложение. Если несанкционированный пользователь получит физический доступ к компьютеру, на котором запущены службы SSAS, то этот пользователь потенциально может получить доступ к любым данных, хранящимся на этом компьютере, независимо от других мер безопасности, используемых для защиты данных. Чтобы повысить физическую безопасность компьютера, на котором запущены службы SSAS, выполните следующие шаги:
- убедитесь в том, что только санкционированные пользователи имеют физический доступ к компьютеру. По возможности установите компьютер в запертой комнате с ограниченным доступом;
- отключите функцию загрузки с дискеты, если это возможно в настройках BIOS материнской платы, и рассмотрите возможность полного удаления дисковода;
- отключите функцию загрузки с CD-ROM, если это возможно в настройках BIOS материнской платы;
- увеличьте защиту компьютера путем использования пароля при включении и повысьте защиту настроек BIOS материнской платы, используя пароль доступа к BIOS;
- используйте корпус для компьютера, который поддерживает обнаружение проникновения, и который невозможно открыть без ключа; храните ключ в безопасном месте вдали от компьютера;
2. Защита операционной системы Windows для служб SSAS. Операционная система с неверно выставленными параметрами безопасности может подвергнуть риску безопасность экземпляра служб SSAS. Следующие мероприятия позволят повысить защищенность операционной системы:
- ограничение интерактивного доступа;
- ограничение сетевого доступа;
- отключение ненужных служб;
- указание и ограничение портов. Экземпляр по умолчанию служб SSAS осуществляет прослушивание порта 2383. Если именованный экземпляр использует другой порт, то этот порт нужно открыть на межсетевом экране;
- предоставление прав локального администрирования. Только члены группы локальных администраторов обладают правом запускать, останавливать и настраивать службы Microsoft Windows. Чтобы предоставить пользователям, ответственным за управление всем экземпляром служб SSAS, права на управление службами Windows, необходимыми для экземпляра служб SSAS, этих пользователей следует сделать членами группы локальных администраторов.
3. Защита программных файлов, общих компонентов и файлов данных. Местоположение по умолчанию для файлов служб SSAS — «\Program Files\Microsoft SQL Server\MSAS10.#\OLAP», где # представляет собой номер экземпляра. В этой структуре папок имеются четыре вложенные папки: Backup, Bin, Data и Log. В этих папках хранятся данные резервного копирования, важные файлы для самой службы SSAS, фактические данные измерений и кубов, а также данные журналов. Эти данные должны быть защищены. Программа установки предоставляет доступ ко всем файлам в этой структуре папок только членам локальной группы «Администраторы» и учетной записи входа в службы SSAS. Пользователям доступ к файлам в этих папках не требуется.
4. Безопасность взаимодействия клиентов с экземпляром служб SSAS, что включает шифрование данных, проверку подлинности клиента, установку пакетов безопасности, и указание частоты обновления кэша ролей.
5. Защита источников данных, используемых службами SSAS. Если неавторизованные пользователи получат доступ к источникам данных, из которых службы SSAS загружают данные, эти пользователи будут иметь доступ к сведениям, которые хранятся в экземпляре служб SSAS. Следует ограничить доступ к этим источникам данных. Для просмотра кубов и измерений пользователям служб SSAS не нужны разрешения на эти источники данных.
6. Обеспечение безопасности доступа с помощью служб SSAS. Службы SSAS разрешают устанавливать соединения только пользователям, прошедшим проверку подлинности Windows, если только не разрешены анонимные подключения, и пользователям, которым предоставлены разрешения в экземпляре служб SSAS. Пользователям, не имеющим разрешений, устанавливать соединения запрещено. Службы SSAS не выполняют собственной проверки подлинности пользователей. При проверке подлинности всех пользователей перед авторизацией доступа к данным служб SSAS или перед предоставлением пользователям возможности выполнения административных задач службы SSAS полагаются на операционную систему Windows.
По умолчанию любой пользователь, не являющийся членом роли сервера, не имеет разрешений служб SSAS. Чтобы получить разрешения, член роли сервера должен сначала создать пользовательскую роль базы данных, а затем предоставить этой роли разрешения.
Пользовательской роли базы данных могут быть предоставлены ограниченные или полные административные разрешения в базе данных. Этой роли также могут быть предоставлены ограниченные или полные разрешения на доступ к данным.
После создания пользовательской роли базы данных член роли сервера должен добавить соответствующих пользователей и группы Windows. Пользователь получает разрешения в службах SSAS только после его добавления к пользовательской роли базы данных.