MS-Office-Forum

Zurück   MS-Office-Forum > Microsoft Access & Datenbanken > SQL
Registrieren Forum Hilfe Alle Foren als gelesen markieren

Banner und Co.

Antworten
Ads
Themen-Optionen Ansicht
Alt 16.06.2019, 22:39   #1
stefaktiv
MOF User
MOF User
Standard T-SQL : MSSQL 2016 - AWS Datenbankverbindung mit SSL-Verschlüsselung statt VPN?

Eine bisher auf einem eigenen Server betriebene MS SQL Datenbank soll ggf. zu Amazon AWS umgezogen werden. Die Sicherheit war bisher so eingestellt, dass die Benutzer sich via VPN auf dem Server einwählten. Der DB-Zugriff war zum einen nur auf die private IP-Nummern der VPN-Benutzer beschränkt (192.168.XXX), zum anderen noch über die SQL-Benutzerrechteverwaltung limitiert. Die Firewall war entsprechend scharf geschalten, dass es keinen direkten DB-Zugriff über das Internet geben kann. Als DB-Frontend kommt Access zum Einsatz.

Bei Amazon AWS gibt es zum einen VPC und damit grundsätzlich die Möglichkeit, die Sicherheit nach den eigenen Wünschen zu konfigurieren. Hier gäbe es auch ein VPN - allerdings wird das wohl nach Nutzer und angefangene Stunde berechnet und ist damit kostenintensiv. Ob es auch eine kostenlose Verbindungsmöglichkeit zum eigenen Firmennetzwerk via VPN gibt konnte ich noch nicht abschließend klären - so ganz eindeutig sind da die Hilfetexte bei AWS nicht.

Als ein denkbares Szenario wird nun bei Amazon die direkte Verbindung mit dem SQL-Server über eine erzwungene SSL-Verbindung (TLS 1.2-Support für Microsoft SQL Server) beschrieben:

https://docs.aws.amazon.com/de_de/Am...SSL.Using.html

https://docs.aws.amazon.com/de_de/Am...Scenarios.html

Für mich ist die Frage, wie sicher diese Variante ist, wenn man ausreichend gute Kennwörter für den Login verwendet? Hat jemand solch ein Szenario im Einsatz und welche Argumente sprechend ggf. dagegen?

Den Nutzern käme es natürlich entgegen, wenn keine eigene VPN-Verbindung aufgebaut werden müsste.
Angehängte Grafiken
Dateityp: jpg DB-Zugriff.jpg (94,2 KB, 3x aufgerufen)
stefaktiv ist offline  
verlinken auf Del.icio.us Diese Seite zu Mister Wong hinzufügen
Antworten Auf Beitrag antworten
Alt 18.06.2019, 08:24   #2
stendate
MOF User
MOF User
Standard

Hallo,

Zitat: von stefaktiv Beitrag anzeigen

Hier gäbe es auch ein VPN - allerdings wird das wohl nach Nutzer und angefangene Stunde berechnet und ist damit kostenintensiv.

Der Anbieter managed für Dich die Hardware im Hintergrund, dafür muss er bezahlt werden. Dafür sparst du im Gegenzug bei dir die Bereitstellung des VPN-Gateways sowie den Db-Server.... Tausche Einmalinvestition + Aufwand gegen Abo-Modell.

Zitat: von stefaktiv Beitrag anzeigen

Für mich ist die Frage, wie sicher diese Variante ist, wenn man ausreichend gute Kennwörter für den Login verwendet?

Du wirst hier sicherlich Niemanden finden der dir bestätigt, dass eine Lösung mit nur einem Login (SSL erzwungen) besser oder mindestens gleichwertig zu einer Tunnel-Lösung mit zwei Longins (VPN + DB-Login) ist.

Ein ähnliches Szenario ist der Zugriff auf Windows-Server per Remote-Desktop (RDP), hier gab es kürzlich ein größeres Sicherheitsproblem [1]. Viele Leute greifen auf Ihre Server per RDP ohne einen extra VPN-Tunnel zu und sind plötzlich verwundbar, IIRC sogar ohne dass der Angreifer ein Kennwort besitzen musste.


[1] https://www.heise.de/security/meldun...y-4422969.html
stendate ist offline  
verlinken auf Del.icio.us Diese Seite zu Mister Wong hinzufügen
Antworten Auf Beitrag antworten
Alt 27.06.2019, 19:21   #3
stefaktiv
Threadstarter Threadstarter
MOF User
MOF User
Standard

Danke für die Antwort. Zwischenzeitlich ist die Lösung auch tatsächlich so eingerichtet, dass ein DB-Zugriff nur über VPN möglich ist. Was mir noch nicht gefällt ist die Tatsache, dass nicht nur pro angefangener Stunde bezahlt werden muss, sondern auch, dass jede erneute Verbindung kostet. Wer also im Zug sitzt und mehrere Verbindungsabbrüche hat, der kostet jeweils neu.

Hier suche ich irgendwie eine bessere Lösung, die aber natürlich keine Abstrich bei der Sicherheit haben sollte.

Bei MySQL habe ich gesehen, dass es offensichtlich auch die Möglichkeit sog. "Client Zertifikate" gibt. Es kann also wiederum nur der Client verschlüsselt mit dem Server kommunizieren, der ein bestimmtes Zertifikat installiert hat:
https://icicimov.github.io/blog/data...uthentication/

Gibt es solch eine Möglichkeit auch für den MS SQL Server? Falls ja, wäre es dann nicht auch eine gleichwertige Sicherheitslösung, da in jedem Fall das Zertifikat auf dem Server sowie auf dem Client passen muss?
stefaktiv ist offline  
verlinken auf Del.icio.us Diese Seite zu Mister Wong hinzufügen
Antworten Auf Beitrag antworten
Alt 30.06.2019, 16:32   #4
stendate
MOF User
MOF User
Standard

Hallo,

das gibt es auch für den SQL-Server und wird z.B. unter [1] beschrieben.
Ich persönlich finde die Lösung allerdings nicht Gleichwertig.

[1] https://docs.microsoft.com/de-de/sql...ed-connections

Geändert von stendate (30.06.2019 um 16:37 Uhr).
stendate ist offline  
verlinken auf Del.icio.us Diese Seite zu Mister Wong hinzufügen
Antworten Auf Beitrag antworten
Alt 30.06.2019, 21:00   #5
stefaktiv
Threadstarter Threadstarter
MOF User
MOF User
Standard

Ich bin mir nicht sicher, ob es wirklich das Gleiche ist, was ich meine. Das eine ist ja das Serverzertifikat. Hier kann man bei Amazon AWS problemlos einstellen, dass nur verschlüsselte Verbindungen erlaubt sind. Dazu muss man auf dem Client dann das AWS Serverzertifikat installieren.

Dann dürfte es aber noch die andere Variante geben: auch der Client hat ein eigenes Zertifikat und das wir wiederum auf dem Server als bekannt importiert. Server und Client können dann nur miteinander kommunizieren, wenn beide Zertifikate passen: Serverzertifikat und Clientzertifikat.
stefaktiv ist offline  
verlinken auf Del.icio.us Diese Seite zu Mister Wong hinzufügen
Antworten Auf Beitrag antworten
Alt 01.07.2019, 18:08   #6
sonic8
MOF Koryphäe
MOF Koryphäe
Standard

Es gibt meines Wissens bisher keine Möglichkeit einen SQL-Server-Client per Zertifikat zu authentifizieren.

__________________

Office / Access 2019: Rückkehr der Symbolleiste?
sonic8 ist offline  
verlinken auf Del.icio.us Diese Seite zu Mister Wong hinzufügen
Antworten Auf Beitrag antworten
Alt 01.07.2019, 19:48   #7
stefaktiv
Threadstarter Threadstarter
MOF User
MOF User
Standard

Oh das wäre ja schade... und in dem Punkt hätte dann MySQL sogar die Nase vorne...
stefaktiv ist offline  
verlinken auf Del.icio.us Diese Seite zu Mister Wong hinzufügen
Antworten Auf Beitrag antworten
Ads
Antworten


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Besucher: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge anzufügen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

vB Code ist An.
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist An.
Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:23 Uhr.



Powered by: vBulletin Version 3.6.2 (Deutsch)
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.

Copyright ©2000-2018 MS-Office-Forum. Alle Rechte vorbehalten.
Copyright ©Design: Manuela Kulpa ©Rechte: Günter Kramer
Eine Verwendung der Inhalte in anderen Publikationen, auch auszugsweise,
ist ohne ausdrückliche Zustimmung der Autoren nicht gestattet.