Procedimientos recomendados de seguridad de replicación

Se aplica a:SQL ServerAzure SQL Managed Instance

La replicación mueve datos en entornos distribuidos que incluyen desde intranets con un solo dominio hasta aplicaciones que tienen acceso a datos entre dominios sin confianza y por Internet. Es importante comprender el mejor método que se debe utilizar para proteger las conexiones de replicación en diferentes circunstancias.

La siguiente información es importante para la replicación en todos los entornos:

• Cifre las conexiones entre equipos en una topología de replicación mediante un método estándar del sector, como las redes privadas virtuales (VPN), la Seguridad de la capa de transporte (TLS), anteriormente conocida como Capa de sockets seguros (SSL), o la Seguridad IP (IPSEC). Para obtener más información, vea Habilitar conexiones cifradas en el motor de base de datos (Administrador de configuración de SQL Server). Para obtener información sobre cómo utilizar VPN y TLS para replicar datos en Internet, vea Proteger la replicación a través de Internet.

  Si usa TLS 1.2 para proteger las conexiones entre equipos de una topología de replicación, especifique un valor de 1 o 2 para el parámetro -EncryptionLevel de cada agente de replicación (se recomienda un valor de 2 ). El valor 1 especifica que se debe utilizar el cifrado, pero el agente no comprueba si el certificado de servidor TLS/SSL está firmado por una entidad de confianza; un valor 2 indica que se debe comprobar el certificado. Azure SQL Managed Instance admite TLS 1.3 para las conexiones entre instancias especificando un valor de 3 y conexiones a SQL Server desde Azure SQL Managed Instance especificando un valor de 4.

  Para obtener información sobre cómo trabajar con agentes, consulte:

  • Ver y modificar parámetros de la línea de comandos del agente de replicación (SQL Server Management Studio)

  • Trabajar con perfiles del Agente de replicación

  • Conceptos de los ejecutables del Agente de replicación

• Ejecute cada agente de replicación en una cuenta de Windows diferente y utilice Autenticación de Windows para todas las conexiones de agentes de replicación. Para más información sobre cómo especificar cuentas, vea Identidad y control de acceso (replicación).

• Conceda solamente los permisos requeridos a cada agente. Para obtener más información, vea la sección sobre los permisos necesarios para los agentes en el tema Replication Agent Security Model.

• Asegúrese de que las cuentas del Agente de mezcla y el Agente de distribución están en la lista de acceso a la publicación (PAL). Para obtener más información, vea Proteger el publicador.

• Siga el principio de privilegios mínimos permitiendo que las cuentas de la PAL solo tengan los permisos que necesitan para realizar tareas de replicación. No agregue los inicios de sesión a ningún rol fijo de servidor que no sea necesario para la replicación.

• Configure el recurso compartido de instantánea para permitir acceso de lectura a todos los agentes de mezcla y agentes de distribución. En el caso de instantáneas para publicaciones mediante filtros con parámetros, asegúrese de que cada carpeta está configurada para permitir acceso solo a las cuentas de Agente de mezcla correctas.

• Configure el recurso compartido de instantánea para permitir acceso de escritura al Agente de instantánea.

• Si utiliza suscripciones de extracción, use un recurso de red compartido en vez de una ruta de acceso local para la carpeta de instantáneas.

Si la topología de replicación incluye equipos que no se encuentran en el mismo dominio o están en dominios que no tienen relaciones de confianza entre sí, puede utilizar Autenticación de Windows o Autenticación de SQL Server para las conexiones realizadas por agentes (Para obtener más información acerca de los dominios, vea la documentación de Windows). Para obtener la máxima seguridad se recomienda que utilice Autenticación de Windows.

• Para utilizar Autenticación de Windows:

  • Agregue una cuenta de Windows local (no una cuenta de dominio) para cada agente en los nodos adecuados (utilice el mismo nombre y contraseña en cada nodo). Por ejemplo, el Agente de distribución para una suscripción de tipo push se ejecuta en el Distribuidor y realiza conexiones al Distribuidor y al Suscriptor. La cuenta de Windows para el Agente de distribución debería añadirse al Distribuidor y al Suscriptor.

  • Asegúrese de que un determinado agente (por ejemplo, el Agente de distribución de una suscripción) se ejecuta con la misma cuenta en cada equipo.

• Utilizar autenticación de SQL Server:

  • Agregue una cuenta de SQL Server para cada agente en los nodos adecuados (utilice el mismo nombre y contraseña en cada nodo). Por ejemplo, el Agente de distribución para una suscripción de tipo push se ejecuta en el Distribuidor y realiza conexiones al Distribuidor y al Suscriptor. La cuenta de SQL Server para el Agente de distribución debe agregarse al distribuidor y al suscriptor.

  • Asegúrese de que un determinado agente (por ejemplo, el Agente de distribución de una suscripción) realiza conexiones con la misma cuenta en cada equipo.

  • En situaciones que requieren Autenticación de SQL Server, el acceso a recursos compartidos de instantáneas UNC normalmente no está disponible (por ejemplo, el acceso puede estar bloqueado por un firewall). En este caso, puede transferir la instantánea a los suscriptores a través del protocolo de transferencia de archivos (FTP). Para obtener más información, vea Transferir instantáneas mediante FTP.

Mejora de la posición de seguridad con la clave maestra de base de datos

Al usar la autenticación de SQL Server para la replicación, los secretos que se proporcionan al configurar la replicación se almacenan en SQL Server, en concreto, en la base de datos de distribución y, en las suscripciones de extracción, también en la base de datos de suscriptor.

Para mejorar el estado de seguridad de la replicación, antes de empezar a configurar la replicación:

• Cree una clave maestra de base de datos (DMK) en la base de datos de distribución del servidor que hospeda el distribuidor.
• Para las suscripciones de extracción, cree también una DMK en la base de datos del suscriptor.

Si la replicación se creó antes de la DMK, cree primero la DMK y, a continuación, actualice los secretos de replicación mediante la actualización de contraseñas para trabajos de replicación. Puede actualizar el trabajo con la misma contraseña o puede usar una contraseña nueva.

Para actualizar los secretos de replicación, use uno de los siguientes procedimientos almacenados pertinentes para actualizar las contraseñas de los trabajos de replicación:

• sp_changelogreader_agent
• sp_changesubscriber
• sp_changedistpublisher
• sp_changepublication_snapshot

La configuración de la replicación transaccional sin una DMK puede dar lugar a una advertencia 14130 de SQL Server en:

• Instancia Gestionada de Azure SQL
• SQL Server 2022 CU18 y versiones posteriores
• SQL Server 2019 CU31 y versiones posteriores

Contenido relacionado

• Habilitar conexiones cifradas en el motor de base de datos (Administrador de configuración de SQL Server)
• Replicación a través de Internet
• Proteger al suscriptor
• Proteger el distribuidor
• Proteger al publicador
• Ver y modificar la configuración de seguridad de la replicación