SQL Server的行级安全性详解

目录
  • 一、前言
  • 二、描述
  • 三、权限
  • 四、安全说明:侧信道攻击
  • 五、跨功能兼容性
  • 六、示例

一、前言

行级别安全性使您能够使用组成员身份或执行上下文来控制对数据库表中行的访问。

行级别安全性 (RLS) 简化了应用程序中的安全性设计和编码。RLS 可帮助您对数据行访问实施限制。例如,您可以确保工作人员仅访问与其部门相关的数据行。另一个示例是将客户的数据访问限制为仅与其公司相关的数据。

访问限制逻辑位于数据库层中,而不是远离另一个应用程序层中的数据。每次尝试从任何层访问数据时,数据库系统都会应用访问限制。这通过减少安全系统的表面积,使您的安全系统更加可靠和强大。

通过使用创建安全策略 Transact-SQL 语句和作为内联表值函数创建的谓词实现 RLS。

行级别安全性首次引入 SQL Server 2016 (13.x)。

二、描述

RLS 支持两种类型的安全谓词。

  • 筛选器谓词以静默方式筛选可用于读取操作(选择、更新和删除)的行。
  • 阻止谓词显式阻止违反谓词的写入操作(插入后、更新后、更新之前、删除之前)。

对表中行级数据的访问受定义为内联表值函数的安全谓词的限制。然后,安全策略调用和强制执行该函数。对于筛选器谓词,应用程序不知道从结果集中筛选的行。如果筛选了所有行,则将返回空集。对于块谓词,任何违反谓词的操作都将失败并显示错误。

从基表中读取数据时应用筛选器谓词。它们影响所有获取操作:选择、删除和更新。用户无法选择或删除已筛选的行。用户无法更新筛选的行。但是,可以更新行,以便以后对其进行筛选。块谓词会影响所有写入操作。

  • “插入后”和“更新后”谓词可以防止用户将行更新为违反谓词的值。
  • BEFORE UPDATE 谓词可以阻止用户更新当前违反谓词的行。
  • 在删除之前 谓词可以阻止删除操作。

筛选器和阻止谓词以及安全策略都具有以下行为:

  • 可以定义一个谓词函数,该函数与另一个表联接和/或调用函数。如果使用 (默认值) 创建安全策略,则可以从查询访问联接或函数,并按预期工作,而无需任何其他权限检查。如果使用 创建安全策略,则用户将需要对这些附加表和函数的 SELECT 权限才能查询目标表。如果谓词函数调用 CLR 标量值函数,则还需要 EXECUTE 权限。
  • 可以针对已定义但已禁用安全谓词的表发出查询。筛选或阻止的任何行不受影响。
  • 如果 dbo 用户、db_owner角色的成员或表所有者查询已定义并启用了安全策略的表,则会按照安全策略的定义过滤或阻止行。
  • 尝试更改由架构绑定安全策略绑定的表的架构将导致错误。但是,可以更改谓词未引用的列。
  • 尝试在已为指定操作定义谓词的表上添加谓词会导致错误。无论是否启用谓词,都会发生这种情况。
  • 尝试修改函数(用作架构绑定安全策略中的表的谓词)将导致错误。
  • 定义多个包含非重叠谓词的活动安全策略会成功。

筛选器谓词具有以下行为:

  • 定义用于筛选表中行的安全策略。应用程序不知道针对 SELECT、UPDATE 和 DELETE 操作筛选的任何行。包括筛选掉所有行的情况。应用程序可以插入行,即使它们将在任何其他操作期间被筛选。

块谓词具有以下行为:

  • UPDATE 的块谓词被拆分为 BEFORE 和 AFTER 的单独操作。例如,不能阻止用户将行更新为具有高于当前值的值。如果需要这种逻辑,则必须将触发器与 DELETE 和 INSERT 中间表一起使用,以同时引用旧值和新值。
  • 如果谓词函数使用的列未更改,优化程序将不会检查 AFTER UPDATE 块谓词。
  • 尚未对批量 API 进行任何更改,包括批量插入。这意味着块谓词 AFTER INSERT 将应用于批量插入操作,就像它们将常规插入操作一样。

三、权限

创建、更改或删除安全策略需要“更改任何安全策略”权限。创建或删除安全策略需要对架构具有 ALTER 权限。

此外,添加的每个谓词都需要以下权限:

  • 对用作谓词的函数的 SELECT 和 REFERENCE 权限。
  • 对绑定到策略的目标表的 REFERENCES 权限。
  • 对用作参数的目标表中的每一列的 REFERENCES 权限。

安全策略适用于所有用户,包括数据库中的 dbo 用户。Dbo 用户可以更改或删除安全策略,但可以审核他们对安全策略的更改。如果高特权用户(如 sysadmin 或 db_owner)需要查看所有行以排除故障或验证数据,则必须编写安全策略以允许这样做。

如果使用 创建安全策略,则要查询目标表,用户必须对谓词函数以及谓词函数中使用的任何其他表、视图或函数具有 SELECT 或 EXECUTE 权限。如果使用 (默认值) 创建安全策略,则当用户查询目标表时会绕过这些权限检查。

四、安全说明:侧信道攻击

(1)恶意安全策略管理器。

请务必注意,恶意安全策略管理器具有在敏感列上创建安全策略的足够权限,并有权创建或更改内联表值函数,但可以与对表具有选择权限的其他用户串通,通过恶意创建旨在使用侧通道攻击推断数据的内联表值函数来执行数据泄露。此类攻击需要串通(或授予恶意用户的过多权限),并且可能需要多次迭代修改策略(需要删除谓词的权限以破坏架构绑定)、修改内联表值函数以及在目标表上重复运行 select 语句。我们建议您根据需要限制权限,并监视任何可疑活动。应监视活动,例如不断更改的策略和与行级别安全性相关的内联表值函数。

(2)精心设计的查询。

通过使用利用错误的精心设计的查询,可能会导致信息泄露。

五、跨功能兼容性

  • 通常,行级别安全性将跨功能按预期工作。但是,也有一些例外。本节记录了将行级别安全性与 SQL Server 的某些其他功能结合使用的几个注意事项和注意事项。
  • DBCC SHOW_STATISTICS报告未过滤数据的统计信息,并可能泄露受安全策略保护的信息。因此,对查看具有行级别安全策略的表的统计信息对象的访问受到限制。用户必须拥有该表,或者用户必须是 sysadmin 固定服务器角色、db_owner固定数据库角色或db_ddladmin固定数据库角色的成员。
  • 文件流:RLS 与文件流不兼容。
  • 内存优化表:必须使用该选项定义用作内存优化表的安全谓词的内联表值函数。使用此选项,将禁止内存优化表不支持的语言功能,并在创建时发出相应的错误。
  • 索引视图:通常,可以在视图之上创建安全策略,也可以在受安全策略约束的表之上创建视图。但是,不能在具有安全策略的表之上创建索引视图,因为通过索引查找行将绕过该策略。
  • 变更数据捕获:变更数据捕获可能会泄漏应筛选为db_owner成员或为表启用 CDC 时指定的“控制”角色成员的用户(注意:您可以将此函数显式设置为 NULL,以使所有用户都能访问变更数据)。实际上,db_owner和此控制角色的成员可以查看表上的所有数据更改,即使表上有安全策略也是如此。
  • 更改跟踪:更改跟踪可能会将应筛选的行的主键泄露给同时具有“选择”和“查看更改跟踪”权限的用户。实际数据值不会泄露;只有 A 列被更新/插入/删除了带有 B 主键的行的事实。如果主密钥包含机密元素(如社会保险号),则会出现问题。然而,在实践中,这个CHANGETABLE几乎总是与原始表连接,以获得最新的数据。
  • 全文搜索:使用以下全文搜索和语义搜索函数的查询预计会降低性能,因为引入了额外的联接来应用行级安全性并避免泄漏应过滤的行的主键:CONTAINSTABLE、FREETEXTTABLE、semantickeyphrasetable、semanticsimilaritydetailstable、semanticsimilaritytable、semanticsimilaritytable。
  • 列存储索引:RLS 与聚集列存储索引和非聚集列存储索引兼容。但是,由于行级别安全性应用函数,因此优化程序可能会修改查询计划,使其不使用批处理模式。
  • 分区视图:不能在分区视图上定义块谓词,也不能在使用块谓词的表上创建分区视图。筛选器谓词与分区视图兼容。
  • 时态表:时态表与 RLS 兼容。但是,当前表上的安全谓词不会自动复制到历史记录表中。要将安全策略应用于当前表和历史记录表,必须在每个表上单独添加安全谓词。

六、示例

向数据库进行身份验证的用户的方案。创建三个用户,并创建并填充一个包含六行的表。然后,它为表创建一个内联表值函数和安全策略。然后,该示例演示如何为各种用户筛选 select 语句。

(1)创建三个将演示不同访问功能的用户帐户。

CREATE USER Manager WITHOUT LOGIN;
CREATE USER SalesRep1 WITHOUT LOGIN;
CREATE USER SalesRep2 WITHOUT LOGIN;
GO

(2)创建一个表来保存数据。

CREATE SCHEMA Sales
GO
CREATE TABLE Sales.Orders
    (
    OrderID int,
    SalesRep nvarchar(50),
    Product nvarchar(50),
    Quantity smallint
    );

(3)用六行数据填充表,显示每个销售代表的三个订单。

INSERT INTO Sales.Orders  VALUES (1, 'SalesRep1', 'Valve', 5);
INSERT INTO Sales.Orders  VALUES (2, 'SalesRep1', 'Wheel', 2);
INSERT INTO Sales.Orders  VALUES (3, 'SalesRep1', 'Valve', 4);
INSERT INTO Sales.Orders  VALUES (4, 'SalesRep2', 'Bracket', 2);
INSERT INTO Sales.Orders  VALUES (5, 'SalesRep2', 'Wheel', 5);
INSERT INTO Sales.Orders  VALUES (6, 'SalesRep2', 'Seat', 5);
-- View the 6 rows in the table
SELECT * FROM Sales.Orders;

(4)向每个用户授予对表的读取访问权限。

GRANT SELECT ON Sales.Orders TO Manager;
GRANT SELECT ON Sales.Orders TO SalesRep1;
GRANT SELECT ON Sales.Orders TO SalesRep2;
GO

(5)创建新架构和内联表值函数。当列中的行与执行查询的用户 相同或执行查询的用户是经理用户时,该函数返回。此用户定义的表值函数示例可用于用作下一步中创建的安全策略的筛选器。

CREATE SCHEMA Security;
GO

CREATE FUNCTION Security.tvf_securitypredicate(@SalesRep AS nvarchar(50))
    RETURNS TABLE
WITH SCHEMABINDING
AS
    RETURN SELECT 1 AS tvf_securitypredicate_result
WHERE @SalesRep = USER_NAME() OR USER_NAME() = 'Manager';
GO

(6)创建将函数添加为筛选器谓词的安全策略。必须将状态设置为ON才能启用策略。

CREATE SECURITY POLICY SalesFilter
ADD FILTER PREDICATE Security.tvf_securitypredicate(SalesRep)
ON Sales.Orders
WITH (STATE = ON);
GO

(7)允许对函数的 SELECT 权限。

GRANT SELECT ON Security.tvf_securitypredicate TO Manager;
GRANT SELECT ON Security.tvf_securitypredicate TO SalesRep1;
GRANT SELECT ON Security.tvf_securitypredicate TO SalesRep2;

(8)更改安全策略以禁用该策略。

ALTER SECURITY POLICY SalesFilter
WITH (STATE = OFF);

(9)连接到 SQL 数据库清理练习资源。

DROP USER SalesRep1;
DROP USER SalesRep2;
DROP USER Manager;

DROP SECURITY POLICY SalesFilter;
DROP TABLE Sales.Orders;
DROP FUNCTION Security.tvf_securitypredicate;
DROP SCHEMA Security;
DROP SCHEMA Sales;

到此这篇关于SQL Server的行级安全性详解的文章就介绍到这了,更多相关SQL Server行级安全性内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • SqlServer服务中利用触发器对指定账户进行登录ip限制提升安全性操作

    转眼间上次写文章已经是 2022年12月15日的事情啦,本来从2022年7月份开始写作之后保持着每周一篇,然而从12月15日后断更了这么久,经历了,隔离.阳.过年.从今天开始继续坚持写作,本片文章给大家分享 SqlServer服务中利用触发器对指定账户进行登录ip限制从而提升账户的安全性,这样可以灵活的限制每个账户的允许登录IP,类似于 PostgreSQL 中 pg_hba.conf 配置文件的功能,MySQL 则是在创建账户时可以配置账户允许登录IP,下面记录一下 SQLServer 如何实

  • SQL Server的执行计划

    目录 一.背景 二.显示和保存执行计划 三.显示估计的执行计划 四.显示实际执行计划 五.以 XML 格式保存执行计划 六.比较和分析执行计划 6.1.比较执行计划 6.2.分析实际执行计划 总结 一.背景 为了能够执行查询,SQL Server 数据库引擎必须分析该语句,以确定访问所需数据的最有效方法.此分析由称为查询优化器的组件处理.查询优化器的输入由查询.数据库架构(表和索引定义)和数据库统计信息组成.查询优化器的输出是查询执行计划,有时称为查询计划或执行计划. 查询执行计划是以下内容的定

  • SQL Server的子查询详解

    目录 一.子查询基础知识 二.子查询规则 三.限定子查询中的列名 四.子查询的多层嵌套 五.相关子查询 六.子查询类型 总结 一.子查询基础知识 子查询是嵌套在SELECT.INSERT.UPDATE.DELETE语句中或另一个子查询中的查询.可以在允许表达式的任何位置使用子查询. 示例: USE AdventureWorks2016; GO SELECT Ord.SalesOrderID, Ord.OrderDate, (SELECT MAX(OrdDet.UnitPrice) FROM Sa

  • SQL Server口令 sql server安全性第1/2页

    如果你细心跟踪一下SQL Server数据库服务器的登录过程,你会发现口令计算其实是非常脆弱的,SQL Server数据库的口令脆弱体现两方面:1.网络登陆时候的口令加密算法 2.数据库存储的口令加密算法. 下面就分别讲述:  1.网络登陆时候的口令加密算法  SQL Server网络加密的口令一直都非常脆弱,网上有很多写出来的对照表,但是都没有具体的算法处理,实际上跟踪一下SQL Server的登陆过程,就很容易获取其解密的算法:好吧,我们还是演示一下汇编流程: 登录类型的TDS包跳转到412

  • SQL Server的行级安全性详解

    目录 一.前言 二.描述 三.权限 四.安全说明:侧信道攻击 五.跨功能兼容性 六.示例 一.前言 行级别安全性使您能够使用组成员身份或执行上下文来控制对数据库表中行的访问. 行级别安全性 (RLS) 简化了应用程序中的安全性设计和编码.RLS 可帮助您对数据行访问实施限制.例如,您可以确保工作人员仅访问与其部门相关的数据行.另一个示例是将客户的数据访问限制为仅与其公司相关的数据. 访问限制逻辑位于数据库层中,而不是远离另一个应用程序层中的数据.每次尝试从任何层访问数据时,数据库系统都会应用访问

  • SQL Server 2012 FileTable 新特性详解

    FileTable是基于FILESTREAM的一个特性.有以下一些功能: •一行表示一个文件或者目录. •每行包含以下信息: • •file_Stream流数据,stream_id标示符(GUID). •用户表示和维护文件及目录层次关系的path_locator和parent_path_locator •有10个文件属性 •支持对文件和文档的全文搜索和语义搜索的类型列. •filetable强制执行某些系统定义的约束和触发器来维护命名空间的语义 •针对非事务访问时,SQL Server配置FIL

  • sql server 交集,差集的用法详解

    概述 为什么使用集合运算: 在集合运算中比联接查询和EXISTS/NOT EXISTS更方便. 并集运算(UNION) 并集:两个集合的并集是一个包含集合A和B中所有元素的集合. 在T-SQL中.UNION集合运算可以将两个输入查询的结果组合成一个结果集.需要注意的是:如果一个行在任何一个输入集合中出现,它也会在UNION运算的结果中出现.T-SQL支持以下两种选项: (1)UNION ALL:不会删除重复行 -- union allselect country, region, city fr

  • SQL Server实现全文搜索查询详解

    目录 一.概述 二.全文搜索查询 三.将全文搜索查询与 LIKE 谓词进行比较 四.全文搜索体系结构 4.1.SQL Server 进程 4.2.过滤器守护程序主机进程 五.全文搜索处理 5.1.全文索引过程 5.2.全文查询流程 六.全文索引体系结构 6.1.全文索引结构 6.2.全文索引片段 6.3.全文索引和常规 SQL Server 索引之间的差异 总结 一.概述 全文索引在表中包括一个或多个基于字符的列.这些列可以具有以下任何数据类型:char.varchar.nchar.nvarch

  • SQL Server批量插入数据案例详解

    在SQL Server 中插入一条数据使用Insert语句,但是如果想要批量插入一堆数据的话,循环使用Insert不仅效率低,而且会导致SQL一系统性能问题.下面介绍SQL Server支持的两种批量数据插入方法:Bulk和表值参数(Table-Valued Parameters),高效插入数据. 新建数据库: --Create DataBase create database BulkTestDB; go use BulkTestDB; go --Create Table Create tab

  • SQL Server中索引的用法详解

    目录 一.索引的介绍 什么是索引? 1.聚集索引和非聚集索引 2.索引的利弊 3.索引的存储机制 二.设置索引的权衡 1.什么情况下设置索引 2.什么情况下不要设置索引 三.聚集索引 1.使用SSMS创建聚集索引 2.使用T-SQL创建聚集索引 四.非聚集索引 1.SSMS创建方法同上,T-SQL创建方法如下: 2.添加索引选项 五.示例 六.管理索引 一.索引的介绍 什么是索引? 索引是一种磁盘上的数据结构,建立在表或视图的基础上.使用索引可以使数据的获取更快更高校,也会影响其他的一些性能,如

  • sql server 自定义分割月功能详解及实现代码

    在最近的项目开发过程中,遇到了Sql server自动分割月的功能需求,这里在网上整理下资料. 1.为何出现自定义分割月的需求 今天梳理一个平台的所有函数时,发现了一个自定义分割月函数,也就是指定分割月的开始日索引值(可以从1-31闭区间内的任何一个值)来获取指定日期所对应的分割月数值.这个函数当时是为了解决业务部门获取非标准月(标准月就是从每个月的第一天到最后一天组成一个完成的标准月份)的统计汇总数据的.例如:如果指定分割月的开始日索引值为5则表示某个月的5号到下个月的4号之间作为一个完整的分

  • SQL Server时间戳功能与用法详解

    本文实例讲述了SQL Server时间戳功能与用法.分享给大家供大家参考,具体如下: 一直对时间戳这个概念比较模糊,相信有很多朋友也都会误认为:时间戳是一个时间字段,每次增加数据时,填入当前的时间值.其实这误导了很多朋友. 1.基本概念 时间戳:数据库中自动生成的唯一二进制数字,与时间和日期无关的, 通常用作给表行加版本戳的机制.存储大小为 8个字节. 每个数据库都有一个计数器,当对数据库中包含 timestamp 列的表执行插入或更新操作时,该计数器值就会增加.该计数器是数据库时间戳.这 可以

  • SQL Server UPDATE语句的用法详解

    SQL Server UPDATE语句用于更新数据,下面就为您详细介绍SQL Server UPDATE语句语法方面的知识,希望可以让您对SQL Server UPDATE语句有更多的了解. 现实应用中数据库中的数据改动是免不了的.通常,几乎所有的用户数据库中的大部分数据都要进行某种程度的修改.在SQL Server数据库中要想修改数据库记录,就需要用UPDATE语句,UPDATE语句就是为了改变数据库中的现存数据而存在的.这条语句虽然有一些复杂的选项,但确实是最容易学习的语句之一.这是因为在大

  • SQL SERVER 2000安装教程图文详解

    注意:Windows XP不能装企业版.win2000\win2003服务器安装企业版一.硬件和操作系统要求 下表说明安装 Microsoft SQL Server 2000 或 SQL Server 客户端管理工具和库的硬件要求. 硬件 最低要求计算机 Pentium 166 MHz 或更高. 内存 (RAM)至少 64 MB,建议 128 MB 或更多.根据笔者的经验,内存容量可以和数据容量保持1:1的比例,这样可以更好的发挥其效能.硬盘空间需要约500MB的程序空间,以及预留500M的数据

随机推荐