SQL Server只读连接：你的数据库安全守护神

SQL Server只读连接：你的数据库安全守护神

引用

亚马逊官方网站

等

8

来源

1.

https://docs.aws.amazon.com/zh_cn/AmazonRDS/latest/UserGuide/SQLServer.ReadReplicas.html

2.

https://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/configure-read-only-routing-in-an-always-on-availability-group-in-sql-server-on-aws.html

3.

https://learn.microsoft.com/zh-cn/sql/relational-databases/security/sql-server-security-best-practices?view=sql-server-ver16

4.

https://learn.microsoft.com/zh-cn/sql/relational-databases/security/securing-sql-server?view=sql-server-ver16

5.

https://help.aliyun.com/zh/rds/apsaradb-rds-for-sql-server/create-a-read-only-apsaradb-rds-for-sql-server-instance

6.

https://architect.pub/book/export/html/614

7.

https://open.alitrip.com/docs/doc.htm?treeId=612&articleId=114011&docType=1

8.

https://help.aliyun.com/zh/rds/apsaradb-rds-for-sql-server/read-only-instances-and-read-write-splitting/

在当今数字化时代，数据安全已成为企业发展的生命线。随着数据泄露事件频发，如何保护敏感信息不被篡改或删除，成为企业IT部门面临的重大挑战。SQL Server作为主流的关系型数据库管理系统，提供了多种安全防护机制，其中"只读连接"功能堪称数据安全的守护神。

SQL Server的安全防护体系是一个多层次、全方位的架构，主要包括以下几个方面：

列级别保护

组织通常需要在列级别保护数据，特别是涉及客户、员工、商业秘密、产品数据、医疗保健、财务等敏感信息。通过使用Always Encrypted对静态数据和传输中的数据进行加密，可以有效保护这些敏感数据。此外，还可以使用动态数据掩码(DDM)在列级别对数据进行模糊处理，但建议优先使用Always Encrypted。

行级别保护

行级别安全性(RLS)允许通过用户执行上下文控制对数据库表中行的访问。通过在表值函数中封装业务逻辑，并使用安全策略控制RLS功能的开启和关闭，可以确保用户只能看到与其相关的记录。对于通过应用程序用户共享同一个SQL Server用户帐户的中间层应用程序，可以使用SESSION_CONTEXT(T-SQL)。

文件加密

透明数据加密(TDE)通过为数据库文件提供静态加密，在文件级别保护数据。TDE可确保在没有正确证书的情况下无法附加和读取数据库文件、备份文件和tempdb文件。TDE加密利用存储在用户数据库中的数据库加密密钥(DEK)，并可以使用受master数据库的数据库主密钥保护的证书来保护DEK。

审核和报告

通过在服务器级别或数据库级别创建审核策略，可以实现对SQL Server的全面审计。服务器策略将应用到服务器上的所有现有数据库和新建数据库。重要的是要审核包含敏感数据的表和列，特别是那些由于应用程序或体系结构限制而无法应用所需安全措施的表。

标识和身份验证

SQL Server支持Windows身份验证模式和混合模式。推荐使用Active Directory进行身份验证，并遵循最小权限原则，通过角色分配权限。在Azure环境中，可以利用基于角色的访问控制(RBAC)来实现最小权限安全性。

应用程序安全性

编写安全的客户端应用程序是SQL Server安全性的重要组成部分。同时，可以使用Windows Defender应用程序控制(WDAC)来防止未经授权的代码执行，降低基于可执行文件的恶意软件威胁。

在SQL Server中，实现只读连接主要有两种方式：一种是通过连接字符串参数实现，适用于AlwaysOn可用性组环境；另一种是通过数据库用户权限控制，适用于普通环境。

方法1：通过连接字符串参数实现（适用于AlwaysOn环境）

如果数据库部署在AlwaysOn可用性组中，可以通过在连接字符串中添加参数来指定只读意图：

Data Source=AG侦听器名称;Initial Catalog=数据库名;Integrated Security=SSPI;ApplicationIntent=ReadOnly;MultiSubNetFailover=True

其中，ApplicationIntent=ReadOnly明确声明连接为只读意图，而MultiSubnetFailover=True确保在AlwaysOn多子网环境中的快速故障转移。

同时，需要在数据库端配置只读路由，确保请求定向到可读辅助副本：

ALTER AVAILABILITY GROUP [GroupName]
MODIFY REPLICA ON N'ReplicaName' WITH 
(SECONDARY_ROLE (ALLOW_CONNECTIONS = READ_ONLY, READ_ONLY_ROUTING_URL = N'TCP://ReplicaServer:1433'));

方法2：通过数据库用户权限控制（通用方法）

在普通环境中，可以通过创建具有只读权限的数据库用户来实现：

1. 创建只读用户并分配db_datareader角色：

USE [master]
CREATE LOGIN [ReadOnlyUser] WITH PASSWORD = 'YourPassword';
USE [YourDatabase]
CREATE USER [ReadOnlyUser] FOR LOGIN [ReadOnlyUser];
EXEC sp_addrolemember 'db_datareader', 'ReadOnlyUser';

2. 在连接字符串中使用只读用户的凭据：

Data Source=ServerName;Initial Catalog=YourDatabase;User ID=ReadOnlyUser;Password=YourPassword;

以阿里云RDS SQL Server为例，当面临数据库读取压力大幅增加时，可以通过创建一个或多个只读实例来扩展读取能力。RDS SQL Server基于源生AlwaysOn技术，通过物理复制方式复制主实例生成只读实例，只读实例数据与主实例保持一致，并且主实例的数据更新也会自动同步到所有只读实例中。

创建只读实例的主要步骤包括：

1. 选择地域并单击目标实例ID
2. 在"实例分布"区域的"只读实例"右侧单击"添加"
3. 配置基础资源（计费方式、存储类型、可用区等）
4. 配置实例资源（网络类型、交换机、资源组等）
5. 确认订单并完成支付

需要注意的是，只读实例的存储空间不能低于主实例，且创建只读实例所需的时间与主实例的数据量和IO性能成正相关。此外，只读实例不支持数据迁移、创建和删除数据库、创建和删除账号等功能。

在数据安全日益重要的今天，SQL Server的只读连接功能为企业提供了一个简单而有效的数据保护手段。通过设置只读连接，可以确保用户只能查询和读取数据，无法进行修改操作，从而有效防止数据被意外或恶意更改。无论是用于读取复制的数据库、向外部用户提供只读权限，还是在开发阶段避免误操作，SQL Server的只读连接都是企业不可或缺的数据安全守护神。