-
SQL Server的行级安全性详解
目录一、前言二、描述三、权限四、安全说明:侧信道攻击五、跨功能兼容性六、示例一、前言行级别安全性使您能够使用组成员身份或执行上下文来控制对数据库表中行的访问。行级别安全性 (RLS) 简化了应用程序中的安全性设计和编码。RLS 可帮助您对数据行访问实施限制。例如,您可以确保工作人员仅访问与其部门相关的数据行。另一个示例是将客户的数据访问限制为仅与其公司相关的数据。访问限制逻辑位于数据库层中,而不是远离另一个应用程序层中的数据。每次尝试从任何层访问数据时,数据库系统都会应用访问限制。这通过减少安全系统的表面积,使您的安全系统更加可靠和强大。通过使用创建安全策略 Transact-SQL 语句和作为内联表值函数创建的谓词实现 RLS。行级别安全性首次引入 SQL Server 2016 (13.x)。二、描述RLS 支持两种类型的安全谓词。筛选器谓词以静默方式筛选可用于读取操作(选择、更新和删除)的行。阻止谓词显式阻止违反谓词的写入操作(插入后、更新后、更新之前、删除之前)。对表中行级数据的访问受定义为内联表值函数的安全谓词的限制。然后,安全策略调用和强制执行该函数。对于筛选器谓词,应用程序不知道从结果集中筛选的行。如果筛选了所有行,则将返回空集。对于块谓词,任何违反谓词的操作都将失败并显示错误。从基表中读取数据时应用筛选器谓词。它们影响所有获取操作:选择、删除和更新。用户无法选择或删除已筛选的行。用户无法更新筛选的行。但是,可以更新行,以便以后对其进行筛选。块谓词会影响所有写入操作。“插入后”和“更新后”谓词可以防止用户将行更新为违反谓词的值。BEFORE UPDATE 谓词可以阻止用户更新当前违反谓词的行。在删除之前 谓词可以阻止删除操作。筛选器和阻止谓词以及安全策略都具有以下行为:可以定义一个谓词函数,该函数与另一个表联接和/或调用函数。如果使用 (默认值) 创建安全策略,则可以从查询访问联接或函数,并按预期工作,而无需任何其他权限检查。如果使用 创建安全策略,则用户将需要对这些附加表和函数的 SELECT 权限才能查询目标表。如果谓词函数调用 CLR 标量值函数,则还需要 EXECUTE 权限。可以针对已定义但已禁用安全谓词的表发出查询。筛选或阻止的任何行不受影响。如果 dbo 用户、db_owner角色的成员或表所有者查询已定义并启用了安全策略的表,则会按照安全策略的定义过滤或阻止行。尝试更改由架构绑定安全策略绑定的表的架构将导致错误。但是,可以更改谓词未引用的列。尝试在已为指定操作定义谓词的表上添加谓词会导致错误。无论是否启用谓词,都会发生这种情况。尝试修改函数(用作架构绑定安全策略中的表的谓词)将导致错误。定义多个包含非重叠谓词的活动安全策略会成功。筛选器谓词具有以下行为:定义用于筛选表中行的安全策略。应用程序不知道针对 SELECT、UPDATE 和 DELETE 操作筛选的任何行。包括筛选掉所有行的情况。应用程序可以插入行,即使它们将在任何其他操作期间被筛选。块谓词具有以下行为:UPDATE 的块谓词被拆分为 BEFORE 和 AFTER 的单独操作。例如,不能阻止用户将行更新为具有高于当前值的值。如果需要这种逻辑,则必须将触发器与 DELETE 和 INSERT 中间表一起使用,以同时引用旧值和新值。如果谓词函数使用的列未更改,优化程序将不会检查 AFTER UPDATE 块谓词。尚未对批量 API 进行任何更改,包括批量插入。这意味着块谓词 AFTER INSERT 将应用于批量插入操作,就像它们将常规插入操作一样。三、权限创建、更改或删除安全策略需要“更改任何安全策略”权限。创建或删除安全策略需要对架构具有 ALTER 权限。此外,添加的每个谓词都需要以下权限:对用作谓词的函数的 SELECT 和 REFERENCE 权限。对绑定到策略的目标表的 REFERENCES 权限。对用作参数的目标表中的每一列的 REFERENCES 权限。安全策略适用于所有用户,包括数据库中的 dbo 用户。Dbo 用户可以更改或删除安全策略,但可以审核他们对安全策略的更改。如果高特权用户(如 sysadmin 或 db_owner)需要查看所有行以排除故障或验证数据,则必须编写安全策略以允许这样做。如果使用 创建安全策略,则要查询目标表,用户必须对谓词函数以及谓词函数中使用的任何其他表、视图或函数具有 SELECT 或 EXECUTE 权限。如果使用 (默认值) 创建安全策略,则当用户查询目标表时会绕过这些权限检查。四、安全说明:侧信道攻击(1)恶意安全策略管理器。请务必注意,恶意安全策略管理器具有在敏感列上创建安全策略的足够权限,并有权创建或更改内联表值函数,但可以与对表具有选择权限的其他用户串通,通过恶意创建旨在使用侧通道攻击推断数据的内联表值函数来执行数据泄露。此类攻击需要串通(或授予恶意用户的过多权限),并且可能需要多次迭代修改策略(需要删除谓词的权限以破坏架构绑定)、修改内联表值函数以及在目标表上重复运行 select 语句。我们建议您根据需要限制权限,并监视任何可疑活动。应监视活动,例如不断更改的策略和与行级别安全性相关的内联表值函数。(2)精心设计的查询。通过使用利用错误的精心设计的查询,可能会导致信息泄露。五、跨功能兼容性通常,行级别安全性将跨功能按预期工作。但是,也有一些例外。本节记录了将行级别安全性与 SQL Server 的某些其他功能结合使用的几个注意事项和注意事项。DBCC SHOW_STATISTICS报告未过滤数据的统计信息,并可能泄露受安全策略保护的信息。因此,对查看具有行级别安全策略的表的统计信息对象的访问受到限制。用户必须拥有该表,或者用户必须是 sysadmin 固定服务器角色、db_owner固定数据库角色或db_ddladmin固定数据库角色的成员。文件流:RLS 与文件流不兼容。内存优化表:必须使用该选项定义用作内存优化表的安全谓词的内联表值函数。使用此选项,将禁止内存优化表不支持的语言功能,并在创建时发出相应的错误。索引视图:通常,可以在视图之上创建安全策略,也可以在受安全策略约束的表之上创建视图。但是,不能在具有安全策略的表之上创建索引视图,因为通过索引查找行将绕过该策略。变更数据捕获:变更数据捕获可能会泄漏应筛选为db_owner成员或为表启用 CDC 时指定的“控制”角色成员的用户(注意:您可以将此函数显式设置为 NULL,以使所有用户都能访问变更数据)。实际上,db_owner和此控制角色的成员可以查看表上的所有数据更改,即使表上有安全策略也是如此。更改跟踪:更改跟踪可能会将应筛选的行的主键泄露给同时具有“选择”和“查看更改跟踪”权限的用户。实际数据值不会泄露;只有 A 列被更新/插入/删除了带有 B 主键的行的事实。如果主密钥包含机密元素(如社会保险号),则会出现问题。然而,在实践中,这个CHANGETABLE几乎总是与原始表连接,以获得最新的数据。全文搜索:使用以下全文搜索和语义搜索函数的查询预计会降低性能,因为引入了额外的联接来应用行级安全性并避免泄漏应过滤的行的主键:CONTAINSTABLE、FREETEXTTABLE、semantickeyphrasetable、semanticsimilaritydetailstable、semanticsimilaritytable、semanticsimilaritytable。列存储索引:RLS 与聚集列存储索引和非聚集列存储索引兼容。但是,由于行级别安全性应用函数,因此优化程序可能会修改查询计划,使其不使用批处理模式。分区视图:不能在分区视图上定义块谓词,也不能在使用块谓词的表上创建分区视图。筛选器谓词与分区视图兼容。时态表:时态表与 RLS 兼容。但是,当前表上的安全谓词不会自动复制到历史记录表中。要将安全策略应用于当前表和历史记录表,必须在每个表上单独添加安全谓词。六、示例向数据库进行身份验证的用户的方案。创建三个用户,并创建并填充一个包含六行的表。然后,它为表创建一个内联表值函数和安全策略。然后,该示例演示如何为各种用户筛选 select 语句。(1)创建三个将演示不同访问功能的用户帐户。CREATE USER Manager WITHOUT LOGIN;CREATE USER SalesRep1 WITHOUT LOGIN;CREATE USER SalesRep2 WITHOUT LOGIN;GO(2)创建一个表来保存数据。CREATE SCHEMA SalesGOCREATE TABLE Sales...
数据库操作教程 2023-05-12 12:11:21 -
SQL Server的执行计划
目录一、背景二、显示和保存执行计划三、显示估计的执行计划四、显示实际执行计划五、以 XML 格式保存执行计划六、比较和分析执行计划6.1、比较执行计划6...
数据库操作教程 2023-05-12 12:11:18 -
-
SQL Server的子查询详解
目录一、子查询基础知识二、子查询规则三、限定子查询中的列名四、子查询的多层嵌套五、相关子查询六、子查询类型总结一、子查询基础知识子查询是嵌套在SELECT、INSERT、UPDATE、DELETE语句中或另一个子查询中的查询。可以在允许表达式的任何位置使用子查询。示例:USE AdventureWorks2016;GOSELECT Ord.SalesOrderID, Ord...
数据库操作教程 2023-05-12 12:11:06 -
-
推特新任CEO人选浮出水面:拥有丰富的广告业务经验
5月12日消息,据《华尔街日报》援引知情人士透露,美国娱乐与传媒公司NBC环球(NBCUniversal)广告主管琳达·雅卡里诺(Linda Yaccarino),正在就出任推特新任首席执行官一事进行谈判。琳达·雅卡里诺(Linda Yaccarino) 资料图资料显示,雅卡里诺是NBC环球全球广告和合作伙伴关系主管,已经在该公司工作了十多年,始终致力于寻找更好的方法来衡量广告的有效性。作为NBC环球的广告销售主管,雅卡里诺在该公司推出广告支持的流媒体服务Peacock方面发挥了关键作用。推特现任首席执行官埃隆·马斯克(Elon Musk)周四在推特上宣布,他已经聘请了一位新首席执行官,但没有透露对方身份,只说“她将在6周后开始工作” !截自社交媒体自去年10月收购特斯拉以来,马斯克始终担任该公司的首席执行官。新任首席执行官到位后,马斯克将转变为执行主席兼首席技术官,专注于监督产品和软件。在完成440亿美元收购交易后,马斯克解雇了推特多位高管,包括首席执行官帕拉格·阿格拉瓦尔(Parag Agrawal)、总法律顾问和首席财务官。在短短六个多月的时间里,马斯克迅速对推特进行了全面改革,进行了大规模裁员,并迅速推出了在产品和内容审核方面的改变,包括改变验证系统,使其成为升级后订阅服务的一部分。去年11月,同时担任特斯拉首席执行官的马斯克表示,在收购推特后,他有“太多工作”要做。随后,马斯克提出了任命某人接管社交媒体平台日常管理的想法。去年12月,他在推特上发起了民意调查,大多数投票者认为他应该辞去推特首席执行官一职。今年2月,马斯克表示可能会在年底前找到推特的新首席执行官。他曾以开玩笑的方式问道:如果他离开,谁来管理推特?他还表示,一旦他找到“愚蠢到愿意接受这份工作的人”,他就会辞职。在上个月接受采访时,马斯克说自己不再是推特的首席执行官,从严格意义上来说,他的狗弗洛基(Floki)在担任这个职位。他说,当时他还没有想到谁会接掌推特。马斯克说过,他不喜欢当任何人的老板,也不想当经理。2021年在特拉华州威尔明顿的一场审判中,他自曝也不喜欢担任特斯拉的首席执行官。“我非常讨厌它,我更愿意把时间花在设计和工程上,这是我本质上最喜欢做的事情,”他说。美股周四,特斯拉收涨2.10%。盘后交易上涨1...
业界动态 2023-05-12 08:24:46 -
传京东CFO许冉将接替徐雷,出任京东CEO
(原标题:独家|京东CFO许冉将出任京东CEO)《科创板日报》11日讯,《科创板日报》记者独家获悉,京东CFO许冉将接替徐雷,出任京东CEO。据了解,许冉于2018年7月加入京东,任职财务副总裁,并于2020年1月晋升为高级副总裁,自2020年6月起担任京东首席财务官...
互联网 2023-05-11 17:40:15 -
谷歌升级FindMyDevice:扩展类别、数亿台安卓设备构建追踪网络
IT之家5月11日消息,谷歌效仿苹果和Tile的定位追踪解决方案,在I/O2023开发者大会上宣布升级FindMyDevice平台。谷歌的SameerSamat宣布,FindMyDevice平台在“未来几个月内”支持追踪耳机、平板电脑和其他产品类别...
手机互联 2023-05-11 10:12:21 -
爱奇艺CEO龚宇:长视频的核心价值依然是内容
5月10日消息,2023爱奇艺世界·大会上,爱奇艺创始人、CEO龚宇,爱奇艺首席内容官兼专业内容业务群(PCG)总裁王晓晖,主管营销的爱奇艺高级副总裁吴刚分别做主题演讲,同时发布了270多部优质内容片单。爱奇艺创始人、CEO龚宇在开幕式现场介绍了爱奇艺的内容基本架构、三大发展基石、两大突出能力,他认为这些既是爱奇艺在降本增效和精细化运营实践中的经验总结,也是未来开拓的着力重心...
互联网 2023-05-10 17:39:39 -
淘天集团CEO戴珊:淘宝将以历史级巨大投入,为商家做大用户规模
5月10日消息,在淘宝天猫618商家大会上,新组建的淘天集团首次公开亮相。淘天集团首席执行官戴珊表示,在生成式AI等科技变革和消费行为习惯变迁的时代大背景下,“新生变革”、自我变革不是选择题而是必答题...
互联网 2023-05-10 16:04:58 -
专访图灵人工智能研究院CEO李强:未来合规与数据安全将是国产AI大模型行业应用核心竞争力
出品|网易科技作者|赵芙瑶编辑|丁广胜当我们在谈论ChatGPT时,我们在谈论什么?时间进入到2023年5月,ChatGPT所引起的风暴还在持续发酵。从其令人震惊的多模态能力、到国产大模型开启“百模大战”、类ChatGPT产品如雨后春笋般涌现,ChatGPT的上下游产业以难以想象的速度进化着...
智能设备 2023-05-10 11:29:42 -
运行Win11更顺畅了,DuoWoA项目为SurfaceDuo手机发布驱动更新
IT之家5月10日消息,开发者GustaveMonce近日更新DuoWoA项目,为SurfaceDuo手机发布了2305.25驱动版本更新,让这款双屏手机更顺畅地运行Win11系统。本次驱动版本更新主要提高了GPU驱动和图形堆栈的稳定性,改进了后台性能,修复了亮度问题,从而带来更优秀的使用体验...
智能设备 2023-05-10 10:49:03
