我有几台备份到 Data Domain 的服务器。这可以通过 UNC 路径访问,即\\datadomain\SqlBackups\似乎所做的就是我们通过防火墙规则授予 SQL Server 对数据服务器的访问权限,并且我们授予 SQL DB 服务帐户对 SqlBackups 文件夹的完全访问权限。
服务器配置为将Y:\驱动器映射到此位置,以便备份转到Y:\<InstanceName>\<DatabaseName>。
这一直有效,直到驱动器映射发生问题。例如,有时在重新启动时映射会丢失,因此备份会失败。
我只想备份到我测试过的 UNC 路径,它可以正常工作。然而,有人告诉我这有安全隐患,一些关于使 UNC 路径对潜在黑客可见的东西......这对我来说没有意义,因为你可以很容易地找到映射驱动器指向的位置。
任何人都可以从 SQL Server/Windows Server 安全的角度阐明这一点吗?备份 UNC 路径有什么不好?
我们有很多 SQL Server VM,我们发现最好通过 Windows 共享将数据库备份到一个集中位置并保持我们的 VM 苗条。然而,我们一直在备份管理 Windows $ 共享——我还没有看到任何管理员关闭——尽管它可以完成。
至于你的问题:通常你映射一个驱动器只是为了方便,因为你想要或提供预期的好处,但你仍然必须将它映射到 UNC 名称。进出映射驱动器的网络数据包仍将包含 UNC 信息。该信息不会被混淆,因为您将其映射到驱动器号。实际上,具有映射驱动器的系统更容易受到像 Cryptolocker 这样的木马的攻击!
如果存在合法的数据黑客问题,只需打开备份加密——知道它会增加一些 CPU 周期(以及获取、管理和维护证书的新任务)。我们的网络相当安全,因此我们目前没有加密我们的备份——但那一天可能会早日到来。此外,听起来问题需要重新定向到数据域的所有者和创建者,因为这是共享所在的位置并且存在大部分风险(更不用说 UNC 共享名称了)。
如果当权者想知道 UNC 黑客攻击,我会开始问这样的问题:
1.> “我们的网络是否有被黑客入侵的危险,或者我们已经被黑客入侵了?您对这种情况的信心水平是多少?”
2.> “服务器备份目前正在加密吗?”
3.>“是否关闭了 Windows admin/$ UNC 共享?”
4.> “证书是否可以随时用于加密——我们应该走那条路吗?”
5.> “我们是否有可以依赖的公司证书政策,以便从可靠来源获取证书?”
6.> 和我个人最喜欢的,“我需要隔离我的 SQL Server 吗?”