¡Hola, chicos!
En este artículo me gustaría compartir contigo un proyecto que vengo desarrollando desde noviembre de 2018 y hoy cuenta con más de 4,500 líneas de código, que es un Checklist de Seguridad muy completo (probablemente el más completo y completo que encontrarás en Internet), con más de 70 elementos de Seguridad para validar tu base de datos, incluyendo configuraciones y parámetros, permisos, objetos de programación ¡y mucho más!

Después de ver tantas empresas, desarrolladores (y a veces los propios DBA) descuidar el aspecto de seguridad, donde vemos entornos en los que la aplicación utiliza el usuario “sa”, encontramos miles de intentos de conexión con contraseñas incorrectas y nadie hace nada, entornos SIN BACKUP y muchos otros absurdos, decidimos crear una manera muy práctica y fácil de tener rápidamente una visión general de cómo está la seguridad de la instancia, en un formato amigable y con información técnica al mismo tiempo, y que permite exportar fácilmente a Excel y demostrar los diversos problemas al cliente. encontrados, el impacto que puede tener en el medio ambiente y cómo solucionarlo.

Descubra la solución definitiva a la gran mayoría de sus problemas de seguridad de SQL Server en este artículo.

Los resultados del análisis se organizan de la siguiente manera:

  • Código: Solo un número único para que sea más fácil identificar el elemento de verificación, incluso cuando publique la versión en inglés (¡spoiler!)
  • Categoría: Una forma de agrupar los cheques según una categoría lógica que imaginé para estas validaciones.
  • Qué se comprueba: Comprobar título, que es un resumen de lo que este elemento está validando en la base de datos.
  • Evaluación: Es el resultado de la validación. Informa si el ítem pasó la validación (OK), si es solo un ítem informativo o si se ha identificado un POSIBLE problema
  • Descripción del problema: Una breve explicación de por qué se está verificando este elemento y qué riesgo de seguridad puede representar para nosotros.
  • Detalles de verificación: Detalles más técnicos y específicos de lo que se está verificando en la instancia.
  • Sugerencia de corrección: Alguna orientación sobre cómo corregir o solucionar el posible problema identificado por el procedimiento almacenado
  • Resultados de la validación: XML que devuelve los registros que provocaron que fallara la validación y los artefactos identificados (algunos elementos se limitan a registros TOP(N), ya que pueden haber muchos registros devueltos en el XML)
  • URL de referencia: Enlace a un artículo o documentación que puede agregar o ayudar a comprender este elemento de verificación.

Si la excusa para no ocuparte de la seguridad en tu empresa fue no tener una manera práctica y fácil de identificar brechas, no saber cómo resolverlas o no saber cuáles eran los problemas de seguridad, ¡tus excusas se acabaron HOY! Esto nunca volverá a ser un problema para ti.

Este es un proyecto que uso en varios clientes aquí en Fabricio Lima – BD Solutions, una de las mejores consultorías de bases de datos y BI de Brasil, y es el resultado de muchos estudios, pruebas y discusiones técnicas con varios grandes profesionales de datos y, después de hablar con Fabrício, decidimos lanzar esto en un GRATIS para toda la comunidad técnica.

Después de usar sp_Blitz, de la leyenda Brent Ozar, durante tanto tiempo, siempre me pareció increíble lo práctico y sencillo que era para identificar diversos elementos de rendimiento, mantenimiento, auditoría y algunos elementos de seguridad. Pensando en algo igual de práctico, me inspiré en esta idea para desarrollar stpChecklist_Seguranca, tratando de entregarles algo muy “versión F5”.

Este no es el proyecto de Dirceu ni de Fabrício, sino el suyo. Por esta razón, estoy publicando el código de este procedimiento almacenado en Github, para que todos puedan descargarlo, usarlo en sus entornos y ayudar a hacerlo cada vez mejor a través de confirmaciones y solicitudes de extracción para traer nuevas funciones y correcciones:
https://github.com/dirceuresende/checklist_seguranca (código fuente)

¡No olvides seguir mis artículos de seguridad! Este es un tema cada vez más popular en Brasil, especialmente después de la LGPD (Ley General de Protección de Datos), y por esta razón, lancé el curso Seguridad en SQL Server – Módulo 1, donde repasaré cada uno de estos elementos de seguridad y los explicaré con el más mínimo detalle, con ejemplos exclusivos y demostraré cómo pueden dañar la instancia y cómo podemos lidiar con ellos.

Se acabó buscar en varios sitios web y en decenas de artículos y manuales de mejores prácticas donde la gente te dice que “debes desactivar esto”, pero sin explicar convincentemente por qué y sin argumentos técnicos sobre cómo esto podría dañar tu medio ambiente.

Espero que te guste este Procedimiento, un fuerte abrazo para ti y ¡hasta la próxima!