روش‌ استفاده از Policy-Based Management در امنیت SQL server 

سیستم Policy-Based Management در امنیت SQL server نقشی شبیه جورج کربتری در سریال ماجراهای مرداک را برایتان ایفا می‌کند. جورج کربتری همان پلیس وظیفه‌شناسی و قابل‌اعتمادی بود که هرچه بر او محول می‌شد را به درستی انجام می‌داد. اما از پس خلاقیت‌های مورد نیاز ماجرا  برنمی‌آمد و این اتفاقات شگفت‌انگیز را شخصِ کارآگاه مرداک رقم می‌زد.  در این مقاله با چیستی BPM، ابزار نصبی مورد نیاز، مزایا و معایب و همچنین کارکردهای این دستیار خوش‌خدمت آشنا خواهیم شد. 

  Policy Based Management چیست؟

Policy-Based Management در امنیت SQL Server  ویژگی‌ قدرتمندی به شمار می‌رود. مدیریت مبتنی بر سیاست، سیستمی است که به شما اجازه می‌دهد Policy تعیین کنید و پروسه‌های اجرای این سیاست‌ها را به اتوماسیون بسپارید. با استفاده از PBM می‌توانید فرآیندهای احراز و تایید هویت، پروسه‌های رمزگذاری (مدیریت کلید/گواهی، رمزگذاری/رمزگشایی) و پروفایل و نقش‌های کاربر را تعریف کنید. 

با این تعریف هنوز نتوانسته‌اید دریابید که BPM چه کاری برایتان انجام خواهد داد؟ قابل درک است. پس بیایید با بررسی یک مثال مسئله را شفاف کنیم. 

مثالی از عملکرد  Policy-Based Management در امنیت SQL server 

فرض کنیم که شما سیس‌ادمینی شرکتی هستید و در یک روز زیبای بهاری، بعد از جلسه مدیران به شما اعلام می‌شود که فضای خالی جدول‌ها، بیش‌اندازه زیاد است و از حالا جدول‌ها باید ۶۰ درصد صفحه را پر کنند. 

 در سناریوی اول شما هنوز با PBM آشنا نیستید. روز زیبای بهاریتان با یک تسک کسل‌کننده پر می‌شود: جدول‌ها را یکی‌یکی در دیتابیس پیدا کرده و درصد ایندکس برای Fill Factor را به‌صورت دستی به ۶۰ می‌رسانید. فردا موقع نهار، همکارانتان جدول‌هایی که جا مانده‌اند را به شما نشان می‌دهند. 

در سناریوی دوم، شما به Policy-Based Management در امنیت SQL Server مسلط هستید. بنابراین یک policy مبنی بر ایندکس ۶۰ درصد را  برای تمام آبجکت‌های موردنظرتان تعریف می‌کنید. سپس درحالیکه از انجام تسک‌های مهم‌تر در روز زیبای بهاریتان لذت می‌برید، پاسبان جورج کربتری این کارها را انجام می‌دهد:

•  ارزیابی می کند که آیا تمام ایندکس‌ها با policy مطابقت دارد یا خیر.
•   اگر ایندکس، policy را نقض کند (در مثال ما   fill factor بالای ۶۰ باشد) به شما هشدار می‌فرستند. 

کاربردهای PBM  در مدیریت پایگاه داده چیست؟

در مثال قبل، به‌خوبی متوجه شدیم که PBM چطور با اتوماسیون اجرای سیاست‌ها و کاهش پروسه‌های دستی، مدیریت دیتابیس را ساده‌تر می‌کند. اما در کنار این‌ها، استفاده از Policy-Based Management در امنیت SQL Server می‌تواند در حل مشکلات زیر هم نقش داشته باشد:

• رسیدگی به سیاست های پراکنده: با استفاده از Policy-Based Management در امنیت SQL server می‌توان Policyها را یکپارچه کرد تا دسترسی و به‌روززسانی آن‌ها ساده‌ شود. 
• یکپارچه‌سازی نسخه های چندگانه: اگر در سیستم‌ خود تاکنون چندین نسخه سیاست تعریف کرده‌اید و کارمندان جدید مجبورند به policy‌های قدیمی شما مراجعه کنند، PBM برایتان کار می‌کند. 
• حل مشکل ارتباط ضعیف: Policy-Based Management در امنیت SQL server باعث می‌شود ارسال و پیگیری به‌روزرسانی‌های Policy ساده شود. همچنین خطر عدم انطباق کارکنان از بین می‌رود. 
• همگام‌سازی تمام ابزارها: با این سیستم می‌توانید بدون اختلال با سایر ابزارها در شبکه، سیاست‌ها را تعریف کنید. 

در مجموع سیستم مدیریت خط‌مشی، به شما امکان می‌دهد امنیت اسناد را کنترل کنید، به راحتی در به‌روزرسانی policy همکاری کرده و آن‌ها را بین کارکنان توزیع کنید، و امضاهای الکترونیکی را در اسناد ردیابی کنید.

ساختار و اجزای مختلف PBM

به‌طور کلی رویکرد PBM از تابع سادهٔ IF پیروی می‌کند. یعنی ما همواره یک جفت شرط (Condition) را تعریف می‌کنیم، تا در صورت بروز آن‌ها اقدام مشخصی انجام شود. مثلاً : «در صورتی که کاربران حساب کاربری ساخته باشند و ۶ ماه از ثبت رمز عبور قبلی گذشته باشد، کاربران را وادار کن تا رمزعبور جدیدی تعریف کنند.»

if <condition(s)> then <action(s)>

این شرط ممکن است برای آبجکت‌های خاصی در SQL Server اعمال شوند. مثلاً فقط کاربرانی که با شماره موبایل ثبت‌نام شده‌اند، باید رمز عبور را هر ۶ ماه تغییر بدهند. بنابراین با تعیین Target مشخص می‌شود که شرط،  Policy را روی کدام نهادها  اجرا کند. 

Policy می‌تواند به صورت مجزا و هر بار برای یک هدف و یا به صورت کتگوری و شامل تعدادی Policy به صورت جمعی تعریف شود. 

معماری Policy-Based Management 

سیاست‌هایی که ما تحت یک جفت شرط برای سیستم تعیین می‌کنیم، ابتدا بررسی می‌شوند تا با سایر policyها تداخل نداشته باشند. یعنی به مخزنی از تمام  سیاست‌های موجود در Policy-Based Management در امنیت SQL Server که تاکنون تعریف کرده‌ایم، وارد می‌شوند. سپس در مرحله تفسیر بررسی شده و آمادهٔ مرحلهٔ اجرا می‌شوند. این مراحل در یک معماری ۴ بخشی انجام می‌شود. در زیر تصویر می‌توانید عملکرد هر یک از این ۴ بخش را بخوانید:

۱. Policy Management Tool : همان ابزاری است که مدیر دیتابیس، Policy را در آن تعریف می‌کند. 

۲. Policy Repository: در مرحله بعدی Policy یا خط‌مشی‌ها در یک مخزن با یک مدل اطلاعاتی مناسب، ذخیره می‌شوند تا بررسی شود که با سایر خط‌مشی‌ها در تناقض نباشند.

۳. Policy Decision Point: در مرحله بعدی PDP بررسی را آغاز کرده و به نوعی policy را تفسیر و سپس برای اجرا به نقطهٔ بعدی می‌فرستند. 

۴. Policy Enforcement Point: در نقطهٔ PEP خط‌مشی‌ها بررسی شده‌اند و بدون مشکل به اجرا گذاشته می‌شوند. 

نقش PBM در امنیت SQL server

می‌توان گفت هدف اصلی استفاده از Policy-Based Management در امنیت SQL Server است. به‌طور خاص بیشترین کاربرد PBM در موارد زیر تعریف می‌شود:

۱. اجرای سیاست های امنیتی

 PBM به شما امکان می دهد policy هایی را تعریف کنید که قوانین امنیتی را در SQL Server شما اعمال می کند.

 برای مثال، می‌توانید خط‌مشی‌هایی ایجاد کنید تا اطمینان حاصل کنید که انقضای رمز عبور برای ورود به سیستم فعال است یا اینکه انواع احراز هویت (مانند تأیید اعتبار Windows) برای کاربران پایگاه‌داده سازگار است. با کمی خلاقیت و تجربه می‌توانید با استفاده از Policy-Based Management در امنیت SQL Server سیاست‌های پیچیده را به policyهای کوچک‌تر تقسیم و اجرا کنید. 

۲. به‌کارگیری بهترین شیوه‌ ها 

• PBM به شما کمک می کند تا بهترین روش یا best practice را برای موتور پایگاه داده SQL Server اجرا کنید.
• می‌توانید خط‌مشی‌ها را به‌صورت دستی ارزیابی کنید، آن‌ها را برای اجرا در فواصل زمانی مشخص برنامه‌ریزی کنید یا بر اساس رویدادها آن‌ها را فعال کنید.

۳. بررسی خودکار انطباق

•   در شرکت های بزرگ با چندین نمونه SQL Server، PBM به شما امکان می‌دهد تا بررسی‌های انطباق را خودکار کنید.
•   هنگامی که خط‌مشی‌ها را اعلام می‌کنید و از ویژگی import/export استفاده می‌کنید، حفظ امنیت به یک فرآیند خودکار تبدیل می‌شود.

۴. تعریف حالت ترجیحی

 DBA ها می توانند وضعیت ترجیحی اجزای سیستم SQL Server (نمونه ها، اشیاء و غیره) را با استفاده از PBM تعریف کنند. خط‌مشی‌ها تضمین می‌کنند که قوانین شرکت در محیط SQL Server اجرا می‌شوند و به امنیت کلی کمک می‌کنند.

در مجموع می‌تواند گفت که Policy-Based Management در امنیت SQL Server با خودکارسازی انطباق و پایبندی به بهترین‌ شیوه‌ها، مدیریت دیتابیس را ساده و سریع  می‌کند.

ایجاد و پیکربندی Policy-Based Management در امنیت SQL server

تا اینجا با مزایا و ویژگی‌ها و اجزای PBM آشنا شدیم و حالا می‌رسیم به سوال اصلی که «چطور باید PBM را به کار گرفت؟». برای این کار لازم است از نرم‌افزار SQL Server management Studio  یا به اختصار SSMS را به سادگی هر نرم‌افزار مایکروسافت دیگری نصب کنید. 

بلافاصله بعد از این اقدام باکسی برای معرفی سرور باز می‌شود. اگر هم این باکس بلافاصله باز نشود، در مسیر Object Explorer > connect > Database Engine می‌توانید آن را باز کنید. 

در صفحهٔ باز شده، SQL server را معرفی کنید:

پس از معرفی سرور، می‌توانید از بخش object explorer وارد پوشهٔ Management و سپس با یک راست کلیک new policy یا سیاست جدید تعریف کنید. 

در ابتدای کار با Policy-Based Management در امنیت SQL Server، دسترسی داشتن به نحوهٔ سیاست‌گذاری دیگران می‌تواند پرسپکتیو خوبی به شما بدهد. با کلیک روی لینک صفحه Policy Based Management در مجلهٔ آموزشی مایکروسافت، می‌توانید لیستی از کاربردی‌ترین Policy ها در مدیریت سرور SQL  را به همراه بهترین روش پیاده‌سازی آن‌ها ببینید. با مطالعهٔ این لیست می‌توانید برای ایجاد policy منحصر‌به‌فرد و مورد نیاز خودتان هم، ذهنیت آماده‌تری پیدا کنید. 

 مقایسه PBM با سایر ابزار های امنیت SQL server

PBM تنها ابزار امنیتی برای SQL server نیست. ما می‌توانیم از ابزارهای زیاد دیگری استفاده کنیم:

• می‌توانیم Authentication mode در SQL سرور را برای احراز هویت به کار ببریم. 
• می‌توانیم از ویژگی  ‌ IP Whitelisting در فایروال برای تعیین آی‌پی‌های مورد اعتماد استفاده کنیم و دسترسی را امن‌تر کنیم. 
• از نقش‌ها و مجوزها برای محدودیت دسترسی، از RLS در کنترل دسترسی دیتابیس و از DDM برای پنهان کردن داده های حساس استفاده کنیم. 

اما مسئله اینجاست که تمام این ابزارها کار خودشان را به‌خوبی اما به‌صورت مستقل از دیگری انجام می‌دهند. بنابراین نیروی انسانی باید زمان بیشتری را صرف مدیریت این موارد و همگام‌سازی کند. در حالی که  با استفاده از Policy-Based Management در امنیت SQL Server می‌توانیم تمام سیاست‌های موردنظر را به‌صورت یکپارچه مدیریت کنیم. 

چالش‌ ها و محدودیت‌ های استفاده از Policy-Based Management در امنیت SQL Server

دربارهٔ مزایای استفاده از Policy-Based Management در امنیت SQL Server به اندازهٔ کافی صحبت کردیم. در ادامه به برخی از این چالش‌ها و محدودیت‌ها در ارتباط با این سیستم تعیین خط مشی‌ اشاره می‌کنیم:

۱. نیاز به دانش فنی پیشرفته

آیا در مجموعهٔ شما، فردی تحت عنوان سیس‌ادمین یا مدیر دیتابیس و… می‌تواند با سیاست‌گذاری منطبق بر الگوی برنامه‌نویسی سیاست خط‌مشی تعریف کند؟ اگر نیروی فنی ماهر در اختیار ندارید، استفاده از سیستم Policy-Based Management در امنیت SQL Server به شما توصیه نمی‌شود. 

۲. محدودیت در اعمال سیاست

تعریف سیاست خط مشی در PBM ممکن است نتوانند تمامی نیازهای امنیتی را پوشش دهد. اگر برای شبکه بزرگی کار می‌کنید، ممکن است نیاز شود برخی تنظیمات را به‌صورت سفارشی یا با کمک سایر ابزارها پیاده‌سازی کنید. به بیان دیگر استفاده از Policy-Based Management در امنیت SQL Server لازم هست اما کافی نیست.

۳. مشکلات در محیط‌های پیچیده

استفاده از PBM در محیط‌های پیچیده با تعداد زیادی از سرورها و دیتابیس‌ها، مدیریت سیاست‌ها ممکن است دشوار باشد.  تعیین شرایط و ایجاد سیاست‌ها نیاز به دقت دارد و در چنین محیطی، ممکن است زمان‌بر باشد. 

۴. عدم پشتیبانی از برخی تنظیمات

برخی تنظیمات امنیتی ممکن است توسط PBM پشتیبانی نشوند. (مثل تنظیمات مرتبط با رمزنگاری یا دسترسی‌های پیشرفته)

در نهایت، استفاده از Policy-Based Management در امنیت SQL Server  PBM باید با دقت و با توجه به نیازهای خاص سازمان انجام شود. همچنین، ترکیب آن با سایر روش‌ها و ابزارهای امنیتی می‌تواند بهبود امنیت SQL Server را فراهم کند.

جمع‌ بندی

در این مقاله تمام چیزهای ضروری که باید دربارهٔ Policy-Based Management در امنیت SQL Server می‌دانستید را مرور کردیم. اما این تازه شروع کار است، با نصب نرم‌افزار SMSS و برگه تقلبی که در اختیارتان قرار دادیم می‌توانید policy های پرکاربرد را امتحان کنید. درست مثل اینکه پاسبان کربتری را تازه استخدام کرده‌اید و می‌خواهید او را بشناسید. اما برای تعریف سیاست‌های خاص لازم است دانش فنی بیشتری در اختیار داشته باشید. اگر پس از خواندن این مطلب، هنوز سوالی دربارهٔ BPM در ذهن دارید، از بخش‌ نظرات از ما بپرسید و پاسخ بگیرید.