Datenbank sichern

Dieses Thema beschreibt, wie Sie Ihre Daten und den Zugriff auf Ihre Datenbank sicherer machen.

Verschleiern vertraulicher Daten

Sensible Daten, wie Passwörter und Login-Objekte, werden verschleiert, bevor sie mit in der Industrie gängigen Standards an die Datenbank übertragen werden. Durch die Verschleierung der Verbindung zum Datenbankmanagementsystem können Sie Ihrem System eine zusätzliche Sicherheitsschicht hinzufügen.

SQL-Verbindung verschleiern

Während der Einrichtung müssen Sie die Verbindung zum Datenbankmanagementsystem konfigurieren. Die Standardinstallation verwendet eine nicht verschlüsselte Verbindung zur Datenbank. Je nach Ihren Anforderungen, z. B. der Netzwerkinfrastruktur, kann eine solche Verbindung von einem Angreifer gelesen werden, was zu Informationslecks führen kann.

Abhängig von Ihrer Datenbank müssen Sie möglicherweise zusätzliche Parameter zum ODBC-Verbindungs-String hinzufügen. Sie müssen diese Parameter in der Konfigurationsdatei (ucsrv. ini) der Automation Engine festlegen. Weitere Informationen finden Sie in der Automation Engine.

Weitere Informationen finden Sie in der Dokumentation Ihres Anbieters.

Passwörter in Konfigurationsdateien verschleiern

Der Benutzername und das Kennwort für den Datenbankzugriff müssen in der Konfigurationsdatei der Automation Engine und der Dienstprogramme gespeichert werden. Aus Sicherheitsgründen wird empfohlen, diese Informationen zu verschleiern.

Sie können die Anmeldeinformationen mit Hilfe des Dienstprogramms UCYBCRYP verschleiern. Weitere Informationen finden Sie im Thema über das Verschleiern von Passwörtern.

Definieren eines dedizierten Datenbankbenutzers für SQLI- und SEC_SQLI VARA-Objekte

Normalerweise wird die Verbindung zwischen der AE- und der AE-Datenbank hergestellt, wie im ODBC-Abschnitt keysqlDriverConnect der INI-Datei von AE definiert. Der Benutzer, den Sie angeben, benötigt volle Berechtigungen, damit alle AE-Prozesse richtig funktionieren. Dies ist der Datenbankbenutzer, der bei der Ausführung von SEC_SQLI- oder SQLI VARA-Objekten verwendet werden.

Sie können das System so konfigurieren, dass ein anderer Datenbankbenutzer mit weniger Zugriffsberechtigungen für die AE-Datenbank verwendet wird, wenn SQLI- und SEC_SQLI VARA-Objekte ausgeführt werden. Definieren Sie dazu ein DB-Login-Objekt, das die Anmeldeinformationen des AE-Datenbankbenutzers enthält, und geben Sie dieses Login-Objekt im Schlüssel SQLI_LOGIN der Variablen UC_SYSTEM_SETTINGS an. Wenn beide Voraussetzungen zutreffen (das DB-Login-Objekt ist vorhanden und in der Variablen SQLI_LOGIN definiert), wird der angegebene Datenbankbenutzer verwendet, um die Verbindung herzustellen. Dadurch wird eine zusätzliche Sicherheitsschicht hinzugefügt, indem die Zugriffsrechte des Datenbankbenutzers eingeschränkt werden (z. B. schreibgeschützter Zugriff). Dadurch wird sichergestellt, dass SQLI- und SEC_SQLI VARA-Objekte Daten aus der Datenbank lesen, aber nicht ändern oder löschen können.

Um diese Sicherheitsfunktion verwenden zu können, müssen Sie ein Login-Objekt und die Variable SQLI_LOGIN konfigurieren. So gehen Sie vor:

  1. Erstellen Sie auf dem Mandanten 0 ein Login (LOGIN)-Objekt des Typs DB, das die Anmeldeinformationen (Benutzername und Kennwort) für den AE-Datenbankbenutzer enthält.

  2. Fügen Sie im Mandanten 0 den folgenden Schlüssel zur Variablen UC_SYSTEM_SETTINGS hinzu: SQLI_LOGIN.

  3. Geben Sie unter SQLI_LOGIN den Namen des gerade erstellten Login-Objekts ein.

Siehe auch:

Sicherheit und Systemhärtung