Развертывание служб SSAS

Настройка безопасности

Обеспечение безопасности служб SSAS

Чтобы обеспечить надлежащую безопасность данных, хранимых в службах SSAS, необходимо обеспечить безопасность всех точек доступа к экземпляру служб SSAS. Эти точки доступа включают:

1. Защита компьютера со службами SSAS. Как и в случае любого приложения, наиболее простым способом доступа к данным в службах SSAS является физическое использование компьютера, на котором запущено приложение. Если несанкционированный пользователь получит физический доступ к компьютеру, на котором запущены службы SSAS, то этот пользователь потенциально может получить доступ к любым данных, хранящимся на этом компьютере, независимо от других мер безопасности, используемых для защиты данных. Чтобы повысить физическую безопасность компьютера, на котором запущены службы SSAS, выполните следующие шаги:
   • убедитесь в том, что только санкционированные пользователи имеют физический доступ к компьютеру. По возможности установите компьютер в запертой комнате с ограниченным доступом;
   • отключите функцию загрузки с дискеты, если это возможно в настройках BIOS материнской платы, и рассмотрите возможность полного удаления дисковода;
   • отключите функцию загрузки с CD-ROM, если это возможно в настройках BIOS материнской платы;
   • увеличьте защиту компьютера путем использования пароля при включении и повысьте защиту настроек BIOS материнской платы, используя пароль доступа к BIOS;
   • используйте корпус для компьютера, который поддерживает обнаружение проникновения, и который невозможно открыть без ключа; храните ключ в безопасном месте вдали от компьютера;
2. Защита операционной системы Windows для служб SSAS. Операционная система с неверно выставленными параметрами безопасности может подвергнуть риску безопасность экземпляра служб SSAS. Следующие мероприятия позволят повысить защищенность операционной системы:
   • ограничение интерактивного доступа;
   • ограничение сетевого доступа;
   • отключение ненужных служб;
   • указание и ограничение портов. Экземпляр по умолчанию служб SSAS осуществляет прослушивание порта 2383. Если именованный экземпляр использует другой порт, то этот порт нужно открыть на межсетевом экране;
   • предоставление прав локального администрирования. Только члены группы локальных администраторов обладают правом запускать, останавливать и настраивать службы Microsoft Windows. Чтобы предоставить пользователям, ответственным за управление всем экземпляром служб SSAS, права на управление службами Windows, необходимыми для экземпляра служб SSAS, этих пользователей следует сделать членами группы локальных администраторов.
3. Защита программных файлов, общих компонентов и файлов данных. Местоположение по умолчанию для файлов служб SSAS - "\Program Files\Microsoft SQL Server\MSAS10.#\OLAP", где # представляет собой номер экземпляра. В этой структуре папок имеются четыре вложенные папки: Backup, Bin, Data и Log. В этих папках хранятся данные резервного копирования, важные файлы для самой службы SSAS, фактические данные измерений и кубов, а также данные журналов. Эти данные должны быть защищены. Программа установки предоставляет доступ ко всем файлам в этой структуре папок только членам локальной группы "Администраторы" и учетной записи входа в службы SSAS. Пользователям доступ к файлам в этих папках не требуется.
4. Безопасность взаимодействия клиентов с экземпляром служб SSAS, что включает шифрование данных, проверку подлинности клиента, установку пакетов безопасности, и указание частоты обновления кэша ролей.
5. Защита источников данных, используемых службами SSAS. Если неавторизованные пользователи получат доступ к источникам данных, из которых службы SSAS загружают данные, эти пользователи будут иметь доступ к сведениям, которые хранятся в экземпляре служб SSAS. Следует ограничить доступ к этим источникам данных. Для просмотра кубов и измерений пользователям служб SSAS не нужны разрешения на эти источники данных.
6. Обеспечение безопасности доступа с помощью служб SSAS. Службы SSAS разрешают устанавливать соединения только пользователям, прошедшим проверку подлинности Windows, если только не разрешены анонимные подключения, и пользователям, которым предоставлены разрешения в экземпляре служб SSAS. Пользователям, не имеющим разрешений, устанавливать соединения запрещено. Службы SSAS не выполняют собственной проверки подлинности пользователей. При проверке подлинности всех пользователей перед авторизацией доступа к данным служб SSAS или перед предоставлением пользователям возможности выполнения административных задач службы SSAS полагаются на операционную систему Windows.

По умолчанию любой пользователь, не являющийся членом роли сервера, не имеет разрешений служб SSAS. Чтобы получить разрешения, член роли сервера должен сначала создать пользовательскую роль базы данных, а затем предоставить этой роли разрешения.

Пользовательской роли базы данных могут быть предоставлены ограниченные или полные административные разрешения в базе данных. Этой роли также могут быть предоставлены ограниченные или полные разрешения на доступ к данным.

После создания пользовательской роли базы данных член роли сервера должен добавить соответствующих пользователей и группы Windows. Пользователь получает разрешения в службах SSAS только после его добавления к пользовательской роли базы данных.

Настройка безопасности служб SSAS

После установки экземпляра служб SSAS все члены локальной группы "Администраторы" становятся членами роли сервера на этом экземпляре и обладают разрешениями уровня сервера для выполнения любой задачи в пределах этого экземпляра служб SSAS. По умолчанию никакие другие пользователи не имеют разрешений на доступ к объектам в экземпляре. Члены роли сервера служб SSAS могут предоставлять другим пользователям доступ к объектам сервера и базы данных, используя среду SQL Server Management Studio, среду BI Dev Studio или XMLA-сценарий.

Член роли сервера служб SSAS может предоставить другим пользователям доступ к службам SSAS следующими способами:

1. путем предоставления пользователям административного доступа либо уровня сервера, либо уровня базы данных;
2. путем использования ролей базы данных, чтобы предоставить пользователям доступ к источникам данных, кубам, измерениям, структурам интеллектуального анализа данных и моделям интеллектуального анализа данных.

Предоставление административного доступа

Административный доступ к объектам в экземпляре служб SSAS предоставляется пользователям и группам Microsoft Windows следующими способами:

1. Пользователи и группы могут получить административный доступ к службам SSAS на уровне сервера с помощью роли сервера. Члены роли сервера на экземпляре службSSAS имеют неограниченный доступ ко всем объектам и данным данного экземпляра служб SSAS. Член роли сервера служб SSAS может добавлять пользователей и группы Microsoft Windows в роль сервера служб SSAS. Для выполнения любых задач на уровне сервера, например для создания базы данных, изменения свойств сервера или запуска трассировки (кроме обработки событий) пользователь должен входить в состав роли сервера служб SSAS. По умолчанию члены локальной группы "Администраторы" входят в состав роли сервера служб SSAS. Тем не менее, их принадлежность к этой роли сервера не отражается в пользовательском интерфейсе.
2. Пользователи и группы могут получить административный доступ к определенной базе данных служб SSAS с помощью роли базы данных. В службах Microsoft SQL Server члены роли сервера служб SSAS могут создавать в базе данных роли базы данных и предоставлять этим ролям полные или ограниченные административные разрешения в базе данных. Члены роли сервера служб SSAS могут добавлять к этим ролям базы данных пользователей и группы Microsoft Windows.

Разрешения, которые роль сервера служб SSAS может предоставить роли базы данных

Роль сервера служб SSAS может предоставить роли базы данных следующие разрешения:

1. полные административные разрешения в базе данных. В качестве члена роли базы данных с разрешениями "Полный доступ" (администратор) пользователь Windows может выполнять в рамках базы данных любую задачу, включая следующие:
   • обработка объектов базы данных;
   • чтение данных базы данных;
   • чтение метаданных базы данных;
   • добавление пользователей к существующим ролям базы данных;
   • создание новых ролей базы данных;
   • определение разрешений для ролей базы данных.
2. только разрешение на обработку некоторых объектов служб SSAS. При предоставлении роли базы данных разрешения на обработку объекта данных администратор получает возможность передать задачу обработки некоторых объектов без предоставления дополнительных внешних разрешений пользователю, выполняющему обработку. При предоставлении роли базы данных разрешений на обработку следует иметь в виду то, что разрешения носят аддитивный характер. Например, одна роль базы данных разрешает пользователю обрабатывать определенный куб, в то время как другая роль базы данных предоставляет тому же пользователю разрешение на обработку измерения в этом же кубе. Разрешения из двух различных ролей объединяются, в результате чего пользователь получает разрешение на обработку как куба, так и заданного измерения в рамках такого куба. Пользователь, роль базы данных которого имеет только разрешения на обработку одного или нескольких объектов базы данных, не сможет воспользоваться средой SQL Server Management Studio или BI Dev Studio для подключения к службам SSAS и выполнения обработки объектов. Для данных средств необходимо, чтобы у пользователя было разрешение на доступ к метаданным объекта. Следовательно, для обработки таких объектов пользователю, располагающему только разрешениями на обработку объектов, необходимо будет использовать XMLA-сценарий. Разрешения на обработку могут быть предоставлены на уровнях базы данных, куба, измерения и структуры интеллектуального анализа данных.
3. разрешение на просмотр определения объекта служб SSAS, но не обработку объекта или представление фактических данных. Предоставление роли базы данных разрешения на чтение метаданных выбранных объектов позволяет администратору предоставить пользователям разрешения на просмотр определений объектов, при этом не предоставляя этим пользователям разрешение на изменение определения объекта, изменение структуры базы данных или просмотр реальных данных для объекта. При предоставлении роли базы данных разрешения на чтение метаданных следует помнить, что разрешения являются аддитивными. Например, одна роль базы данных может предоставлять пользователю разрешение на чтение метаданных для конкретного куба, в то время как другая роль базы данных может предоставлять тому же пользователю разрешение на чтение метаданных для измерения в этом кубе. Разрешения из этих двух различных ролей комбинируются, предоставляя пользователю разрешение на чтение как метаданных для куба, так и метаданных для измерения в пределах этого куба . Чтобы просмотреть определение объекта в среде SQL Server Management Studio или в среде BI Dev Studio, пользователь должен иметь роль базы данных, которая предоставляет разрешение на чтение метаданных базы данных.