Algunas recomendaciones simples:
- No exponga el acceso a su servidor de base de datos a Internet. Debe estar detrás de un firewall que solo permita que el servidor web acceda a él a través de un puerto en particular (no el predeterminado).
- No permita el escritorio remoto ni ningún otro tipo de acceso similar desde conexiones externas. Para conexiones internas, asegúrese de que las contraseñas sigan algún tipo de política. Por ejemplo, requiere números, caracteres extendidos, etc.
- Mantenga los archivos de la base de datos en el directorio de datos normal para el servidor sql (la seguridad de los archivos ya está configurada para usted).
- Utilice el cifrado de base de datos transparente:http://msdn.microsoft .com/en-au/magazine/cc163771.aspx#S5 y Cómo proteger el servidor sql Archivo MDF de 2005
- Asegúrese de que el uso compartido de archivos esté desactivado.
- Asegúrese de que las únicas personas que pueden acceder a ese servidor sean las responsables del mismo.
- Lea sobre la inyección de sql para evitar otros mecanismos de acceso.
- Utilice la seguridad de Active Directory para las cuentas de usuario de la base de datos.
- Utilice SSPI para las conexiones de base de datos para que no tenga un nombre de usuario/contraseña almacenado en su web.config
- Asegúrese de que la conexión de red entre su web y el servidor de la base de datos esté encriptada a través de kerberos.