Le Post Infeeny

Les articles des consultants et experts Infeeny

SQL 2014 et la gestion de la sécurité

  • Mercredi 12 février : 16h30-17h15
  • Salle : 242B
  • Audiences : Professionnels de l’IT
  •  Thèmes : Infrastructure des systèmes d’information
  • Intervenant : Franck Mercier (Microsoft France), Pascale DOZ (Pascale Doz Consulting)
  • Niveau : Intermédiaire (200)

Durant cette session nous passerons en revue les fondamentaux de la sécurité dans une base de données. Puis nous vous présenterons des méthodes de protection des données, ainsi que les outils pour superviser les bases. Et bien entendu, nous parlerons aussi des nouveautés apportés par la version 2014 de SQL Server !

1.     Sécurisation des comptes

–        Sécuriser le compte SA

  • Pas de mot de passe sous le clavier
  • Pas de mot de passe sur l’écran
  • Pas de mot de passe avec une sécurité faible ou qui ne change jamais

–        Donner les bons droits aux bonnes personnes

–        Essayer d’utiliser les comptes AD avec les droits correspondant à l’usage des utilisateurs

–        Utiliser une politique de changement de MDP régulière

2.     Accès aux données

–        Contrôle sur les droits 

–        SQL 2014 offre la possibilité de bloqué la visibilité  des données aux administrateurs pour l’ensemble des versions :

  • Ce système est actuellement buggé pour le moment car l’administrateur peut récupérer l’accès aux données par l’intermédiaire d’un GRANT le point a été remonté à Microsoft …

–        L’accès aux données peut être filtré pour les autres utilisateurs par l’intermédiaire des servers ROLE dispo depuis SQL SERVER 2012.

Certificat

–        L’accès aux données peut être attribué par l’intermédiaire de certificat :

  • Ex : Les données du marketing ne peuvent être visibles par les vendeurs.

–        Pour donner l’accès on met en place un système de certificat permettant de contrôler qui accède aux données.

Utilisation de l’impersonation

–        Empêcher l’emploi de l’impersonation sur le serveur

3.     Mise en place d’audit

L’objectif des audits est de contrôler qui accède aux données et de voir leurs utilisations

(Création d’audit d’utilisation)

4.     Utiliser contained DB

Cette base de données contient les logins de l’instance, l’intérêt est de faciliter la migration des bases de données

5.     D’autres outils peuvent servir à sécuriser la base :

  • Chiffrement des backups
  • SQL injection
  • Gestion de l’environnement de Chiffrement
  • DLL trigger
  • Gestion de la stratégie des instances
  • Truthworthy

Point fort de la session : Sensibilisation aux problèmes de sécurisation des de données SQL Server avec une vue panoramique des outils et des best practice de sécurité

Liens utile : http://blogs.technet.com/b/sql/archive/2013/10/01/sql-server-chez-les-clients-confidentialite-des-donnees.aspx

Vidéo : https://www.youtube.com/watch?feature=player_embedded&v=E9cGpjkxBik

Slides : http://fr.slideshare.net/TechnetFrance/sql-2014-et-la-gestion-de-la-scurit-31662361

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :