SlideShare ist ein Scribd-Unternehmen logo

La sécurité avec SQL Server 2012

Als PPTX, PDF herunterladen
Microsoft Technet France
Microsoft Technet France

Venez découvrir tous les enjeux de la sécurité avec SQL Server 2012. Nous aborderons les bonnes pratiques et la méthodologie pour sécuriser vos bases de données. Nous entrerons dans le détail de certains points techniques comme par exemple l’AUDIT ou le chiffrement. Cette session sera aussi l’occasion de voir les nouveautés de la version 2012 en matière de sécurité.

Technologie
1 von 32
palais des congrès Paris 7, 8 et 9 février 2012
La Sécurité avec SQL Server 7 février 2012 Jean-Pierre Riehl Pascale Doz MVP SQL Server Consultante SQL Server AZEO Indépendante Jean-Pierre.Riehl@azeo.com pascale@pascale-doz.com
AZEO, LE PARTENAIRE MICROSOFT incubateur de talents Pure-Player innovant focalisé sur la création de valeur Infrastructure, Collaboratif, Développement, Communication Gold Partner dans toutes nos Practices AZEO ACCOMPAGNE DURABLEMENT l’évolution de votre système d’informations AZEO ENRICHIT LA CREATION DE VALEUR grâce à un réseau de partenaires sélectionnés AZEO DEVELOPPE VOTRE TALENT et accélère votre réussite
Agenda Back to Basics Contrôle d’accès Protection des données Surveillance SQL Server 2012
Back to Basics
Back to Basics « La sécurité dépend du risque » « La sécurité est alignée sur le maillon le plus faible » « Principe du moindre-privilège »
A retenir Back to Basics Accès Protection Surveillance
Accéder
Surface d’exposition Limiter les ouvertures  Composants  Endpoints Principe du moindre privilège Pensez à l’ensemble de votre SI
Accéder à SQL Server Principals  Login vs User A la base, il y a toujours un Login  Mode intégré ou mixte  Permet de se connecter à l’instance SQL Le User/Certificat permet d’utiliser la base de données  Donne un contexte au login  Attention aux utilisateurs guest / dbo Rôles (serveur ou base de données)
Authentification La bonne pratique : Utilisation de la sécurité Windows  Gestion centralisée avec Active Directory  Respect des politiques d’entreprise  Pas de gestion de mot de passe Mais toujours un besoin de la sécurité SQL pour les « clients » non-windows
Accéder à SQL Server Securables  De l’instance SQL aux objets On donne ou refuse l’accès à un Principal  GDR : GRANT, DENY, ou REVOKE Principe de résolution : 1. Définition du contexte de sécurité 2. Echec s’il y a au moins un DENY 3. Succès s’il y a au moins un GRANT Attention au principe de l’Ownership Chain Attention au Cross-Database Ownership, trustworthy
Accéder à SQL Server Quelques bonnes pratiques :  Authentification intégrée, politique de mot de passe  Pas d’utilisation de dbo ou sysadmin  Utilisation des SCHEMAS  Cloisonnement  Principe du moindre privilège
Protéger
Une histoire de clés Service Master Key : niveau instance Database Master Key : niveau base de données Clés asymétriques Certificats Clés symétriques Importance des sauvegardes !
Une histoire de clés Extensible Key Management : EKM • Nouveauté de SQL Server 2008 • Exportation de la gestion des clés dans une appliance dédiée • Hardware Security Module (HSM) Ex : Arx PrivateServer, Thales nCipher, SafeNet Luna
Chiffrement des données Ne remplace pas la politique d’autorisations Protection « In-depth » Différentes granularités  Serveur : géré par Windows (EFS ou BitLocker)  Base de données : Transparent Data Encryption  Données : fonctions de chiffrement Différents algorithmes : DES, TRIPLE_DES, AES (128, 192, 256) Attention au canal de communication
Chiffrement des données Transparent Data Encryption  Pas d’action de l’utilisateur : transparent  Chiffrement des fichiers MDF et LDF  Chiffrement dans TempDB  Chiffrement des backups  Les buffers en mémoire ne sont pas chiffrés  Impact en performance : 3 à 5% (sur un TPC-C) mais 28% de CPU en plus
Chiffrement des données Transparent Data Encryption --création de la DEK CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_128 ENCRYPTION BY SERVER CERTIFICATE aCert; --activation de l’option ALTER DATABASE maBase SET ENCRYPTION ON;
Chiffrement des données Cell-Level Encryption  Chiffrement explicite de l’utilisateur  Impact sur les applications  Granularité fine  Attention aux « dictionnary-attack »  Utilisation des fonctions : EncryptBy, DecryptBy, SignBy, VerifySignedBy, etc.
SQL Injection C’est l’attaque la plus fréquente Pour s’en protéger :  Politique d’autorisation  Principe du moindre privilège  Proscrire le SQL Dynamique  Utiliser des requêtes paramétrées  Utilisation de SqlParameter  Contrôler les saisies  Utilisation des regexp  Utilisation de QUOTENAME(), REPLACE()
Surveiller
Policy-based Management Policy :  Evaluer des Conditions sur les Facets du serveur Possibilité de les évaluer  À la demande  Planifiée  On Change
DDL Triggers Triggers sur les instructions DDL  CREATE, ALTER, DROP etc. , Scope Base de données ou Serveur Transactionnel Permet de rajouter du code :  Annulation de la transaction  Application de règles métier Event Notification (basé sur service Broker / asynchrone)
AUDIT Permet de tracer ce qu’il se passe sur un serveur Distinction entre le lieu ou on trace et ce qu’on trace  CREATE SERVER AUDIT  CREATE XXX AUDIT SPECIFICATION Granularité fine  Limitation à des utilisateurs particuliers  Limitation à un scope particulier (objets, actions) Basé sur le moteur d’événements Plus performant que la TRACE
Events et TRACE Le système d’événements est à la base des fonctionnalités de monitoring On peut utiliser les événements pour réagir dans « l’application »  Traitement des événements via le Service Broker CREATE EVENT NOTIFICATION ev ON SERVER FOR CREATE_DATABASE TO SERVICE ‘serv La TRACE est optimisée pour ne pas perturber l’activité  Pas de packaging XML La TRACE est exploitée en dehors de SQL Server
Et 2012 ?
Nouveauté ! Contained Databases Séparation du lien avec l’instance Isolation de la base  Plus besoin de LOGIN pour les utilisateurs Utilisation  Pratique pour la mise en place du mirroring (AlwaysOn)  Pratique pour les éditeurs
Conclusion
Conclusion Principe du moindre privilège Audit régulier (temps réel ) Pensez la sécurité au niveau du SI
Mais encore… Analysis Services Data Quality Services Power Pivot Integration Services Service Broker Réplication Reporting Services Log Shipping AlwaysOn Mirroring Master Data Services
Pour aller plus loin… Venez nous voir sur le stand SQL Server  Retrouvez les experts Microsoft et MVP  Assistez à des présentations des offres de nos partenaires Inscrivez-vous au « Virtual Launch Event » du 8 mars : http://aka.ms/vlefrance Visitez notre nouveau site : http://www.microsoft.fr/sql Evaluez dès aujourd’hui SQL Server 2012  En téléchargeant la RC0 : http://aka.ms/sql2012  En suivant nos « Virtual Labs » : http://aka.ms/sqllabs

Empfohlen

Spring Boot Observability
Spring Boot ObservabilitySpring Boot Observability
Spring Boot ObservabilityVMware Tanzu
 
Introduction to PowerShell
Introduction to PowerShellIntroduction to PowerShell
Introduction to PowerShellBoulos Dib
 
Windows PowerShell
Windows PowerShellWindows PowerShell
Windows PowerShellSandun Perera
 
Enhancing Network and Runtime Security with Cilium and Tetragon by Raymond De...
Enhancing Network and Runtime Security with Cilium and Tetragon by Raymond De...Enhancing Network and Runtime Security with Cilium and Tetragon by Raymond De...
Enhancing Network and Runtime Security with Cilium and Tetragon by Raymond De...ContainerDay Security 2023
 
DBA Fundamentals Group: Continuous SQL with Kafka and Flink
DBA Fundamentals Group: Continuous SQL with Kafka and FlinkDBA Fundamentals Group: Continuous SQL with Kafka and Flink
DBA Fundamentals Group: Continuous SQL with Kafka and FlinkTimothy Spann
 
Spring Security 5
Spring Security 5Spring Security 5
Spring Security 5Jesus Perez Franco
 
Introduction to kubernetes
Introduction to kubernetesIntroduction to kubernetes
Introduction to kubernetesRishabh Indoria
 
Kubernetes Networking 101
Kubernetes Networking 101Kubernetes Networking 101
Kubernetes Networking 101Weaveworks
 

Empfohlen

Spring Boot Observability
Spring Boot ObservabilitySpring Boot Observability
Spring Boot ObservabilityVMware Tanzu
 
Introduction to PowerShell
Introduction to PowerShellIntroduction to PowerShell
Introduction to PowerShellBoulos Dib
 
Windows PowerShell
Windows PowerShellWindows PowerShell
Windows PowerShellSandun Perera
 
Enhancing Network and Runtime Security with Cilium and Tetragon by Raymond De...
Enhancing Network and Runtime Security with Cilium and Tetragon by Raymond De...Enhancing Network and Runtime Security with Cilium and Tetragon by Raymond De...
Enhancing Network and Runtime Security with Cilium and Tetragon by Raymond De...ContainerDay Security 2023
 
DBA Fundamentals Group: Continuous SQL with Kafka and Flink
DBA Fundamentals Group: Continuous SQL with Kafka and FlinkDBA Fundamentals Group: Continuous SQL with Kafka and Flink
DBA Fundamentals Group: Continuous SQL with Kafka and FlinkTimothy Spann
 
Spring Security 5
Spring Security 5Spring Security 5
Spring Security 5Jesus Perez Franco
 
Introduction to kubernetes
Introduction to kubernetesIntroduction to kubernetes
Introduction to kubernetesRishabh Indoria
 
Kubernetes Networking 101
Kubernetes Networking 101Kubernetes Networking 101
Kubernetes Networking 101Weaveworks
 
Docker Kubernetes Istio
Docker Kubernetes IstioDocker Kubernetes Istio
Docker Kubernetes IstioAraf Karsh Hamid
 
DevOps with Kubernetes
DevOps with KubernetesDevOps with Kubernetes
DevOps with KubernetesEastBanc Tachnologies
 
OAuth2 and Spring Security
OAuth2 and Spring SecurityOAuth2 and Spring Security
OAuth2 and Spring SecurityOrest Ivasiv
 
Kubernetes Networking - Sreenivas Makam - Google - CC18
Kubernetes Networking - Sreenivas Makam - Google - CC18Kubernetes Networking - Sreenivas Makam - Google - CC18
Kubernetes Networking - Sreenivas Makam - Google - CC18CodeOps Technologies LLP
 
Alphorm.com Formation Kubernetes : Installation et Configuration
Alphorm.com Formation Kubernetes : Installation et ConfigurationAlphorm.com Formation Kubernetes : Installation et Configuration
Alphorm.com Formation Kubernetes : Installation et ConfigurationAlphorm
 
Openshift Container Platform
Openshift Container PlatformOpenshift Container Platform
Openshift Container PlatformDLT Solutions
 
Docker Networking - Common Issues and Troubleshooting Techniques
Docker Networking - Common Issues and Troubleshooting TechniquesDocker Networking - Common Issues and Troubleshooting Techniques
Docker Networking - Common Issues and Troubleshooting TechniquesSreenivas Makam
 
Kubernetes 101
Kubernetes 101Kubernetes 101
Kubernetes 101Winton Winton
 
Maven tutorial
Maven tutorialMaven tutorial
Maven tutorialDragos Balan
 
P5 stockage
P5 stockageP5 stockage
P5 stockageLilia Sfaxi
 
Migration d'une Architecture Microservice vers une Architecture Event-Driven ...
Migration d'une Architecture Microservice vers une Architecture Event-Driven ...Migration d'une Architecture Microservice vers une Architecture Event-Driven ...
Migration d'une Architecture Microservice vers une Architecture Event-Driven ...Daniel Rene FOUOMENE PEWO
 
Database migrations with Flyway and Liquibase
Database migrations with Flyway and LiquibaseDatabase migrations with Flyway and Liquibase
Database migrations with Flyway and LiquibaseLars Östling
 
Understanding docker networking
Understanding docker networkingUnderstanding docker networking
Understanding docker networkingLorenzo Fontana
 
Content Storage With Apache Jackrabbit
Content Storage With Apache JackrabbitContent Storage With Apache Jackrabbit
Content Storage With Apache JackrabbitJukka Zitting
 
Intégration et livraison continues des bonnes pratiques de conception d'appli...
Intégration et livraison continues des bonnes pratiques de conception d'appli...Intégration et livraison continues des bonnes pratiques de conception d'appli...
Intégration et livraison continues des bonnes pratiques de conception d'appli...Amazon Web Services
 
PowerShell-1
PowerShell-1PowerShell-1
PowerShell-1Saravanan G
 
Deploying and Operating KSQL
Deploying and Operating KSQLDeploying and Operating KSQL
Deploying and Operating KSQLconfluent
 
Kubernetes
KubernetesKubernetes
KubernetesLhouceine OUHAMZA
 
Introduction to the Container Network Interface (CNI)
Introduction to the Container Network Interface (CNI)Introduction to the Container Network Interface (CNI)
Introduction to the Container Network Interface (CNI)Weaveworks
 
Spring Boot+Kafka: the New Enterprise Platform
Spring Boot+Kafka: the New Enterprise PlatformSpring Boot+Kafka: the New Enterprise Platform
Spring Boot+Kafka: the New Enterprise PlatformVMware Tanzu
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 

Weitere ähnliche Inhalte

Was ist angesagt?

OAuth2 and Spring Security
OAuth2 and Spring SecurityOAuth2 and Spring Security
OAuth2 and Spring SecurityOrest Ivasiv
 
Kubernetes Networking - Sreenivas Makam - Google - CC18
Kubernetes Networking - Sreenivas Makam - Google - CC18Kubernetes Networking - Sreenivas Makam - Google - CC18
Kubernetes Networking - Sreenivas Makam - Google - CC18CodeOps Technologies LLP
 
Alphorm.com Formation Kubernetes : Installation et Configuration
Alphorm.com Formation Kubernetes : Installation et ConfigurationAlphorm.com Formation Kubernetes : Installation et Configuration
Alphorm.com Formation Kubernetes : Installation et ConfigurationAlphorm
 
Openshift Container Platform
Openshift Container PlatformOpenshift Container Platform
Openshift Container PlatformDLT Solutions
 
Docker Networking - Common Issues and Troubleshooting Techniques
Docker Networking - Common Issues and Troubleshooting TechniquesDocker Networking - Common Issues and Troubleshooting Techniques
Docker Networking - Common Issues and Troubleshooting TechniquesSreenivas Makam
 
Migration d'une Architecture Microservice vers une Architecture Event-Driven ...
Migration d'une Architecture Microservice vers une Architecture Event-Driven ...Migration d'une Architecture Microservice vers une Architecture Event-Driven ...
Migration d'une Architecture Microservice vers une Architecture Event-Driven ...Daniel Rene FOUOMENE PEWO
 
Database migrations with Flyway and Liquibase
Database migrations with Flyway and LiquibaseDatabase migrations with Flyway and Liquibase
Database migrations with Flyway and LiquibaseLars Östling
 
Understanding docker networking
Understanding docker networkingUnderstanding docker networking
Understanding docker networkingLorenzo Fontana
 
Content Storage With Apache Jackrabbit
Content Storage With Apache JackrabbitContent Storage With Apache Jackrabbit
Content Storage With Apache JackrabbitJukka Zitting
 
Intégration et livraison continues des bonnes pratiques de conception d'appli...
Intégration et livraison continues des bonnes pratiques de conception d'appli...Intégration et livraison continues des bonnes pratiques de conception d'appli...
Intégration et livraison continues des bonnes pratiques de conception d'appli...Amazon Web Services
 
Deploying and Operating KSQL
Deploying and Operating KSQLDeploying and Operating KSQL
Deploying and Operating KSQLconfluent
 
Introduction to the Container Network Interface (CNI)
Introduction to the Container Network Interface (CNI)Introduction to the Container Network Interface (CNI)
Introduction to the Container Network Interface (CNI)Weaveworks
 
Spring Boot+Kafka: the New Enterprise Platform
Spring Boot+Kafka: the New Enterprise PlatformSpring Boot+Kafka: the New Enterprise Platform
Spring Boot+Kafka: the New Enterprise PlatformVMware Tanzu
 

Was ist angesagt? (20)

Docker Kubernetes Istio
Docker Kubernetes IstioDocker Kubernetes Istio
Docker Kubernetes Istio
 
DevOps with Kubernetes
DevOps with KubernetesDevOps with Kubernetes
DevOps with Kubernetes
 
OAuth2 and Spring Security
OAuth2 and Spring SecurityOAuth2 and Spring Security
OAuth2 and Spring Security
 
Kubernetes Networking - Sreenivas Makam - Google - CC18
Kubernetes Networking - Sreenivas Makam - Google - CC18Kubernetes Networking - Sreenivas Makam - Google - CC18
Kubernetes Networking - Sreenivas Makam - Google - CC18
 
Alphorm.com Formation Kubernetes : Installation et Configuration
Alphorm.com Formation Kubernetes : Installation et ConfigurationAlphorm.com Formation Kubernetes : Installation et Configuration
Alphorm.com Formation Kubernetes : Installation et Configuration
 
Openshift Container Platform
Openshift Container PlatformOpenshift Container Platform
Openshift Container Platform
 
Docker Networking - Common Issues and Troubleshooting Techniques
Docker Networking - Common Issues and Troubleshooting TechniquesDocker Networking - Common Issues and Troubleshooting Techniques
Docker Networking - Common Issues and Troubleshooting Techniques
 
Kubernetes 101
Kubernetes 101Kubernetes 101
Kubernetes 101
 
Maven tutorial
Maven tutorialMaven tutorial
Maven tutorial
 
P5 stockage
P5 stockageP5 stockage
P5 stockage
 
Migration d'une Architecture Microservice vers une Architecture Event-Driven ...
Migration d'une Architecture Microservice vers une Architecture Event-Driven ...Migration d'une Architecture Microservice vers une Architecture Event-Driven ...
Migration d'une Architecture Microservice vers une Architecture Event-Driven ...
 
Database migrations with Flyway and Liquibase
Database migrations with Flyway and LiquibaseDatabase migrations with Flyway and Liquibase
Database migrations with Flyway and Liquibase
 
Understanding docker networking
Understanding docker networkingUnderstanding docker networking
Understanding docker networking
 
Content Storage With Apache Jackrabbit
Content Storage With Apache JackrabbitContent Storage With Apache Jackrabbit
Content Storage With Apache Jackrabbit
 
Intégration et livraison continues des bonnes pratiques de conception d'appli...
Intégration et livraison continues des bonnes pratiques de conception d'appli...Intégration et livraison continues des bonnes pratiques de conception d'appli...
Intégration et livraison continues des bonnes pratiques de conception d'appli...
 
PowerShell-1
PowerShell-1PowerShell-1
PowerShell-1
 
Deploying and Operating KSQL
Deploying and Operating KSQLDeploying and Operating KSQL
Deploying and Operating KSQL
 
Kubernetes
KubernetesKubernetes
Kubernetes
 
Introduction to the Container Network Interface (CNI)
Introduction to the Container Network Interface (CNI)Introduction to the Container Network Interface (CNI)
Introduction to the Container Network Interface (CNI)
 
Spring Boot+Kafka: the New Enterprise Platform
Spring Boot+Kafka: the New Enterprise PlatformSpring Boot+Kafka: the New Enterprise Platform
Spring Boot+Kafka: the New Enterprise Platform
 

Ähnlich wie La sécurité avec SQL Server 2012

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDenodo
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDenodo
 
SQL Server et les développeurs
SQL Server et les développeurs SQL Server et les développeurs
SQL Server et les développeurs Microsoft
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008Patrick Guimonet
 
Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 ABC Systemes
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...aOS Community
 
Sql azure performance et montee en charge (1)
Sql azure performance et montee en charge (1)Sql azure performance et montee en charge (1)
Sql azure performance et montee en charge (1)Aymeric Weinbach
 
DevOps Day - Infrastructure As A Code
DevOps Day - Infrastructure As A CodeDevOps Day - Infrastructure As A Code
DevOps Day - Infrastructure As A CodeCellenza
 
myLittleAdmin and myLittleBackup Presentation
myLittleAdmin and myLittleBackup PresentationmyLittleAdmin and myLittleBackup Presentation
myLittleAdmin and myLittleBackup PresentationElian Chrebor
 
TechDays 2010 (CLO202) : Introduction à Windows Azure
TechDays 2010 (CLO202) : Introduction à Windows AzureTechDays 2010 (CLO202) : Introduction à Windows Azure
TechDays 2010 (CLO202) : Introduction à Windows AzureThomas Conté
 
Java dans Windows Azure, l'exemple de JOnAS
Java dans Windows Azure, l'exemple de JOnASJava dans Windows Azure, l'exemple de JOnAS
Java dans Windows Azure, l'exemple de JOnASGuillaume Sauthier
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureJason De Oliveira
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - MonitoringRadoine Douhou
 

Ähnlich wie La sécurité avec SQL Server 2012 (20)

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
SQL Server et les développeurs
SQL Server et les développeurs SQL Server et les développeurs
SQL Server et les développeurs
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solution
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008
 
Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
 
Dev ops Monitoring
Dev ops MonitoringDev ops Monitoring
Dev ops Monitoring
 
Sql azure performance et montee en charge (1)
Sql azure performance et montee en charge (1)Sql azure performance et montee en charge (1)
Sql azure performance et montee en charge (1)
 
DevOps Day - Infrastructure As A Code
DevOps Day - Infrastructure As A CodeDevOps Day - Infrastructure As A Code
DevOps Day - Infrastructure As A Code
 
myLittleAdmin and myLittleBackup Presentation
myLittleAdmin and myLittleBackup PresentationmyLittleAdmin and myLittleBackup Presentation
myLittleAdmin and myLittleBackup Presentation
 
TechDays 2010 (CLO202) : Introduction à Windows Azure
TechDays 2010 (CLO202) : Introduction à Windows AzureTechDays 2010 (CLO202) : Introduction à Windows Azure
TechDays 2010 (CLO202) : Introduction à Windows Azure
 
Java dans Windows Azure, l'exemple de JOnAS
Java dans Windows Azure, l'exemple de JOnASJava dans Windows Azure, l'exemple de JOnAS
Java dans Windows Azure, l'exemple de JOnAS
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows Azure
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - Monitoring
 

Mehr von Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Microsoft Technet France
 

Mehr von Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
 

La sécurité avec SQL Server 2012

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. La Sécurité avec SQL Server 7 février 2012 Jean-Pierre Riehl Pascale Doz MVP SQL Server Consultante SQL Server AZEO Indépendante Jean-Pierre.Riehl@azeo.com pascale@pascale-doz.com
  • 3. AZEO, LE PARTENAIRE MICROSOFT incubateur de talents Pure-Player innovant focalisé sur la création de valeur Infrastructure, Collaboratif, Développement, Communication Gold Partner dans toutes nos Practices AZEO ACCOMPAGNE DURABLEMENT l’évolution de votre système d’informations AZEO ENRICHIT LA CREATION DE VALEUR grâce à un réseau de partenaires sélectionnés AZEO DEVELOPPE VOTRE TALENT et accélère votre réussite
  • 4. Agenda Back to Basics Contrôle d’accès Protection des données Surveillance SQL Server 2012
  • 6. Back to Basics « La sécurité dépend du risque » « La sécurité est alignée sur le maillon le plus faible » « Principe du moindre-privilège »
  • 7. A retenir Back to Basics Accès Protection Surveillance
  • 9. Surface d’exposition Limiter les ouvertures  Composants  Endpoints Principe du moindre privilège Pensez à l’ensemble de votre SI
  • 10. Accéder à SQL Server Principals  Login vs User A la base, il y a toujours un Login  Mode intégré ou mixte  Permet de se connecter à l’instance SQL Le User/Certificat permet d’utiliser la base de données  Donne un contexte au login  Attention aux utilisateurs guest / dbo Rôles (serveur ou base de données)
  • 11. Authentification La bonne pratique : Utilisation de la sécurité Windows  Gestion centralisée avec Active Directory  Respect des politiques d’entreprise  Pas de gestion de mot de passe Mais toujours un besoin de la sécurité SQL pour les « clients » non-windows
  • 12. Accéder à SQL Server Securables  De l’instance SQL aux objets On donne ou refuse l’accès à un Principal  GDR : GRANT, DENY, ou REVOKE Principe de résolution : 1. Définition du contexte de sécurité 2. Echec s’il y a au moins un DENY 3. Succès s’il y a au moins un GRANT Attention au principe de l’Ownership Chain Attention au Cross-Database Ownership, trustworthy
  • 13. Accéder à SQL Server Quelques bonnes pratiques :  Authentification intégrée, politique de mot de passe  Pas d’utilisation de dbo ou sysadmin  Utilisation des SCHEMAS  Cloisonnement  Principe du moindre privilège
  • 15. Une histoire de clés Service Master Key : niveau instance Database Master Key : niveau base de données Clés asymétriques Certificats Clés symétriques Importance des sauvegardes !
  • 16. Une histoire de clés Extensible Key Management : EKM • Nouveauté de SQL Server 2008 • Exportation de la gestion des clés dans une appliance dédiée • Hardware Security Module (HSM) Ex : Arx PrivateServer, Thales nCipher, SafeNet Luna
  • 17. Chiffrement des données Ne remplace pas la politique d’autorisations Protection « In-depth » Différentes granularités  Serveur : géré par Windows (EFS ou BitLocker)  Base de données : Transparent Data Encryption  Données : fonctions de chiffrement Différents algorithmes : DES, TRIPLE_DES, AES (128, 192, 256) Attention au canal de communication
  • 18. Chiffrement des données Transparent Data Encryption  Pas d’action de l’utilisateur : transparent  Chiffrement des fichiers MDF et LDF  Chiffrement dans TempDB  Chiffrement des backups  Les buffers en mémoire ne sont pas chiffrés  Impact en performance : 3 à 5% (sur un TPC-C) mais 28% de CPU en plus
  • 19. Chiffrement des données Transparent Data Encryption --création de la DEK CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_128 ENCRYPTION BY SERVER CERTIFICATE aCert; --activation de l’option ALTER DATABASE maBase SET ENCRYPTION ON;
  • 20. Chiffrement des données Cell-Level Encryption  Chiffrement explicite de l’utilisateur  Impact sur les applications  Granularité fine  Attention aux « dictionnary-attack »  Utilisation des fonctions : EncryptBy, DecryptBy, SignBy, VerifySignedBy, etc.
  • 21. SQL Injection C’est l’attaque la plus fréquente Pour s’en protéger :  Politique d’autorisation  Principe du moindre privilège  Proscrire le SQL Dynamique  Utiliser des requêtes paramétrées  Utilisation de SqlParameter  Contrôler les saisies  Utilisation des regexp  Utilisation de QUOTENAME(), REPLACE()
  • 23. Policy-based Management Policy :  Evaluer des Conditions sur les Facets du serveur Possibilité de les évaluer  À la demande  Planifiée  On Change
  • 24. DDL Triggers Triggers sur les instructions DDL  CREATE, ALTER, DROP etc. , Scope Base de données ou Serveur Transactionnel Permet de rajouter du code :  Annulation de la transaction  Application de règles métier Event Notification (basé sur service Broker / asynchrone)
  • 25. AUDIT Permet de tracer ce qu’il se passe sur un serveur Distinction entre le lieu ou on trace et ce qu’on trace  CREATE SERVER AUDIT  CREATE XXX AUDIT SPECIFICATION Granularité fine  Limitation à des utilisateurs particuliers  Limitation à un scope particulier (objets, actions) Basé sur le moteur d’événements Plus performant que la TRACE
  • 26. Events et TRACE Le système d’événements est à la base des fonctionnalités de monitoring On peut utiliser les événements pour réagir dans « l’application »  Traitement des événements via le Service Broker CREATE EVENT NOTIFICATION ev ON SERVER FOR CREATE_DATABASE TO SERVICE ‘serv La TRACE est optimisée pour ne pas perturber l’activité  Pas de packaging XML La TRACE est exploitée en dehors de SQL Server
  • 28. Nouveauté ! Contained Databases Séparation du lien avec l’instance Isolation de la base  Plus besoin de LOGIN pour les utilisateurs Utilisation  Pratique pour la mise en place du mirroring (AlwaysOn)  Pratique pour les éditeurs
  • 30. Conclusion Principe du moindre privilège Audit régulier (temps réel ) Pensez la sécurité au niveau du SI
  • 31. Mais encore… Analysis Services Data Quality Services Power Pivot Integration Services Service Broker Réplication Reporting Services Log Shipping AlwaysOn Mirroring Master Data Services
  • 32. Pour aller plus loin… Venez nous voir sur le stand SQL Server  Retrouvez les experts Microsoft et MVP  Assistez à des présentations des offres de nos partenaires Inscrivez-vous au « Virtual Launch Event » du 8 mars : http://aka.ms/vlefrance Visitez notre nouveau site : http://www.microsoft.fr/sql Evaluez dès aujourd’hui SQL Server 2012  En téléchargeant la RC0 : http://aka.ms/sql2012  En suivant nos « Virtual Labs » : http://aka.ms/sqllabs

Hinweis der Redaktion

  1. PascaleLe pire est rare, mais jamais decevantIl faut tout d’abord maitriser la Surface d’exposition de l’instance SQL ServerCeci se pense en globalité dans le SIComment se place mon Instance SQL dans mon Système d’informationutilisation et droit du compte de service dédiéListe des services : SQL Browser, etc.Endpoints : TCP 1433, BrokerOn peut citer des fonctions à désactiver : CLR IntegrationRemote use of a dedicated administrator connectionOLE Automation system proceduresSystem procedures for Database Mail and SQL MailAd hoc remote queries (the OPENROWSET and OPENDATASOURCE functions)xp_cmdshell availability
  2. PascaleFin: JPDémo: cross databaseownership JPR
  3. JPCommentaire éventuel de Pascale
  4. JPRPour les buffers, considérez les dump mémoireDémo: Pascale
  5. PascaleDémo JP
  6. Surcout divisé par 2 par rapport à la trace
  7. TRACE n’est pas sensible au rollback de transactionPush vs. Pull