Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

SQL Serveur et la sécurité : le cryptage à l’honneur

février 2009 par Marc Jacob

Durant les Microsoft TechDays, Christian Robert, MVP-SQL Server a présenté les nouveautés en termes de sécurité introduit dans SQL Server 2008. Cette nouvelle version permet entre autre un chiffrement des données transparent, des rapports d’audit conforme aux différentes réglementations Bâle II, SoX…

Christian Robert a fait un rapide panorama des risques inhérents aux bases de données. Il a rappelé quelques récentes affaires où des bases de données confidentielles ont été égarées par mégarde. Mais aussi il a listé d’autres risques comme le vol de matériel, les attaques externes et internes… Un des remèdes est le chiffrement des données et la sécurisation des accès aux données.

Ainsi, dans SQL Server 2008, on trouve un chiffrement transparent des données et leurs sauvegardes. L’utilisateur doit aussi paramétrer de façon obligatoire la sécurité lors de l’installation. Cette nouvelle version inclut aussi de la cryptographie, des règles de contrôle et une amélioration de l’authentification par Kerberos.

Christian Robert a aussi donnée des conseils pour mieux sécuriser les bases de données. EN particulier en bloquant le port 1433. Pour lui, les comptes de service ne doivent pas être en mode administrateurs. Il faut aussi limiter l’usage des privilèges Sysadmin. Les codes SQL Dynamic doivent être réduit et renommé pour éviter l’injection de code SQL. Tous les comptes doivent disposer de mots de passe. Il est même important d’interdire la création de compte de connexion sans mot de passe fort.

Avec SQL Server 2008, il est obligatoire de renseigner le compte de service. Idéalement, ce doit être un compte utilisateur de la machine locale du domaine créé pour cet usage. Il faut déterminer la liste des comptes Sysadmin. Bien sûr, il faut en créer un pour celui qui a réalisé l’installation et indiquer un mot de passe « sa ». Il faut choisir un mode d’authentification qui associe un utilisateur à un mot de passe. Tous les protocoles réseaux ne fournissent pas le même niveau de sécurité. Il faut donc préférer le TCP/IP qui permet le cryptage.

SQL Server 2008 inclut l’outil de certification « Policy Based Management ». Enfin, il propose un module d’audit conforme à la plupart des réglementations SoX, Bâle II…Il permet un suivi des actions sur le serveur, de maîtriser la connaissance de la circulation de l’information et de séparer les rôles. Enfin, il devrait permettre de responsabiliser les utilisateurs par les mesures de contrôle incluses. Il a souligné que els fonctions de cryptages ne sont disponibles que dans la version Enterprise et pas utilisable pour les portables. Pour les portables, la version « pocket » propose des fonctions de cryptage.

Pour conclure son intervention, Christian Robert a rappelé que la perte des clés des cryptages implique la perte d’accès aux données… Donc, il ne faut pas hésiter à conserver ces clés dans un endroit sûr.




Voir les articles précédents

    

Voir les articles suivants