SlideShare une entreprise Scribd logo
1  sur  34
Daniel PASQUIER - Microsoft
pascale@pascale-doz.com
Pascale DOZ Consulting
danielp@microsoft.com
La Sécurité dans SQL Server 2016
& Azure SQL Database
Sécurité & Conformité
Sécurité
N° 4
Conformité
Contrôle d’Accès
Accès Base de Données Azure Active Directory Authentication (AAD)
Accès Applications Row-Level Security (RLS)
Dynamic Data Masking (DDM)
Surveillance Proactive
Suivi & Détection Auditing & Threat Detection
Protection des Données
Données en transit Transport Layer Security (TLS)
Données au repos Transparent Data Encryption (TDE)
et en cours d’utilisation (client) Always Encrypted (AE)
Compliance: FedRAMP, ISO, HIPAA, PCI 3.1, EU Model Clauses, UK G-Cloud
(gouvernement) (médical) (paiement) (personnel) (secteur public)
Chiffrement SSL/TLS
Protection des données: en transit
 Assurez-vous que la communication SQL est chiffrée
 N’impacte pas directement le moteur SQL
Charge générée par le chiffrement allers et retours au niveau de l’OS
 Peut être imposé au niveau du client ou du serveur
La connexion client peut échouer si le pilote ne supporte pas le chiffrement
 Certificat d’Autorité digne de confiance (Auto-Signé possible)
Transparent Data Encryption
Protection des données: au repos
N° 7
 Pas de changement au niveau applicatif – transparent 
 Pas de chiffrement des données en mémoire ou en transit
Les pages sont déchiffrées à la volé (monté dans la mémoire SQL)
Les données déchiffrées peuvent être écrites sur le disque (paged out)
 Nécessite un certificat pour le chiffrement/déchiffrement de la base
de données
Le certificat et la clé privée doivent être présent pour restaurer la base sur une
instance différente
 Fonctionnalité disponible en version Enterprise
 Les fichiers de la database et les sauvegardes seront chiffrés ainsi
que Tempdb
 Généralement le DBA a accès à TOUTES les données
sensibles même si elles sont chiffrées
Il n’existe pas de moyen pour éviter cela dans les versions précédentes,
hormis la mise en oeuvre d’un développement personnalisé
 Un administrateur sécurité peut générer/positioner les clés
tandis que le DBA configure le chiffrement
Cela empêche le DBA de voir les données de la base car le Serveur SQL
détient jamais le certificat et la clé privée
Des cmdlets Powershell existent pour séparer ces tâches
Always Encrypted
Protection des données: en cours d’utilisation (client)
N° 8
Always Encrypted
Protection de données: en cours d’utilisation (client)
N° 9
Chiffrement coté
client
Chiffrement des données
sensibles coté client à l’aide
de clés qui ne sont jamais
données au système de base
de données.
Requêtes sur des
données chiffrées
Support de la comparaison
d’égalité, jointure incl.,
Group by et opérateurs
distincts.
Transparent pour
l’application
Changements mineurs au
niveau application serveur et
améliorations de la librairie
cliente.
Outillage disponible avec SSMS, SSDT (new), PowerShell (new)
Protège les données sensibles en cours d’utilisation de privilèges élevés SQLusers.
Always Encrypted
Aide à protéger les données au repos et en mouvement, local & Cloud
N° 10
Client Side
Query
TrustedApps
SELECT Name FROM
Patients WHERE SSN=@SSN
@SSN='198-33-0987'
Result Set
SELECT Name FROM
Patients WHERE SSN=@SSN
@SSN=0x7ff654ae6d
Column
Encryption
Key
Enhanced
ADO.NET
Library
Column
Master
Key
Client side
ciphertext
Name
243-24-9812
SSN Country
Denny Usher 198-33-0987 USA
Alicia Hodge 123-82-1095 USA
Philip Wegner USA
dbo.Patients
SQL Server
dbo.Patients
Philip Wegner
Name SSN
USA
Denny Usher 0x7ff654ae6d USA
Alicia Hodge 0y8fj754ea2c USA
1x7fg655se2e
Country
Philip Wegner
Name
1x7fg655se2e
SSN
USA
Country
Denny Usher 0x7ff654ae6d USA
Alicia Hodge 0y8fj754ea2c USA
dbo.Patients
Result Set
Denny Usher
Name
0x7ff654ae6d
SSN
USA
Country
198-33-0987
Server Side – On premise & Cloud
N’impact pas les performance de la « database » car l’opération
de déchiffrement se fait sur la partie cliente / applicatif
Always Encrypted
Column Master Key
N° 11
 Une entrée de métadonnées qui pointe vers un certificat
Le certificat est stocké dans un magasin de clés externe tel que Azure Key Vault
 Utilisé pour chiffrer une “Column Encryption Key”
 Clé utilisée pour chiffrer les valeurs de colonne de la table
 Chiffrée / Protégée par la Column Master Key (CMK)
 Peut avoir jusqu'à 2 valeurs chiffrées (pour la rotation CMK)
Always Encrypted
Column Encryption Key
N° 12
1. Créer un Certificat & clé privée: CMK (externe à SQL)
 Magasin Windows Certificate
 Azure Key Vault
 Hardware Security Module (HSM)
2. Créer une Column Encryption Key (CEK)
3. Chiffrer les données avec la CEK
4. Référencement de la Column Master Key (CMK dans Aure
Key Vault, Windows ou HSM) et de la structure chiffrée de la
Column Encryption Key (CEK) dans SQL
5. Donner à l’application l’accès aux données
Always Encrypted
Mise en oeuvre de Always Encrypted
N° 13
 Spécifier la Column
Encryption Key
 Spécifier l’algorithme et
le type de cryptage
 Cryptage déterministe
nécessite un classement
BIN2
Always Encrypted
Création des objets Always Encrypted
N° 14
Déterministe
• Génère toujours la même
valeur chiffrée pour une
valeur de texte brut
• Permet des opérations de
recherche efficace
Aléatoires
• Crypte les données d’une
manière moins prévisible
• Plus sûr
• Ne permet pas les
opérations de recherche
 Peut être effectué via SSMS UI
 Créer une nouvelle table et
déplacer les données
 Doit avoir accès au certificate
pour la CMK
 SSMS vous permet de générer
un script Powershell à exécuter
ultérieurement
Always Encrypted
Convertir une Table existante pour utiliser AE
N° 15
Déplacer une base SQL Always Encrypted
comme n’importe quelle autre base
 Rotation des clés est parfois requise
à des fins réglementaires
 La rotation de la Column Master Key
ajoute une clé sous forme chiffrée à
la Column Encryption Key
 Ne provoque pas le « rechiffrement »
des données de la table
Always Encrypted
Rotation de la Column Master Key
N° 16
Always Encrypted
Résumé: Always Encrypted
N° 18
Les données restent chiffrées
au cours de la requête
Fonctionnalité
• ADO.Net client fournit le chiffrement
transparent côté client, tandis que SQL
Server exécute des requêtes T-SQL sur
des données chiffrées
Avantages
• Les données sensibles restent cryptées
et requêtables en tout temps on-
premises & cloud (Pas d’accès aux DBA /
Admin Azure)
• Des utilisateurs non autorisés n’ont
jamais accès aux données ou aux clés
• Aucun changement sur l’application,
nécessite juste un paramétrage de la
base de données
Apps TCE-enabled
ADO .NET library
SQL ServerRequête
Chiffrée
Columnar
key
No app
changes
Master
key
Usage de TDE recommandé & chiffrement SSL/TLS
Always Encrypted
Limitations actuelles sur Always Encrypted
N° 19
XML/Image/text/variant
data types
Filestream ROWGUID Partition columns Sparse columns
Check/default
constraints
Referenced columns in
FKeys
Dynamic Data Masking StetchDB columns
Transactional/Merge
repl
Linked Server queries Temporal
Efficient inequality
searches
Azure AD Authentication
Contrôle d’Accès: Accès Base de Données
Gestion centrale
des identités
Aide à stopper la prolifération des
identités d’utilisateurs sur des
serveurs de base de données.
Gestion de
l’autorisation
simplifiée
Les clients peuvent gérer les
autorisations de base de données
à l’aide des groupes Azure AD.
“Single Sign-On”
Une fois connecté à un ordinateur
joint au domaine, les utilisateurs
se connectent à leurs bases de
données SQL, le portail Azure et
les outils (par exemple, l’éditeur
de requête) sans avoir à fournir
des informations d’identification.
Centraliser la gestion des autorisations des utilisateurs
Azure AD Authentication
Un point central pour gérer les utilisateurs sur l’ensemble des services
N° 22
Plusieurs méthodes d’authentification
 Alternative à l’authentification SQL Server
 Simplifie la gestion des autorisations à la base de données à
l’aide des groupes externes d’Azure Active Directory
 Permet le changement de mot de passe à partir d’un
point central
 Username/password pour les comptes Azure AD
 Integrated Windows authentication, pour les domaines
fédérés qui sont authentifiés via Azure AD
 Certificate-based authentication, dans le cas où le certificat
est enregistré dans Azure AD
ADO
.NET 4.6
ADALSQL
Row-Level Security (RLS)
Contrôle d’Acces: Accès Application
Database
CREATE FUNCTION dbo.fn_securitypredicate(@wing int)
RETURNS TABLE WITH SCHEMABINDING AS
return SELECT 1 as [fn_securitypredicate_result] FROM
StaffDuties d INNER JOIN Employees e
ON (d.EmpId = e.EmpId)
WHERE e.UserSID = SUSER_SID() AND @wing = d.Wing;
CREATE SECURITY POLICY dbo.SecPol
ADD FILTER PREDICATE dbo.fn_securitypredicate(Wing) ON Patients
WITH (STATE = ON)
Security
Policy
Application
Patients
1) L'administrateur crée un filtre
utilisateur et une stratégie de sécurité
dans T-SQL, reliant le prédicat à la table
des Patients
2) L’utilisateur de l’application (p. ex.,
infirmière) fait une sélection dans la table
de Patients
3) La stratégie de sécurité réécrit de
façon transparente la requête pour
appliquer le filtre au prédicat
SELECT * FROM Patients
SELECT * FROM Patients
SEMIJOIN APPLY dbo.fn_securitypredicate(patients.Wing);
SELECT Patients.* FROM Patients,
StaffDuties d INNER JOIN Employees e ON (d.EmpId = e.EmpId)
WHERE e.UserSID = SUSER_SID() AND Patients.wing = d.Wing;
RLS permet aux clients de contrôler l’accès aux lignes d’une table de base de données
basée sur les caractéristiques de l’utilisateur qui exécute une requête
Dynamic Data Masking
Contrôle d’Accès: Accès Application
ALTER TABLE [Employee] ALTER COLUMN [SocialSecurityNumber]
ADD MASKED WITH (FUNCTION = 'partial(0,"***-**-",4)') NULL
ALTER TABLE [Employee] ALTER COLUMN [Email]
ADD MASKED WITH (FUNCTION = ‘EMAIL()’)
ALTER TABLE [Employee] ALTER COLUMN [Salary]
ADD MASKED WITH (FUNCTION = ‘RANDOM(1,20000)’)
GRANT UNMASK to admin1
1) L’Agent de sécurité définit la stratégie de la DDM dans T-SQL sur les données sensibles de la table Employee2) L’utilisateur de l’application fait une sélection dans la table Employee3) La stratégie DDM offusque les données sensibles dans les résultats de la requête
SELECT [Name],
[SocialSecurityNumber],
[Email],
[Salary]
FROM [Employee]
SQL DB
N° 25
Auditing & Threat Detection
Surveillance et Proactive: Suivi & Detection
N° 27
Respect de la
réglementation
Auditing aide les clients de
les entreprises à répondre
aux normes de sécurité et
aux exigences
réglementaires
(ex: PCI-DSS, HIPAA).
L’intelligence du
Cloud
Des algorithmes propriétaires
travaillent 24h/24 pour
construire un profil
comportemental de votre
base de données et identifier
les activités anormales et les
menaces potentielles.
Enquêter et
atténuer
Réagir et répondre aux
menaces en temps réel, via
des alertes courriel et le
portail Azure. La Sécurité de
l’entreprise est plus facile
que jamais.
Surveiller et détecter des activités suspectes sur vos bases de données et
rationaliser les tâches relatives à la conformité.
Statut: Auditing disponible, Threat Detection en Preview
Auditing & Threat Detection
Auditing
N° 28
Threat Detection
 Configuré via le portail Azure & les
APIs standards
 Les journaux d’audit se trouvent dans
votre compte Azure Storage
 Le portail Azure et les modèles Excel
vous aident à analyser vos journaux
d’audit
 Configuré via le portail Azure & les APIs
standards
 Plusieurs ensembles d’algorithmes:
• Possibles vulnérabilités d’injection SQL
• Éventuels exploits d’injection SQL
• Accès à partir d’adresses IP anormales
• …plus à venir!
 Notification immédiate lors de la détection
des activités suspectes
 UX simplifiée vous aide à investiguer et
atténuer en utilisant le portail Azure
 Intégration avec Azure Security Center
Azure SQL Database Threat Detection assure la sécurité en
détectant les activités qui peuvent indiquer une menace telle que
les attaques par injection SQL.
Les avantages de Azure SQL Database Threat Detection inclus:
Auditing & Threat Detection
SQL Security Public Demo
N° 31
Fonctionnalités incluses:
• Auditing & Threat Detection
• Always Encrypted
• Row Level Security (RLS)
• Dynamic Data Masking
Faites un essai sur GitHub:
https://github.com/Microsoft/az
ure-sql-security-sample
N° 32
@microsoftfrance @Technet_France @msdev_fr
N° 33
Notez cette session
Et tentez de gagner un Surface Book
Doublez votre chance en répondant aussi
au questionnaire de satisfaction globale
* Le règlement est disponible sur demande au commissariat général de l’exposition. Image non-contractuelle
SURFACE BOOK

Contenu connexe

Tendances

Les modèles NoSQL
Les modèles NoSQLLes modèles NoSQL
Les modèles NoSQLebiznext
 
Administration Base de données Oracle
Administration Base de données OracleAdministration Base de données Oracle
Administration Base de données OracleAndrianaivo Lovatiana
 
Applications Android - cours 12 : Persistance de données SQLite
Applications Android - cours 12 : Persistance de données SQLiteApplications Android - cours 12 : Persistance de données SQLite
Applications Android - cours 12 : Persistance de données SQLiteAhmed-Chawki Chaouche
 
Les Base de Données NOSQL
Les Base de Données NOSQLLes Base de Données NOSQL
Les Base de Données NOSQLkamar MEDDAH
 
Big data: NoSQL comme solution
Big data: NoSQL comme solutionBig data: NoSQL comme solution
Big data: NoSQL comme solutionJEMLI Fathi
 
Base NoSql et Python
Base NoSql et PythonBase NoSql et Python
Base NoSql et Pythonyboussard
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
 
BigData_TP3 : Spark
BigData_TP3 : SparkBigData_TP3 : Spark
BigData_TP3 : SparkLilia Sfaxi
 
BigData_TP5 : Neo4J
BigData_TP5 : Neo4JBigData_TP5 : Neo4J
BigData_TP5 : Neo4JLilia Sfaxi
 
Cours data warehouse
Cours data warehouseCours data warehouse
Cours data warehousekhlifi z
 
Modélisation de données pour MongoDB
Modélisation de données pour MongoDBModélisation de données pour MongoDB
Modélisation de données pour MongoDBMongoDB
 
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...Alphorm
 
Cours java avance débutant facile l'essentiel swing ,events
Cours java avance débutant facile l'essentiel swing ,events Cours java avance débutant facile l'essentiel swing ,events
Cours java avance débutant facile l'essentiel swing ,events Houssem Hamrouni
 
BigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataBigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataLilia Sfaxi
 
Big Data, Hadoop & Spark
Big Data, Hadoop & SparkBig Data, Hadoop & Spark
Big Data, Hadoop & SparkAlexia Audevart
 
Chapitre1 introduction
Chapitre1 introductionChapitre1 introduction
Chapitre1 introductionMouna Torjmen
 

Tendances (20)

Les modèles NoSQL
Les modèles NoSQLLes modèles NoSQL
Les modèles NoSQL
 
Administration Base de données Oracle
Administration Base de données OracleAdministration Base de données Oracle
Administration Base de données Oracle
 
Applications Android - cours 12 : Persistance de données SQLite
Applications Android - cours 12 : Persistance de données SQLiteApplications Android - cours 12 : Persistance de données SQLite
Applications Android - cours 12 : Persistance de données SQLite
 
Les Base de Données NOSQL
Les Base de Données NOSQLLes Base de Données NOSQL
Les Base de Données NOSQL
 
Big data: NoSQL comme solution
Big data: NoSQL comme solutionBig data: NoSQL comme solution
Big data: NoSQL comme solution
 
Base NoSql et Python
Base NoSql et PythonBase NoSql et Python
Base NoSql et Python
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
 
BigData_TP3 : Spark
BigData_TP3 : SparkBigData_TP3 : Spark
BigData_TP3 : Spark
 
BigData_TP5 : Neo4J
BigData_TP5 : Neo4JBigData_TP5 : Neo4J
BigData_TP5 : Neo4J
 
Cours data warehouse
Cours data warehouseCours data warehouse
Cours data warehouse
 
Modélisation de données pour MongoDB
Modélisation de données pour MongoDBModélisation de données pour MongoDB
Modélisation de données pour MongoDB
 
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...
Alphorm.com Formation Windows Server 2019 : Installation et Configuration de ...
 
Cours java avance débutant facile l'essentiel swing ,events
Cours java avance débutant facile l'essentiel swing ,events Cours java avance débutant facile l'essentiel swing ,events
Cours java avance débutant facile l'essentiel swing ,events
 
BigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataBigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big Data
 
Technologies pour le Big Data
Technologies pour le Big DataTechnologies pour le Big Data
Technologies pour le Big Data
 
Big Data, Hadoop & Spark
Big Data, Hadoop & SparkBig Data, Hadoop & Spark
Big Data, Hadoop & Spark
 
Le langage sql
Le langage sqlLe langage sql
Le langage sql
 
Tp docker-v21
Tp docker-v21Tp docker-v21
Tp docker-v21
 
Chapitre1 introduction
Chapitre1 introductionChapitre1 introduction
Chapitre1 introduction
 
Chapitre 2 hadoop
Chapitre 2 hadoopChapitre 2 hadoop
Chapitre 2 hadoop
 

En vedette

RPO and E-Recruitment forum october 2011 [autosaved]
RPO and E-Recruitment forum october 2011 [autosaved]RPO and E-Recruitment forum october 2011 [autosaved]
RPO and E-Recruitment forum october 2011 [autosaved]Matt Burney
 
Native Advertising - Now and Next
Native Advertising - Now and NextNative Advertising - Now and Next
Native Advertising - Now and NextDan Watt
 
Alvarado naileth la empresa
Alvarado naileth la empresaAlvarado naileth la empresa
Alvarado naileth la empresaNaileth1985
 
微上客介绍 V2.0 通用版-2015.11
微上客介绍 V2.0 通用版-2015.11微上客介绍 V2.0 通用版-2015.11
微上客介绍 V2.0 通用版-2015.11琛 陈
 
Se hai una Pagina Facebook, questo Dovrebbe farti Davvero Paura
Se hai una Pagina Facebook, questo Dovrebbe farti Davvero PauraSe hai una Pagina Facebook, questo Dovrebbe farti Davvero Paura
Se hai una Pagina Facebook, questo Dovrebbe farti Davvero Pauraaziendasocial
 
Notti d'estate 2016 Cinzia Tani Workshop in Belforte del Chienti
Notti d'estate 2016  Cinzia Tani Workshop in Belforte del ChientiNotti d'estate 2016  Cinzia Tani Workshop in Belforte del Chienti
Notti d'estate 2016 Cinzia Tani Workshop in Belforte del ChientiAlfonso Caputo
 
Nouveautés réseau de Windows Server 2012
Nouveautés réseau de Windows Server 2012Nouveautés réseau de Windows Server 2012
Nouveautés réseau de Windows Server 2012Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 

En vedette (20)

RPO and E-Recruitment forum october 2011 [autosaved]
RPO and E-Recruitment forum october 2011 [autosaved]RPO and E-Recruitment forum october 2011 [autosaved]
RPO and E-Recruitment forum october 2011 [autosaved]
 
Native Advertising - Now and Next
Native Advertising - Now and NextNative Advertising - Now and Next
Native Advertising - Now and Next
 
Ip hijacking
Ip hijackingIp hijacking
Ip hijacking
 
Reunión de familias 3t ok
Reunión de familias 3t okReunión de familias 3t ok
Reunión de familias 3t ok
 
Alvarado naileth la empresa
Alvarado naileth la empresaAlvarado naileth la empresa
Alvarado naileth la empresa
 
fixed income
fixed incomefixed income
fixed income
 
微上客介绍 V2.0 通用版-2015.11
微上客介绍 V2.0 通用版-2015.11微上客介绍 V2.0 通用版-2015.11
微上客介绍 V2.0 通用版-2015.11
 
Se hai una Pagina Facebook, questo Dovrebbe farti Davvero Paura
Se hai una Pagina Facebook, questo Dovrebbe farti Davvero PauraSe hai una Pagina Facebook, questo Dovrebbe farti Davvero Paura
Se hai una Pagina Facebook, questo Dovrebbe farti Davvero Paura
 
Notti d'estate 2016 Cinzia Tani Workshop in Belforte del Chienti
Notti d'estate 2016  Cinzia Tani Workshop in Belforte del ChientiNotti d'estate 2016  Cinzia Tani Workshop in Belforte del Chienti
Notti d'estate 2016 Cinzia Tani Workshop in Belforte del Chienti
 
Nouveautés réseau de Windows Server 2012
Nouveautés réseau de Windows Server 2012Nouveautés réseau de Windows Server 2012
Nouveautés réseau de Windows Server 2012
 
G4S CSR Report 2015
G4S CSR Report 2015G4S CSR Report 2015
G4S CSR Report 2015
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 

Similaire à Sécurité des données

Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure :  Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure :  Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
 
Webinar bonnes pratiques securite
Webinar   bonnes pratiques securiteWebinar   bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDenodo
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Philippe Beraud
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDenodo
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008Patrick Guimonet
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les NotebooksSQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les NotebooksPhilippe Geiger
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Philippe Beraud
 
TechDays 2010 (CLO202) : Introduction à Windows Azure
TechDays 2010 (CLO202) : Introduction à Windows AzureTechDays 2010 (CLO202) : Introduction à Windows Azure
TechDays 2010 (CLO202) : Introduction à Windows AzureThomas Conté
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
DataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache CassandraDataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache CassandraVictor Coustenoble
 
Introduction à la sécurité dans ASP.NET Core
Introduction à la sécurité dans ASP.NET CoreIntroduction à la sécurité dans ASP.NET Core
Introduction à la sécurité dans ASP.NET CoreMSDEVMTL
 
J'ai déjà un ETL, pourquoi aurais-je besoin de la Data Virtualization?
J'ai déjà un ETL, pourquoi aurais-je besoin de la Data Virtualization?J'ai déjà un ETL, pourquoi aurais-je besoin de la Data Virtualization?
J'ai déjà un ETL, pourquoi aurais-je besoin de la Data Virtualization?Denodo
 

Similaire à Sécurité des données (20)

La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure :  Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure :  Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
 
Webinar bonnes pratiques securite
Webinar   bonnes pratiques securiteWebinar   bonnes pratiques securite
Webinar bonnes pratiques securite
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les NotebooksSQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
SQL Saturday Haïti 2023 - Bien maîtriser Azure Data Studio et les Notebooks
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
 
TechDays 2010 (CLO202) : Introduction à Windows Azure
TechDays 2010 (CLO202) : Introduction à Windows AzureTechDays 2010 (CLO202) : Introduction à Windows Azure
TechDays 2010 (CLO202) : Introduction à Windows Azure
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
Sécurité MySQL
Sécurité MySQLSécurité MySQL
Sécurité MySQL
 
DataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache CassandraDataStax Enterprise et Cas d'utilisation de Apache Cassandra
DataStax Enterprise et Cas d'utilisation de Apache Cassandra
 
Introduction à la sécurité dans ASP.NET Core
Introduction à la sécurité dans ASP.NET CoreIntroduction à la sécurité dans ASP.NET Core
Introduction à la sécurité dans ASP.NET Core
 
J'ai déjà un ETL, pourquoi aurais-je besoin de la Data Virtualization?
J'ai déjà un ETL, pourquoi aurais-je besoin de la Data Virtualization?J'ai déjà un ETL, pourquoi aurais-je besoin de la Data Virtualization?
J'ai déjà un ETL, pourquoi aurais-je besoin de la Data Virtualization?
 

Plus de Microsoft Technet France

Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Microsoft Technet France
 
Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10Microsoft Technet France
 
Protéger ses données, identités & appareils avec Windows 10
Protéger ses données, identités & appareils avec Windows 10Protéger ses données, identités & appareils avec Windows 10
Protéger ses données, identités & appareils avec Windows 10Microsoft Technet France
 
Migrer vos bases Oracle vers du SQL, le tout dans Azure !
Migrer vos bases Oracle vers du SQL, le tout dans Azure !Migrer vos bases Oracle vers du SQL, le tout dans Azure !
Migrer vos bases Oracle vers du SQL, le tout dans Azure !Microsoft Technet France
 
Migration et Plan de Reprise d’Activité simplifié dans Azure
Migration et Plan de Reprise d’Activité simplifié dans AzureMigration et Plan de Reprise d’Activité simplifié dans Azure
Migration et Plan de Reprise d’Activité simplifié dans AzureMicrosoft Technet France
 
PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....
PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....
PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....Microsoft Technet France
 
Architectures et déploiements en établissements scolaires: les solutions Micr...
Architectures et déploiements en établissements scolaires: les solutions Micr...Architectures et déploiements en établissements scolaires: les solutions Micr...
Architectures et déploiements en établissements scolaires: les solutions Micr...Microsoft Technet France
 
Software Defined Networking dans Windows Server vNext
Software Defined Networking dans Windows Server vNextSoftware Defined Networking dans Windows Server vNext
Software Defined Networking dans Windows Server vNextMicrosoft Technet France
 
Comment déployer et gérer dans le cloud Azure les environnements de développe...
Comment déployer et gérer dans le cloud Azure les environnements de développe...Comment déployer et gérer dans le cloud Azure les environnements de développe...
Comment déployer et gérer dans le cloud Azure les environnements de développe...Microsoft Technet France
 

Plus de Microsoft Technet France (20)

Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
 
Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10Simplifier vos déploiements vers Windows 10
Simplifier vos déploiements vers Windows 10
 
Protéger ses données, identités & appareils avec Windows 10
Protéger ses données, identités & appareils avec Windows 10Protéger ses données, identités & appareils avec Windows 10
Protéger ses données, identités & appareils avec Windows 10
 
Migrer vos bases Oracle vers du SQL, le tout dans Azure !
Migrer vos bases Oracle vers du SQL, le tout dans Azure !Migrer vos bases Oracle vers du SQL, le tout dans Azure !
Migrer vos bases Oracle vers du SQL, le tout dans Azure !
 
Migration et Plan de Reprise d’Activité simplifié dans Azure
Migration et Plan de Reprise d’Activité simplifié dans AzureMigration et Plan de Reprise d’Activité simplifié dans Azure
Migration et Plan de Reprise d’Activité simplifié dans Azure
 
PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....
PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....
PC Management, MAM, MDM, EMM, Data and Files Management, Identity Management....
 
Architectures et déploiements en établissements scolaires: les solutions Micr...
Architectures et déploiements en établissements scolaires: les solutions Micr...Architectures et déploiements en établissements scolaires: les solutions Micr...
Architectures et déploiements en établissements scolaires: les solutions Micr...
 
OpenStack et Windows
OpenStack et WindowsOpenStack et Windows
OpenStack et Windows
 
Software Defined Networking dans Windows Server vNext
Software Defined Networking dans Windows Server vNextSoftware Defined Networking dans Windows Server vNext
Software Defined Networking dans Windows Server vNext
 
Windows Phone déploiement en entreprise
Windows Phone déploiement en entrepriseWindows Phone déploiement en entreprise
Windows Phone déploiement en entreprise
 
Comment déployer et gérer dans le cloud Azure les environnements de développe...
Comment déployer et gérer dans le cloud Azure les environnements de développe...Comment déployer et gérer dans le cloud Azure les environnements de développe...
Comment déployer et gérer dans le cloud Azure les environnements de développe...
 

Sécurité des données

  • 1.
  • 2. Daniel PASQUIER - Microsoft pascale@pascale-doz.com Pascale DOZ Consulting danielp@microsoft.com
  • 3. La Sécurité dans SQL Server 2016 & Azure SQL Database
  • 4. Sécurité & Conformité Sécurité N° 4 Conformité Contrôle d’Accès Accès Base de Données Azure Active Directory Authentication (AAD) Accès Applications Row-Level Security (RLS) Dynamic Data Masking (DDM) Surveillance Proactive Suivi & Détection Auditing & Threat Detection Protection des Données Données en transit Transport Layer Security (TLS) Données au repos Transparent Data Encryption (TDE) et en cours d’utilisation (client) Always Encrypted (AE) Compliance: FedRAMP, ISO, HIPAA, PCI 3.1, EU Model Clauses, UK G-Cloud (gouvernement) (médical) (paiement) (personnel) (secteur public)
  • 5.
  • 6. Chiffrement SSL/TLS Protection des données: en transit  Assurez-vous que la communication SQL est chiffrée  N’impacte pas directement le moteur SQL Charge générée par le chiffrement allers et retours au niveau de l’OS  Peut être imposé au niveau du client ou du serveur La connexion client peut échouer si le pilote ne supporte pas le chiffrement  Certificat d’Autorité digne de confiance (Auto-Signé possible)
  • 7. Transparent Data Encryption Protection des données: au repos N° 7  Pas de changement au niveau applicatif – transparent   Pas de chiffrement des données en mémoire ou en transit Les pages sont déchiffrées à la volé (monté dans la mémoire SQL) Les données déchiffrées peuvent être écrites sur le disque (paged out)  Nécessite un certificat pour le chiffrement/déchiffrement de la base de données Le certificat et la clé privée doivent être présent pour restaurer la base sur une instance différente  Fonctionnalité disponible en version Enterprise  Les fichiers de la database et les sauvegardes seront chiffrés ainsi que Tempdb
  • 8.  Généralement le DBA a accès à TOUTES les données sensibles même si elles sont chiffrées Il n’existe pas de moyen pour éviter cela dans les versions précédentes, hormis la mise en oeuvre d’un développement personnalisé  Un administrateur sécurité peut générer/positioner les clés tandis que le DBA configure le chiffrement Cela empêche le DBA de voir les données de la base car le Serveur SQL détient jamais le certificat et la clé privée Des cmdlets Powershell existent pour séparer ces tâches Always Encrypted Protection des données: en cours d’utilisation (client) N° 8
  • 9. Always Encrypted Protection de données: en cours d’utilisation (client) N° 9 Chiffrement coté client Chiffrement des données sensibles coté client à l’aide de clés qui ne sont jamais données au système de base de données. Requêtes sur des données chiffrées Support de la comparaison d’égalité, jointure incl., Group by et opérateurs distincts. Transparent pour l’application Changements mineurs au niveau application serveur et améliorations de la librairie cliente. Outillage disponible avec SSMS, SSDT (new), PowerShell (new) Protège les données sensibles en cours d’utilisation de privilèges élevés SQLusers.
  • 10. Always Encrypted Aide à protéger les données au repos et en mouvement, local & Cloud N° 10 Client Side Query TrustedApps SELECT Name FROM Patients WHERE SSN=@SSN @SSN='198-33-0987' Result Set SELECT Name FROM Patients WHERE SSN=@SSN @SSN=0x7ff654ae6d Column Encryption Key Enhanced ADO.NET Library Column Master Key Client side ciphertext Name 243-24-9812 SSN Country Denny Usher 198-33-0987 USA Alicia Hodge 123-82-1095 USA Philip Wegner USA dbo.Patients SQL Server dbo.Patients Philip Wegner Name SSN USA Denny Usher 0x7ff654ae6d USA Alicia Hodge 0y8fj754ea2c USA 1x7fg655se2e Country Philip Wegner Name 1x7fg655se2e SSN USA Country Denny Usher 0x7ff654ae6d USA Alicia Hodge 0y8fj754ea2c USA dbo.Patients Result Set Denny Usher Name 0x7ff654ae6d SSN USA Country 198-33-0987 Server Side – On premise & Cloud N’impact pas les performance de la « database » car l’opération de déchiffrement se fait sur la partie cliente / applicatif
  • 11. Always Encrypted Column Master Key N° 11  Une entrée de métadonnées qui pointe vers un certificat Le certificat est stocké dans un magasin de clés externe tel que Azure Key Vault  Utilisé pour chiffrer une “Column Encryption Key”
  • 12.  Clé utilisée pour chiffrer les valeurs de colonne de la table  Chiffrée / Protégée par la Column Master Key (CMK)  Peut avoir jusqu'à 2 valeurs chiffrées (pour la rotation CMK) Always Encrypted Column Encryption Key N° 12
  • 13. 1. Créer un Certificat & clé privée: CMK (externe à SQL)  Magasin Windows Certificate  Azure Key Vault  Hardware Security Module (HSM) 2. Créer une Column Encryption Key (CEK) 3. Chiffrer les données avec la CEK 4. Référencement de la Column Master Key (CMK dans Aure Key Vault, Windows ou HSM) et de la structure chiffrée de la Column Encryption Key (CEK) dans SQL 5. Donner à l’application l’accès aux données Always Encrypted Mise en oeuvre de Always Encrypted N° 13
  • 14.  Spécifier la Column Encryption Key  Spécifier l’algorithme et le type de cryptage  Cryptage déterministe nécessite un classement BIN2 Always Encrypted Création des objets Always Encrypted N° 14 Déterministe • Génère toujours la même valeur chiffrée pour une valeur de texte brut • Permet des opérations de recherche efficace Aléatoires • Crypte les données d’une manière moins prévisible • Plus sûr • Ne permet pas les opérations de recherche
  • 15.  Peut être effectué via SSMS UI  Créer une nouvelle table et déplacer les données  Doit avoir accès au certificate pour la CMK  SSMS vous permet de générer un script Powershell à exécuter ultérieurement Always Encrypted Convertir une Table existante pour utiliser AE N° 15 Déplacer une base SQL Always Encrypted comme n’importe quelle autre base
  • 16.  Rotation des clés est parfois requise à des fins réglementaires  La rotation de la Column Master Key ajoute une clé sous forme chiffrée à la Column Encryption Key  Ne provoque pas le « rechiffrement » des données de la table Always Encrypted Rotation de la Column Master Key N° 16
  • 17.
  • 18. Always Encrypted Résumé: Always Encrypted N° 18 Les données restent chiffrées au cours de la requête Fonctionnalité • ADO.Net client fournit le chiffrement transparent côté client, tandis que SQL Server exécute des requêtes T-SQL sur des données chiffrées Avantages • Les données sensibles restent cryptées et requêtables en tout temps on- premises & cloud (Pas d’accès aux DBA / Admin Azure) • Des utilisateurs non autorisés n’ont jamais accès aux données ou aux clés • Aucun changement sur l’application, nécessite juste un paramétrage de la base de données Apps TCE-enabled ADO .NET library SQL ServerRequête Chiffrée Columnar key No app changes Master key Usage de TDE recommandé & chiffrement SSL/TLS
  • 19. Always Encrypted Limitations actuelles sur Always Encrypted N° 19 XML/Image/text/variant data types Filestream ROWGUID Partition columns Sparse columns Check/default constraints Referenced columns in FKeys Dynamic Data Masking StetchDB columns Transactional/Merge repl Linked Server queries Temporal Efficient inequality searches
  • 20.
  • 21. Azure AD Authentication Contrôle d’Accès: Accès Base de Données Gestion centrale des identités Aide à stopper la prolifération des identités d’utilisateurs sur des serveurs de base de données. Gestion de l’autorisation simplifiée Les clients peuvent gérer les autorisations de base de données à l’aide des groupes Azure AD. “Single Sign-On” Une fois connecté à un ordinateur joint au domaine, les utilisateurs se connectent à leurs bases de données SQL, le portail Azure et les outils (par exemple, l’éditeur de requête) sans avoir à fournir des informations d’identification. Centraliser la gestion des autorisations des utilisateurs
  • 22. Azure AD Authentication Un point central pour gérer les utilisateurs sur l’ensemble des services N° 22 Plusieurs méthodes d’authentification  Alternative à l’authentification SQL Server  Simplifie la gestion des autorisations à la base de données à l’aide des groupes externes d’Azure Active Directory  Permet le changement de mot de passe à partir d’un point central  Username/password pour les comptes Azure AD  Integrated Windows authentication, pour les domaines fédérés qui sont authentifiés via Azure AD  Certificate-based authentication, dans le cas où le certificat est enregistré dans Azure AD ADO .NET 4.6 ADALSQL
  • 23. Row-Level Security (RLS) Contrôle d’Acces: Accès Application Database CREATE FUNCTION dbo.fn_securitypredicate(@wing int) RETURNS TABLE WITH SCHEMABINDING AS return SELECT 1 as [fn_securitypredicate_result] FROM StaffDuties d INNER JOIN Employees e ON (d.EmpId = e.EmpId) WHERE e.UserSID = SUSER_SID() AND @wing = d.Wing; CREATE SECURITY POLICY dbo.SecPol ADD FILTER PREDICATE dbo.fn_securitypredicate(Wing) ON Patients WITH (STATE = ON) Security Policy Application Patients 1) L'administrateur crée un filtre utilisateur et une stratégie de sécurité dans T-SQL, reliant le prédicat à la table des Patients 2) L’utilisateur de l’application (p. ex., infirmière) fait une sélection dans la table de Patients 3) La stratégie de sécurité réécrit de façon transparente la requête pour appliquer le filtre au prédicat SELECT * FROM Patients SELECT * FROM Patients SEMIJOIN APPLY dbo.fn_securitypredicate(patients.Wing); SELECT Patients.* FROM Patients, StaffDuties d INNER JOIN Employees e ON (d.EmpId = e.EmpId) WHERE e.UserSID = SUSER_SID() AND Patients.wing = d.Wing; RLS permet aux clients de contrôler l’accès aux lignes d’une table de base de données basée sur les caractéristiques de l’utilisateur qui exécute une requête
  • 24. Dynamic Data Masking Contrôle d’Accès: Accès Application ALTER TABLE [Employee] ALTER COLUMN [SocialSecurityNumber] ADD MASKED WITH (FUNCTION = 'partial(0,"***-**-",4)') NULL ALTER TABLE [Employee] ALTER COLUMN [Email] ADD MASKED WITH (FUNCTION = ‘EMAIL()’) ALTER TABLE [Employee] ALTER COLUMN [Salary] ADD MASKED WITH (FUNCTION = ‘RANDOM(1,20000)’) GRANT UNMASK to admin1 1) L’Agent de sécurité définit la stratégie de la DDM dans T-SQL sur les données sensibles de la table Employee2) L’utilisateur de l’application fait une sélection dans la table Employee3) La stratégie DDM offusque les données sensibles dans les résultats de la requête SELECT [Name], [SocialSecurityNumber], [Email], [Salary] FROM [Employee] SQL DB
  • 26.
  • 27. Auditing & Threat Detection Surveillance et Proactive: Suivi & Detection N° 27 Respect de la réglementation Auditing aide les clients de les entreprises à répondre aux normes de sécurité et aux exigences réglementaires (ex: PCI-DSS, HIPAA). L’intelligence du Cloud Des algorithmes propriétaires travaillent 24h/24 pour construire un profil comportemental de votre base de données et identifier les activités anormales et les menaces potentielles. Enquêter et atténuer Réagir et répondre aux menaces en temps réel, via des alertes courriel et le portail Azure. La Sécurité de l’entreprise est plus facile que jamais. Surveiller et détecter des activités suspectes sur vos bases de données et rationaliser les tâches relatives à la conformité. Statut: Auditing disponible, Threat Detection en Preview
  • 28. Auditing & Threat Detection Auditing N° 28 Threat Detection  Configuré via le portail Azure & les APIs standards  Les journaux d’audit se trouvent dans votre compte Azure Storage  Le portail Azure et les modèles Excel vous aident à analyser vos journaux d’audit  Configuré via le portail Azure & les APIs standards  Plusieurs ensembles d’algorithmes: • Possibles vulnérabilités d’injection SQL • Éventuels exploits d’injection SQL • Accès à partir d’adresses IP anormales • …plus à venir!  Notification immédiate lors de la détection des activités suspectes  UX simplifiée vous aide à investiguer et atténuer en utilisant le portail Azure  Intégration avec Azure Security Center
  • 29.
  • 30. Azure SQL Database Threat Detection assure la sécurité en détectant les activités qui peuvent indiquer une menace telle que les attaques par injection SQL. Les avantages de Azure SQL Database Threat Detection inclus: Auditing & Threat Detection
  • 31. SQL Security Public Demo N° 31 Fonctionnalités incluses: • Auditing & Threat Detection • Always Encrypted • Row Level Security (RLS) • Dynamic Data Masking Faites un essai sur GitHub: https://github.com/Microsoft/az ure-sql-security-sample
  • 34. Notez cette session Et tentez de gagner un Surface Book Doublez votre chance en répondant aussi au questionnaire de satisfaction globale * Le règlement est disponible sur demande au commissariat général de l’exposition. Image non-contractuelle SURFACE BOOK