Le document traite de la sécurité dans SQL 2014, abordant la séparation des rôles, l'utilisation de certificats, et de l'audit pour protéger les bases de données. Il met en évidence des pratiques sécuritaires comme le changement régulier de mots de passe et la restriction des accès par des rôles applicatifs. Le contenu inclut également des anecdotes et des conseils pour améliorer la gestion des droits d'administration.

2. SQL 2014 et la sécurité
Franck Mercier
Architecte Solutions
Microsoft
http://aka.ms/franck
@franmerMS
Pascale Doz
Consultante SQL
Pascale DOZ Consulting
pascale@pascale-doz.com
Bases de données/Data management

3. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
#mstechdays
Bases de données/ Data management

4. Agenda
• Les bases de la sécurité
– Retours d’expériences avec anecdotes drôles…ou pas
• Gestion de la sécurité avec SQL 2014
–
–
–
–
–
Séparation des rôles
Certificats et Transparent Data Encryption (TDE)
Rôles applicatifs
Audit
Contained DB
• Questions
#mstechdays
Bases de données/ Data management

5. Pas de porte
• « sa » sans mot de passe
• C’est la fête……Tout le
monde sysadmin

6. Clef sur la porte
• « sa » et ….. « sa » voir
« as » pour les plus malins
• Mot de passe écrit sur les
écrans

7. La clef sous le paillasson
• Mot de passe écrit sous
le clavier
• Mot de passe faible ou
évident
• Mot de passe qui
n’expire pas

8. La clef dans la poche
• Mot de passe fort
• « Sysadmin » que pour les bonnes personnes
• Donner les bons droits aux bonnes personnes
– Droits minimums mais suffisants
• Protection au niveau du « lotissement »
– Active directory
• Attention à ne pas se faire voler la clef !!!
– Changer le mot de passe régulièrement
– Mot de passe fort et pas d’évidence

9. Une des clefs chez le gardien
• Il peut rentrer dans la maison
– Mais pas dans toutes les pièces
• Séparation des rôles
– Nouveauté 2014 (toutes éditions  !!!)
– Faire des tâches administratives sans accéder aux données
– http://msdn.microsoft.com/enus/library/cc645993(v=sql.120).aspx#Enterprise_security

10. SÉCURITÉ DANS SQL 2014
Séparation des rôles
#mstechdays
Bases de données/ Data management

11. La clef passe partout
• Sysadmin : quand il n’a pas le droit… il a le droit.
C’est qui le patron !! 
• Bien cibler l’attribution du droit Sysadmin
• Sysadmin peut voir les données
– Si on doit créer un droit admin sans avoir le droit de
voir les données, on donne une clef au gardien  !!
=> séparation des rôles

12. Double serrure et répartition des clefs
• Certificats
• Transparent Data Encryption (TDE)
– Exemple : Fichiers de données et logs dans stockage Azure

13. SÉCURITÉ DANS SQL 2014
Certificats
#mstechdays
Bases de données/ Data management

14. Un mur à la place de la porte
• Là, on a été un peut fort sur les
droits 
• On a retiré sysadmin….. C’est
« top secure »…. Mais on a plus
accès à rien
– Pratique pour s’entrainer à
restaurer la base Master 

15. Viens, je t’invite!
• Utilisation des rôles applicatif
• Définition :
– Un rôle applicatif, c’est un droit protégé par un mot
de passe

16. SÉCURITÉ DANS SQL 2014
Rôles applicatifs
#mstechdays
Bases de données/ Data management

17. Surveillance de la maison
• Utilisation des audits
• Paramétrage en fonction des besoins
• Possibilité de se créer ses propres rapports
d’audit
#mstechdays
Bases de données/ Data management

18. SÉCURITÉ DANS SQL 2014
Audit
#mstechdays
Bases de données/ Data management

19. Déménagement d’une des pièces
• Déplacement d’une base vers un autre
serveur
• Simplification du « déménagement » :
– Non adhérence à l’instance
• Pratique aussi dans le cas d’AlwaysOn AG

20. Déménagement d’une des pièces
• Contained DB :
–
–
–
–
#mstechdays
Base de données contenant les informations de connexion
« User with password »
Mode « Partial »
Disponible depuis SQL 2012 (Toutes éditions)
Bases de données/ Data management

21. SÉCURITÉ DANS SQL 2014
Contained DB
#mstechdays
Bases de données/ Data management

22. Ce que l’on a pas traité…
•
•
•
•
•
•
•
Chiffrement des données et backup
SQL Injection
Gestion de l’environnement de chiffrement
Dll trigger
Gestion de la stratégie des instances (Facette,…)
Truthworthy
…..

23. Ressources
Sessions Data Insights pour les professionnels de l’IT
http://aka.ms/itprosql
Sessions Data Insights pour les décideurs informatiques
http://aka.ms/itdmsql
Business Accelerator, un programme sur mesure pour les éditeurs de logiciel
http://aka.ms/isvbusacc
Un client prêt à témoigner ? Une belle histoire à partager ? Un Nokia Lumia à gagner !
http://aka.ms/cloudosref
#mstechdays
Bases de données/ Data management

24. Digital is business