DAT211 Regis Mauger, Architecte Patrick Guimonet, Architecte Infrastructure http://blogs.technet.com/patricg Microsoft France

DAT211

Introduction SQL Server 2008 et la conformité Sécurité Encryptions Audit Administration par règles (PBM) Conclusion

Introduction

SQL Server 2008 et la conformité

Sécurité

Encryptions

Audit

Administration par règles (PBM)

Conclusion

Obtenir les résultats désirés et ceci de la bonne manière : Participation Transparence Réactivité Implication Décisions et actions consensuelles Efficacité Responsabilité Vision Stratégique ‘ The need for governance exists anytime a group of people come together to accomplish an end’’ Source: Institute On Governance

Obtenir les résultats désirés et ceci de la bonne manière :

Participation

Transparence

Réactivité

Implication

Décisions et actions consensuelles

Efficacité

Responsabilité

Vision Stratégique

Sarbanes-Oxley Fiscal accountability for all public companies Basel II Capital assessment and reporting standards for global banking USA PATRIOT Act Customer documentation requirements in order to “know your customer” DoD 5015.2 and UK PRO Federal standards of records management Health Insurance Portability and Accountability Act (HIPAA) NASD 3110 Written policies and procedures for review of correspondence with the public All records related to securities transactions to be maintained for 3 years Gramm-Leach Bliley Act (GLBA) Privacy of financial information Right to carry insurance between job; privacy of patient Information SEC Rules 17a-3 & 17a-4

Les règlementations récentes exigent des processus pas simplement des résultats Sarbanes-Oxley: Documentation des processus de fin de relevés financiers Documentation et certification des contrôles Audit des environnements d’exécution des processus Etat en temps réel des changements financiers Bâle II Analyse de risque complète Règles de confidentialité Démonstrations de collaboration et communication sécurisées Anti-terrorisme, anti-blanchiment, anti-fraude

Les règlementations récentes exigent des processus pas simplement des résultats

Sarbanes-Oxley:

Documentation des processus de fin de relevés financiers

Documentation et certification des contrôles

Audit des environnements d’exécution des processus

Etat en temps réel des changements financiers

Bâle II

Analyse de risque complète

Règles de confidentialité

Démonstrations de collaboration et communication sécurisées

Anti-terrorisme, anti-blanchiment, anti-fraude

Menaces Risque sur le budget IT, si la conformité est traitée en mode réactif Conformité en “silo” à l’encontre de la flexibilité IT devient le bouc émissaire des non-conformités Opportunités Focus sur l’amélioration des processus Les architectures de processus et de conformité d'entreprise améliorent l'agilité de l’organisation Accroissement de l’automatisation des contrôles IT mieux aligné avec les métiers et délivrant une plus grande valeur à ceux-ci

Menaces

Risque sur le budget IT, si la conformité est traitée en mode réactif

Conformité en “silo” à l’encontre de la flexibilité

IT devient le bouc émissaire des non-conformités

Opportunités

Focus sur l’amélioration des processus

Les architectures de processus et de conformité d'entreprise améliorent l'agilité de l’organisation

Accroissement de l’automatisation des contrôles

IT mieux aligné avec les métiers et délivrant une plus grande valeur à ceux-ci

Surface Area Configuration Gestion de l’Identité Gestion des clés d’encryptions des données Gestion des clés Audit SQL Server Administration par règles (PBM - Policy Based Management)

Surface Area Configuration

Gestion de l’Identité

Gestion des clés d’encryptions des données

Gestion des clés

Audit SQL Server

Administration par règles (PBM - Policy Based Management)

A partir de SQL Server 2008, l’outil de Configuraion de la Surface d’Exposition est remplacé par un ensemble de règles/

A partir de SQL Server 2008, l’outil de Configuraion de la Surface d’Exposition est remplacé par un ensemble de règles/

Backup Operator Application Admin Application Admin Auditor User Admin P123#$? securityadmin role manages logins

Audit des changements sur les comptes Réduction de l’usage du compte ‘sa’ Renommer le compte Dé-valider le compte Restreindre les affectations à ‘sysadmin’ Auditer toutes les actions du compte ‘sa’ S’assurer que les utilisateurs ne sont pas dans plus d’un rôle Backup Operator Security Admin Application Admin Auditor

Audit des changements sur les comptes

Réduction de l’usage du compte ‘sa’

Renommer le compte

Dé-valider le compte

Restreindre les affectations à ‘sysadmin’

Auditer toutes les actions du compte ‘sa’

S’assurer que les utilisateurs ne sont pas dans plus d’un rôle

Algorithmes disponibles : AES (128, 192, 256 bits) et3DES Protection Gestion des Clés externe Rotation Serveur de clés Sauvegarde db_ddladmin role peut gérer clés et certificats

Une solution complète en 2008 basée sur les éléments présents en 2005 L’audit est un objet serveur à part entière Granularité des actions auditées : objets bases de données et utilisateurs Plusieurs sorties possibles : fichiers, journaux applicatifs ou système 2008

Une solution complète en 2008 basée sur les éléments présents en 2005

L’audit est un objet serveur à part entière

Granularité des actions auditées : objets bases de données et utilisateurs

Plusieurs sorties possibles : fichiers, journaux applicatifs ou système

Nouveaux objets pour la configuration de l’audit Accessibles en T-SQL Nouvelles permissions pour contrôler l’accès à l’audit i.e. “ ALTER ANY AUDIT ”, “ ALTER ANY AUDIT SPECIFICATION ” Filtrage basé sur les actions, les objects et les droits aux niveaux bases et serveur Compatibilité avec les groupes d’évènements SQLTrace Audit pour les ordres Select, Insert, Update, Delete Audit Audit Specification Locations File Audit Specification App Log Security Log 2008

Nouveaux objets pour la configuration de l’audit

Accessibles en T-SQL

Nouvelles permissions pour contrôler l’accès à l’audit

i.e. “ ALTER ANY AUDIT ”, “ ALTER ANY AUDIT SPECIFICATION ”

Filtrage basé sur les actions, les objects et les droits aux niveaux bases et serveur

Compatibilité avec les groupes d’évènements SQLTrace

Audit pour les ordres Select, Insert, Update, Delete

Cible Audit Serveur Audit Base de données CREATE AUDIT HIPAA_Audit TO FILE ( FILENAME=’\PRO1AudHIP_ADT.aud’, MAX_SIZE=100 MB, RESERVE_DISK_SPACE ) WITH (SHUTDOWN_ON_FAILURE = ON); CREATE AUDIT SPECIFICATION SvrAC ON SERVER TO HIPAA_Audit ADD FAILED_LOGIN_GROUP; CREATE AUDIT SPECIFICATION AuditAC ON DATABASE TO HIPAA_Audit ADD SELECT ON table::Customers(payment); 2008

2008

Réduire ma surface d’attaque XPCmdShell == False SQLCLR == True DBMail == False RemoteDAC == False Les noms de vues doivent avoir la forme : “%_vw” Seules les versions Express et Developer sont autorisées sur les postes développeurs 2008

Réduire ma surface d’attaque

XPCmdShell == False

SQLCLR == True

DBMail == False

RemoteDAC == False

Type de cible Facet : caractériques définissant un type de cibles Politique Etat désiré Quand Quoi Cible Instance de cible Bases de données Catégories Catégories Administration des politiques 2008

MSDB (Policy Store) 2008 Policy Event Handler Policy Invoker SQLCLR Policy Engine SMO Facet SQL Server Database Engine SQL Server Agent

MSDB (Policy Store) Synchronous Events Asynchronous Events 2008 Relational Engine Eventing Policy Service Broker Queue Policy Event Handler SQLCLR Policy Engine SMO Facet SQL Server Database Engine

Blog 2 ensembles d’outils Site sur la conformité

Blog

2 ensembles d’outils

Site sur la conformité

© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Votre potentiel, notre passion TM