Your SlideShare is downloading. ×
2009-02-12 DAT211 Prendre ou reprendre le contrôle de vos instances SQL Server - Conformité qualité de service et bonnes pratiques
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

2009-02-12 DAT211 Prendre ou reprendre le contrôle de vos instances SQL Server - Conformité qualité de service et bonnes pratiques

867
views

Published on

DAT211 Prendre ou reprendre le contrôle de vos instances SQL Server - Conformité qualité de service et bonnes pratiques

DAT211 Prendre ou reprendre le contrôle de vos instances SQL Server - Conformité qualité de service et bonnes pratiques

Published in: Technology, News & Politics

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
867
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • 06/07/09 22:23 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  • Transcript

    • 1.
      • DAT211
      Regis Mauger, Architecte Patrick Guimonet, Architecte Infrastructure http://blogs.technet.com/patricg Microsoft France
    • 2.
      • Introduction
      • SQL Server 2008 et la conformité
        • Sécurité
        • Encryptions
        • Audit
        • Administration par règles (PBM)
      • Conclusion
    • 3.
      • Obtenir les résultats désirés et ceci de la bonne manière :
        • Participation
        • Transparence
        • Réactivité
        • Implication
        • Décisions et actions consensuelles
        • Efficacité
        • Responsabilité
        • Vision Stratégique
      ‘ The need for governance exists anytime a group of people come together to accomplish an end’’ Source: Institute On Governance
    • 4. Sarbanes-Oxley Fiscal accountability for all public companies Basel II Capital assessment and reporting standards for global banking USA PATRIOT Act Customer documentation requirements in order to “know your customer” DoD 5015.2 and UK PRO Federal standards of records management Health Insurance Portability and Accountability Act (HIPAA) NASD 3110 Written policies and procedures for review of correspondence with the public All records related to securities transactions to be maintained for 3 years Gramm-Leach Bliley Act (GLBA) Privacy of financial information Right to carry insurance between job; privacy of patient Information SEC Rules 17a-3 & 17a-4
    • 5.
      • Les règlementations récentes exigent des processus pas simplement des résultats
      • Sarbanes-Oxley:
        • Documentation des processus de fin de relevés financiers
        • Documentation et certification des contrôles
        • Audit des environnements d’exécution des processus
        • Etat en temps réel des changements financiers
      • Bâle II
        • Analyse de risque complète
      • Règles de confidentialité
        • Démonstrations de collaboration et communication sécurisées
      • Anti-terrorisme, anti-blanchiment, anti-fraude
    • 6.
      • Menaces
      • Risque sur le budget IT, si la conformité est traitée en mode réactif
      • Conformité en “silo” à l’encontre de la flexibilité
      • IT devient le bouc émissaire des non-conformités
      • Opportunités
      • Focus sur l’amélioration des processus
      • Les architectures de processus et de conformité d'entreprise améliorent l'agilité de l’organisation
      • Accroissement de l’automatisation des contrôles
      • IT mieux aligné avec les métiers et délivrant une plus grande valeur à ceux-ci
    • 7.
      • Surface Area Configuration
      • Gestion de l’Identité
      • Gestion des clés d’encryptions des données
      • Gestion des clés
      • Audit SQL Server
      • Administration par règles (PBM - Policy Based Management)
    • 8.
      • A partir de SQL Server 2008, l’outil de Configuraion de la Surface d’Exposition est remplacé par un ensemble de règles/
    • 9. Backup Operator Application Admin Application Admin Auditor User Admin P123#$? securityadmin role manages logins
    • 10.
      • Audit des changements sur les comptes
      • Réduction de l’usage du compte ‘sa’
        • Renommer le compte
        • Dé-valider le compte
        • Restreindre les affectations à ‘sysadmin’
        • Auditer toutes les actions du compte ‘sa’
      • S’assurer que les utilisateurs ne sont pas dans plus d’un rôle
      Backup Operator Security Admin Application Admin Auditor
    • 11. Algorithmes disponibles : AES (128, 192, 256 bits) et3DES Protection Gestion des Clés externe Rotation Serveur de clés Sauvegarde db_ddladmin role peut gérer clés et certificats
    • 12.  
    • 13.  
    • 14.
      • Une solution complète en 2008 basée sur les éléments présents en 2005
      • L’audit est un objet serveur à part entière
      • Granularité des actions auditées : objets bases de données et utilisateurs
      • Plusieurs sorties possibles : fichiers, journaux applicatifs ou système
      2008
    • 15.
      • Nouveaux objets pour la configuration de l’audit
        • Accessibles en T-SQL
      • Nouvelles permissions pour contrôler l’accès à l’audit
        • i.e. “ ALTER ANY AUDIT ”, “ ALTER ANY AUDIT SPECIFICATION ”
      • Filtrage basé sur les actions, les objects et les droits aux niveaux bases et serveur
        • Compatibilité avec les groupes d’évènements SQLTrace
        • Audit pour les ordres Select, Insert, Update, Delete
      Audit Audit Specification Locations File Audit Specification App Log Security Log 2008
    • 16. Cible Audit Serveur Audit Base de données CREATE AUDIT HIPAA_Audit     TO FILE ( FILENAME=’RO1AudHIP_ADT.aud’, MAX_SIZE=100 MB, RESERVE_DISK_SPACE ) WITH (SHUTDOWN_ON_FAILURE = ON); CREATE AUDIT SPECIFICATION SvrAC ON SERVER TO HIPAA_Audit     ADD FAILED_LOGIN_GROUP; CREATE AUDIT SPECIFICATION AuditAC ON DATABASE TO HIPAA_Audit     ADD SELECT ON table::Customers(payment); 2008
    • 17.  
    • 18.  
    • 19. 2008
    • 20.
      • Réduire ma surface d’attaque
        • XPCmdShell == False
        • SQLCLR == True
        • DBMail == False
        • RemoteDAC == False
      Les noms de vues doivent avoir la forme : “%_vw” Seules les versions Express et Developer sont autorisées sur les postes développeurs 2008
    • 21. Type de cible Facet : caractériques définissant un type de cibles Politique Etat désiré Quand Quoi Cible Instance de cible Bases de données Catégories Catégories Administration des politiques 2008
    • 22. MSDB (Policy Store) 2008 Policy Event Handler Policy Invoker SQLCLR Policy Engine SMO Facet SQL Server Database Engine SQL Server Agent
    • 23. MSDB (Policy Store) Synchronous Events Asynchronous Events 2008 Relational Engine Eventing Policy Service Broker Queue Policy Event Handler SQLCLR Policy Engine SMO Facet SQL Server Database Engine
    • 24.  
    • 25.  
    • 26.
      • Blog
      • 2 ensembles d’outils
      • Site sur la conformité
    • 27.  
    • 28. © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Votre potentiel, notre passion TM