SQL Server Hardening
Dueville, VI
2023.03.23

Chi sono?
20+ years in SQL Server
14+ years in BI
In September 2014,
founder of Datamaze
www.datamaze.it

La sicurezza dei nostri dati
 Negli ultimi anni, le violazioni della sicurezza dei dati rappresentano un tema
comune
 Cyber crime e spionaggio sono i motivi principali di queste violazioni che si
concretizzano attraverso
 malware,
 botnet,
 furto di credenziali,
 sfruttamento delle vulnerabilità di sicurezza.
 Il risultato si traduce in furto di informazioni personali, finanziarie o di altro
genere
 World’s Biggest Data Breaches & Hacks — Information is Beautiful

Conseguenze della violazione dei dati
 Per definizione, un “data breach” è il mancato mantenimento della
riservatezza dei dati all’interno di un database
 Quali sono i danni potenziali?
 Perdita di privacy o riservatezza dei dati
 Perdita dell'integrità dei dati
 Proprietà intellettuale compromessa
 Danni alla reputazione del marchio
 Continuità operativa
 Ammende o sanzioni in caso di inosservanza
 Costi di indennizzo e notifica ai clienti

Sicurezza di un database
 L’insieme degli strumenti, controlli e misure progettati per definire
preventivamente e preservare la riservatezza, l'integrità e la disponibilità di
un database management system (DBMS) e del suo contenuto
 Dobbiamo proteggere tutto lo stack che compone un DBMS
 I dati contenuti nel database
 Il servizio di gestione di database(SQL Server, Oracle, …)
 Eventuali applicazioni associate (nel caso di SQL Server, SSAS, SSIS, SSRS, …)
 Il database server fisico e/o virtuale e l'hardware sottostante
 L'infrastruttura informatica e/o di rete utilizzata per accedere al database
 Mantenere la sicurezza è un processo in contrasto con l'usabilità di un
database (Anderson's rule (computer science) - Wikipedia)

Quali sono le minacce…
 Pressioni dall’esterno sull'ambiente IT
 Volume dei dati
 Infrastruttura distribuita
 Requisiti normativi
 Carenza di competenze informatiche
 Minacce interne
 Dolo
 Negligenza
 Errore umano
 Phishing
 Cattiva gestione delle password
 Esfiltrazione “involontaria” di dati
 Attacchi informatici
 Vulnerabilità del software del
database
 Attacchi basati su SQL/NoSQL
injection
 Attacchi Denial of Service
(DoS/DDoS),
 Malware
 Spyware
 Ransomware

SQL Server best practices
 Verifica il termine del supporto
 Aggiornare regolarmente il database server ed il sistema operativo
 Attiva degli audit sull’attività svolta da utenti ed applicazioni
 Verifica i tuoi utenti
 L’account sa
 Le password
 Gli utenti sysadmin
 Testa la sicurezza del tuo ambiente
 Verifica di essere nelle condizioni di ripristinare i tuoi sistemi

SQL Server Hardening
 Add-on al nostro servizio di Health Check (ma può essere eseguito anche
indipendentemente)
 Si svolge in tre momenti
 Intervista preliminare con il cliente e raccolta oggettiva dei parametri di
configurazione e del rispetto delle best practices
 Discussione dei risultati
 Applicazione delle best practices individuate e concordate
 Ambiti di verifica
 Installazione, aggiornamenti e patch
 Riduzione della superficie di attacco
 Autenticazione e autorizzazione
 Regole di gestione delle password
 Auditing e logging
 Sviluppo applicazioni
 Encryption
 Altre considerazioni
 Alcuni controlli saranno implementati anche all’interno di SQL Catcher