Embed Size (px)
DESCRIPTION
DAT211 Prendre ou reprendre le contrôle de vos instances SQL Server - Conformité qualité de service et bonnes pratiques
Citation preview
1
DAT211
Regis Mauger, ArchitectePatrick Guimonet, Architecte Infrastructure
http://blogs.technet.com/patricg Microsoft France
2
IntroductionSQL Server 2008 et la conformité
SécuritéEncryptionsAuditAdministration par règles (PBM)
Conclusion
3
Obtenir les résultats désirés et ceci de la bonne manière :
ParticipationTransparenceRéactivitéImplication Décisions et actions consensuellesEfficacitéResponsabilitéVision Stratégique
‘‘The need for governance exists anytime a group of people come together to accomplish an end’’The need for governance exists anytime a group of people come together to accomplish an end’’Source: Institute On GovernanceSource: Institute On Governance
4
Sarbanes-OxleyFiscal accountability for all
public companies
Basel II Capital assessment and reporting standards for global banking
USA PATRIOT ActCustomer documentation requirements in order to “know your customer”
DoD 5015.2 and UK PRO
Federal standards of records management
Health Insurance Portability and
Accountability Act (HIPAA)
NASD 3110 Written policies and
procedures for review of correspondence
with the public
All records related to securities transactions to be
maintained for 3 years
Gramm-Leach Bliley Act (GLBA)
Privacy of financial information
Right to carry insurance between job; privacy of patient Information
SEC Rules 17a-3 & 17a-4
5
Les règlementations récentes exigent des processus pas simplement des résultats
Sarbanes-Oxley:Documentation des processus de fin de relevés financiersDocumentation et certification des contrôlesAudit des environnements d’exécution des processus Etat en temps réel des changements financiers
Bâle IIAnalyse de risque complète
Règles de confidentialitéDémonstrations de collaboration et communication sécurisées
Anti-terrorisme, anti-blanchiment, anti-fraude
6
Menaces
Risque sur le budget IT, si la conformité est traitée en mode réactifConformité en “silo” à l’encontre de la flexibilitéIT devient le bouc émissaire des non-conformités
Opportunités
Focus sur l’amélioration des processusLes architectures de processus et de conformité d'entreprise améliorent l'agilité de l’organisation Accroissement de l’automatisation des contrôlesIT mieux aligné avec les métiers et délivrant une plus grande valeur à ceux-ci
7
Surface Area Configuration
Gestion de l’Identité
Gestion des clés d’encryptions des données
Gestion des clés
Audit SQL Server
Administration par règles (PBM - Policy Based Management)
8
A partir de SQL Server 2008, l’outil de Configuraion de la Surface d’Exposition est remplacé par un ensemble de règles/
9
BackupBackupOperatorOperatorBackupBackup
OperatorOperator
ApplicationApplicationAdminAdmin
ApplicationApplicationAdminAdmin
ApplicationApplicationAdminAdmin
AuditorAuditorAuditorAuditorUserUser
AdminAdminUserUser
AdminAdminP123#$?P123#$?
securityadmin role manages loginssecurityadmin role manages logins
10
Audit des changements sur les comptesRéduction de l’usage du compte ‘sa’
Renommer le compteDé-valider le compteRestreindre les affectations à ‘sysadmin’Auditer toutes les actions du compte ‘sa’
S’assurer que les utilisateurs ne sont pas dans plus d’un rôle
BackupBackupOperatorOperator
SecuritySecurityAdminAdmin
ApplicationApplicationAdminAdmin
AuditorAuditor
11
Algorithmes disponibles : AES (128, 192, 256 bits) et3DES
Protection
Gestion desClés externe
Rotation
Serveur de clés
Sauvegarde
db_ddladmin role peut gérer clés et certificatsdb_ddladmin role peut gérer clés et certificats
12
13
Une solution complète en 2008 basée sur les éléments présents en 2005
L’audit est un objet serveur à part entièreGranularité des actions auditées : objets bases de données et utilisateursPlusieurs sorties possibles : fichiers, journaux applicatifs ou système
2008
15
Nouveaux objets pour la configuration de l’auditAccessibles en T-SQL
Nouvelles permissions pour contrôler l’accès à l’auditi.e. “ALTER ANY AUDIT”, “ALTER ANY AUDIT SPECIFICATION”
Filtrage basé sur les actions, les objects et les droits aux niveaux bases et serveur
Compatibilité avec les groupes d’évènements SQLTrace Audit pour les ordres Select, Insert, Update, Delete
AuditAudit
Audit Audit SpecificationSpecification
LocationsLocationsFileFile
Audit Audit SpecificationSpecification
App LogApp Log
Security LogSecurity Log
2008
18
19
2008
21
Type de cibleType de cible
Facet : Facet : caractériques définissant caractériques définissant un type de ciblesun type de cibles
PolitiquePolitique
Etat désiré
Quand
Quoi
Cible
Instance de Instance de ciblecible
Bases de Bases de donnéesdonnées
Catégories
CatégoriesAdministratiAdministration des on des
politiquespolitiques
2008
22
2008
Policy Policy Event Event
HandlerHandler
MSDB (Policy Store)MSDB (Policy Store)
Policy Policy InvokerInvoker
SQLCLRSQLCLR
Policy Policy EngineEngineSMOSMO FacetFacet
SQL Server Database SQL Server Database Engine Engine
SQL Server AgentSQL Server Agent
23
2008
Relational Relational Engine Engine
EventingEventing
Policy Policy Service Service Broker Broker QueueQueue
Policy Policy Event Event
HandlerHandler
MSDB (Policy Store)MSDB (Policy Store)
SQLCLRSQLCLR
Policy Policy EngineEngineSMOSMO FacetFacet
SQL Server Database SQL Server Database Engine Engine
Synchronous Events
AsynchronousEvents
24
25
26
Blog
2 ensembles d’outils
Site sur la conformité
27
28
© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS,
IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Votre potentiel, notre passion TM
