Ajouter une couche de sécurité supplémentaire avec les pare-feu SQL

par Ron Ben-Natan - Mis en ligne le 10/11/2004 - Publié en Décembre 2003

La sécurité de l'information est une préoccupation majeure que la croissance et le développement de l'e-business n'ont fait qu'accentuer. Les applications e-business des entreprises ciblent le vaste monde qu'elles considèrent comme des utilisateurs. Les utilisateurs externes inconnus peuvent donc désormais accéder à  des applications et à  des bases de données qui étaient auparavant réservées à  des utilisateurs connus. Ces mêmes entreprises utilisent aussi des logiciels accessibles par le Web, que les fournisseurs commercialisent à  la hâte après des tests de qualité sommaires. Ce genre de logiciels inclut souvent de nouvelles fonctionnalités non sans failles...On voit donc que le e-business a donné de nouveaux moyens aux pirates informatiques et autres utilisateurs malveillants, de vandaliser des systèmes et de voler des informations. Beaucoup des attaques qui ont fait la une sur les systèmes d'information en 2002 et 2003 ont visé des serveurs de bases de données. En outre, le Computer Security Institute (CSI) et FBI Computer Crime and Security Survey annuel - disponible à  http:// www.gocsi.com - montre constamment que les attaques les plus graves contre la sécurité de l'information viennent du sein même de l'entreprise. Quand on additionne les assauts externes en augmentation et la malveillance interne toujours plus grande, il est clair qu'il faut renforcer la sécurité des applications et des bases de données.
En matière de sécurité des applications, le plus important est de protéger et de maintenir l'intégrité des données applicatives. C'est un gros chantier qui exige que l'équipe de sécurité travaille en étroite collaboration avec les DBA et les développeurs d'applications. Protéger les données c'est les mettre à  l'abri de l'utilisation non autorisée, du vol et de « l'empoisonnement » (injecter des informations fausses ou compromettre l'intégrité de l'information), ainsi que gérer la confidentialité et la réglementation en vigueur. Les éléments de données - les bijoux de la couronne de toute entreprise - sont presque toujours stockés dans des bases de données relationnelles comme SQL Server. C'est pourquoi il est urgent de prendre des mesures de sécurité supplémentaires autour des bases de données SQL Server. L'une de ces précautions peut être l'installation d'un pare-feu SQL. Cet article explique comment les pare-feu SQL peuvent améliorer la sécurité des applications et comment vous pouvez les intégrer dans un plan de sécurité global.

SQL Server, nouveau socle du décisionnel

par par Catherine China - Mis en ligne le 16/09/2004 - Publié en Janvier 2004

SQL Server sort du monde relationnel pour s'ancrer définitivement dans le décisionnel. Stan Sorensen, Directeur Monde SQL Server nous explique comment Yukon, le SGBD de nouvelle génération, se promet de devenir l'épine dorsale de la stratégie Business Intelligence de Microsoft.SQL Server Mag : Quelle est la position actuelle de SQL Server sur le marché des systèmes de base de données ?

Stan Sorensen : SQL Server est la seule base de données du marché à  afficher une croissance de 8 % des ventes de licence en 2002 et une croissance de 16.8 % sur le segment des SGBDR. Par ailleurs, avec une croissance de 25 % en 2002, SQL Server est aujourd'hui la base de données leader du marché OLAP. Reste qu'en France, le SGBD est encore mieux accepté par les PME que par les grands groupes. Une attitude de méfiance en partie due au problème d'image véhiculée par Microsoft et à  un manque de communication et de marketing.


Quels sont aujourd'hui les principaux moteurs de croissance du marché SQL Server ?

S. S : Le marché des bases de données OLAP n'est certes pas aussi fructueux que celui du transactionnel et du relationnel mais il bénéficie d'un potentiel de croissance beaucoup plus important. Dans le passé, les entreprises effectuaient d'importants investissements pour intégrer de lourds volumes de données dans des SGBDR. Aujourd'hui, le challenge est totalement différent : elles souhaitent extraire des données réparties dans des bases disparates, les utiliser de manière intelligente, comprendre le lien qui les unit via des fonctions d'agrégation pour au final optimiser leurs activités. C'est donc tout l'univers de la Business Intelligence qui se présente comme moteur de croissance pour le monde SQL Server via les moteurs OLAP, les systèmes ETL, les outils de reporting. La réduction des coûts est l'autre moteur de croissance du marché. SQL Server est un système de gestion de plus en plus prisé par les entreprises, car il coûte moins cher à  exploiter et à  maintenir que les autres systèmes opérant sous Unix.

Meilleures pratiques pour l’authentification mixte

par Kalen Delaney - Mis en ligne le 10/11/2004 - Publié en Décembre 2003

Comment renforcer la sécurité de SQL Server

Les administrateurs de bases de données (DBA) et les développeurs d'applications doivent prendre les décisions de sécurité qui protègent le mieux leurs systèmes. S'il est vrai que le risque zéro n'existe pas, les DBA et les développeurs qui utilisent SQL Server peuvent améliorer la sécurité par une bonne compréhension des ramifications du mode d'authentification qu'ils adoptent...SQL Server 2000 et 7.0 fournissent deux modes d'authentification : l'authentification SQL Server et Windows (aussi appelée authentification mixte) et l'authentification intégrée à  Windows. L'authentification mixte permet aux applications de se connecter à  SQL Server à  l'aide des comptes et des mots de passe stockés dans les tables SQL Server ou dans un domaine ou une machine locale Windows. L'authentification mixte est simple d'emploi mais elle n'a pas de possibilité de filtrage de rejet de comptes et elle peut exposer vos systèmes à  une attaque menée par le biais du compte SA, vulnérable et souvent mal géré, de SQL Server. L'authentification Windows, qui exige d'utiliser un compte Windows pour tout ce qui touche à  la connectivité base de données, fournit un mécanisme de filtrage (et donc de refus éventuel) de compte et élimine les risques de sécurité liés au compte SA. Elle offre aussi des moyens supplémentaires de journalisation au moyen des journaux Windows Security Event Viewer. Mais l'authentification Windows est plus complexe et il n'est pas toujours facile de convaincre un développeur d'applications de l'adopter.
L'authentification Windows est de loin la plus sûre et il faut donc l'appliquer dans la mesure du possible. Il arrive cependant que le type de gestion ou d'application impose l'authentification mixte. Deux exemples : certaines applications tierce partie ne reconnaissent que l'authentification mixte et certains langages de programmation, comme Java, ne prennent pas en charge l'authentification Windows pour des connexions SQL Server. Parfois aussi les concepteurs architectes de l'application peuvent estimer que l'authentification mixte représente le chemin de développement le plus rapide et le plus simple. Parfois encore, il faudra travailler avec des applications existantes qui utilisent l'authentification mixte, jusqu'à  ce qu'on ait le temps ou le personnel permettant de les réécrire pour l'authentification Windows. Quelle qu'en soit la raison, si vous devez utiliser l'authentification mixte, vous devez connaître les failles de vos systèmes SQL Server et savoir vous en protéger.

MS Reporting Services : plate-forme globale de reporting d’entreprise

par par Lionel Billon - Mis en ligne le 16/09/2004 - Publié en Février 2004

Un nouveau produit majeur ajouté à  la suite logicielle MS SQL Server

Depuis la version 7 de MS SQL Server, Microsoft s'oriente clairement vers le domaine des bases de données d'entreprise. Outre une refonte totale du moteur relationnel, Microsoft proposa dès lors de livrer gratuitement avec son moteur relationnel 2 outils complémentaires essentiels à  la création d'applications orientées données.Un outil d'extraction et de transformation de données (MS Data Transformation Services - DTS) et un moteur OLAP (MS OLAP/Analysis Services).
La version 2000 de SQL Server a bien entendu confirmé cette orientation puisque les 3 logiciels livrés en standard avec la boîte SQL Server (le moteur relationnel lui même, MS DTS, le serveur OLAP maintenant appellé MS Analysis Services depuis l'ajout du serveur de data mining) ont été largement améliorés notamment en vue de la prise en compte des systèmes décisionnels (Business Intelligence) de grande envergure.
Avec toutes ces évolutions, on aurait pu imaginer que Microsoft attende Yukon (la prochaine version de MS SQL Server) pour rendre commerciales de nouvelles fonctionnalités...
Contre toute attente, Microsoft allait à  nouveau surprendre en annonçant dès février 2003, une solution complète de reporting d'entreprise : MS Reporting Services.

Quoi de neuf dans DTS ?

par Kirk Haselden - Mis en ligne le 22/12/2004 - Non Publié

Presque tout. Voici quelques-uns des points forts de SQL Server 2005

Au début de l'année 2000, l'équipe de développement de Microsoft DTS (Data Transformation Data), dont je fais partie, a commencé à  réviser DTS avec la volonté de bâtir sur le succès du produit et de l'améliorer en tenant compte des demandes des utilisateurs, l'objectif étant de proposer une plate-forme d'extraction, de transformation et de chargement (ETL en anglais) plus riche ...Nous avons évalué chaque aspect de DTS et décidé de le réécrire intégralement. Dans la prochaine version SQL Server 2005 (ancien nom de code Yukon), DTS propose une multitude de fonctionnalités entièrement nouvelles ou améliorées. Comme la part des nouveautés sera majoritaire, l'objet de cet article est de vous présenter certaines des modifications les plus importantes et la nouvelle interface de DTS Designer (Concepteur DTS). Au moment de la rédaction de cet article, je travaillais sur la version bêta 1 de SQL Server 2005 DTS. Par conséquent, certaines fonctionnalités peuvent changer dans les bêtas suivantes ou dans la version définitive. En attendant, si vous connaissez déjà  les versions de DTS proposées dans SQL Server 2000 et 7.0, vous allez apprécier les améliorations à  venir.

SQL Server Actualités – Semaine 46 – 2004

Les actualités SQL Server pour le mois de Novembre 2004

Actualités – Septembre 2004

Les actualités SQL Server pour le mois de Septembre 2004

SQL Server Actualités – Semaine 52 – 2004

Les actualités SQL Server pour le mois de Décembre 2004

Find Duplicates Wizard for SQL Server

Azlexica annonce Find Duplicates Wizard for SQL Server, logiciel qui permet d'effectuer une analyse dupliquée multi clés sur la base de données SQL Server 2000 ou 7.0, puis exporte le résultat dans le tableur.

Il effectue son processus directement sur le serveur, ainsi il n'est pas nécessaire d'envoyer les données sur le réseau pour l'analyse.

Haute disponibilité des infrastructures réseau

Afin d'assurer une haute disponibilité des infrastructures réseau, Ipswitch, éditeur de solutions de transfert de fichiers, de serveurs de messagerie et de surveillance réseaux, annonce Ipswitch WhatsUp Gold FT Premium.

Solution de cartographie, surveillance et alerte réseau, Ipswitch WhatsUp Gold FT Premium permet, en un seul produit, de surveiller les applications Microsoft Exchange et Microsoft SQL Server de manière efficace, et d'assurer une redondance de monitoring pour garantir une haute disponibilité du système de surveillance réseau. Jusqu'alors proposés comme modules optionnels à WhatsUp Gold, WhatsUp Exchange Monitor, WhatsUp SQL Monitor et WhatsUp Failover assurent le bon fonctionnement des applications critiques des entreprises.

Double-Take pour SQL Server

NSI Software annonce Double-Take pour SQL Server, logiciel de réplication basé hôte qui fournit la protection des applications en temps réel.

La technologie STAR (Sequential Transfer-Asynchronous Replication) de NSI capture en continu et réplique les changements.

SQL Server Actualités – Semaine 44 – 2004

Les actualités SQL Server pour le mois d'Octobre 2004

Actualités – Juin 2004

Les actualités SQL Server pour le mois de Juin 2004

Database Editor Tool Kit for Desktop

Isotupa Consulting annonce Database Editor Tool Kit for Desktop, logiciel pour les développeurs et intégrateurs systèmes.

Cette solution permet de mettre en place des applications rapidement.

Actualités – Mai 2004

Les actualités SQL Server pour le mois de Mai 2004

AppDetective 3.1.8contre les vulnérabilités

Application Security annonce AppDetective 3.1.8, logiciel d'évaluation des vulnérabilités qui peut vérifier trois nouvelles vulnérabilités SQL Server : « named pipe hijacking », « named pipe » Deni de services (DoS), les problèmes dans les appels de procédures locales (LPC).

En outre, AppDetective peut vérifier si vous avez installé un patch qui empêche d'indiquer un nom de compte sur lequel SQL Server fonctionne.

Arbres XML : Pas à  pas

par Julian Watson - Mis en ligne le 19/05/2004

Comment renvoyer des données sous forme de XML hiérarchique

Les bases de données relationnelles stockent souvent leurs données dans une structure arborescente ou hiérarchique, où chaque élément est associé à  un autre, selon une relation parentenfant.L'exemple le plus courant est la structure ou organigramme de direction d'une société comme celle que montre la figure 1. La hiérarchie a généralement une profondeur arbitraire et chaque élément ne contient des informations que sur sa position relative dans l'arbre. A en juger par les nombreuses questions des newsgroups, une exigence courante se dessine : utiliser SQL Server pour renvoyer la totalité de l'arbre en format XML. Par exemple, beaucoup doivent afficher une hiérarchie sur une page ou un rapport Web. La figure 2 montre un arbre affiché en mode XML.
Bien que le support XML de SQL Server 2000 soit souple, il ne permet pas de renvoyer XML hiérarchique, selon une profondeur arbitraire. Mais on peut obtenir ce résultat grâce à  la commande FOR XML EXPLICIT T-SQL.
Certaines techniques d'accès à  des données hiérarchiques par l'intermédiaire de T-SQL peuvent devenir très complexes. Cet article explique les techniques et bâtit le T-SQL en petites étapes pour en faciliter la compréhension. En cours de trajet, j'aborde des méthodes comme l'utilisation de SQL dynamique et je révèle quelques trucs et astuces, y compris comment utiliser des tables temporaires au lieu d'UNIONs dans vos instructions FOR XML EXPLICIT pour réduire la taille et la complexité de ces instructions. L'article suppose une bonne connaissance de XML sur SQL Server 2000 et l'utilisation de la table universelle.

SQL Server 2000 64 bits Enterprise Edition

par Michael Otey - Mis en ligne le 19/05/2004

Avez-vous besoin du surcroît de puissance de SQL Server 2000 64 bits Enterprise Edition ?

Depuis sa release 7.0 en 1998, SQL Server a pris sa vitesse de croisière, éliminant les obstacles qui freinaient l'adoption des versions SQL Server précédentes dans l'entreprise.Une nouvelle technologie de large diffusion, dite vues partitionnées distribuées, a propulsé SQL Server en tête des classements TPC-C pour systèmes base de données en cluster. (TPC-C est un benchmark standard pour systèmes base de données, conçu par le TPC (Transaction Performance Processing Council) qui rassemble tous les principaux fournisseurs de bases de données. Le test TPC-C mesure les transactions par minute - ou tpmC.) SQL Server a aussi fait irruption dans le top 10 de TPC-C pour systèmes non clustered, mais sans damer le pion aux meilleures solutions base de données d'IBM et Oracle qui fonctionnaient, il est vrai, sur un matériel plus puissant. Cela étant, SQL Server a continué à  gagner nettement en évolutivité et la nouvelle SQL Server 2000 64 bits Enterprise Edition (nom de code précédent Liberty) rapproche encore plus SQL Server du sommet en matière d'évolutivité d'entreprise. Examinons donc les fonctions de SQL Server 64 bits et voyons dans quelles conditions il est judicieux de déployer cette nouvelle plate-forme puissante.

Actualités – Avril 2004

Les actualités SQL Server pour le mois d'Avril 2004

BizTalk Server 2004, le serveur d’intégration de Microsoft

BizTalk Server 2004, le serveur d'intégration de Microsoft, assure la fonction de chef d'orchestre des échanges inter applicatifs entre les acteurs internes et externe à l'entreprise.

Les développeurs pourront capitaliser sur leur expérience en s'appuyant sur l'environnement de développement unifié Visual Studio .NET intégré à BizTalk Server 2004.