> Tech > Qu’apporte SQL Server 2008 ? (2)

Qu’apporte SQL Server 2008 ? (2)

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Les audits
La fonctionnalité d’audit est issue d’une part d’obligations législatives et d’autre part d’une nécessité de suivre toutes actions effectuées sur les serveurs. Cela permettra d’affirmer ou d’infirmer qu’un accès a été effectué sur certaines données, y compris par les membres du rôle serveur sysadmin (membres qui

Qu’apporte SQL Server 2008 ? (2)

peuvent outrepasser les contrôles habituels de sécurité). La stratégie d’audit permet de tracer toute activité au niveau du serveur et au sein des bases de données. Les éléments interceptés sont alors consignés dans des fichiers ou vers les journaux de Windows. Une option permet aussi d’arrêter le moteur de base de données si l’audit n’a plus la possibilité d’écrire ses éléments de trace. Ce système est idéal pour laisser une certaine liberté d’accès à des utilisateurs, tout en les responsabilisant, ces derniers ayant connaissance de la politique d’audit mise en place.

Le cryptage transparent de base de données
Les fonctionnalités de cryptographie ont fait leur apparition sous SQL Server 2005. Leur emploi nécessite l’ajout de colonnes et l’utilisation explicite de fonctions de chiffrage et déchiffrage. Tout le panel d’algorithmes de cryptographie est offert, ainsi que les éléments permettant ce chiffrage, mais tout se fait « à la main ». Cela n’enlève rien à l’utilité d’une telle fonctionnalité qui permet de protéger les données d’accès non souhaités réalisés dans les fichiers, les sauvegardes ou même par des DBA mal intentionnés. Dans sa nouvelle version, SQL Server offre la possibilité de chiffrer de manière transparente, c’est-à-dire sans avoir à modifier le schéma de la base de données ni même ses fichiers. Il est seulement nécessaire de créer des clefs servant d’éléments de chiffrage et de déchiffrage et d’appliquer le chiffrage à la base de données.

Voici un exemple de mise en place de ce type chiffrage : voir listing 1. Après avoir chiffré la base de données, pensez toujours à réaliser une sauvegarde de la clef ayant permis de le réaliser. Cela permettra, entre autre, de pouvoir restaurer la sauvegarde de la base de données qui, elle aussi, est chiffrée.

BACKUP CERTIFICATE certificat_cryptant_mabase TO FILE =
‘c:\emplacementsur\certificat_cryptant_mabase.cert’
WITH PRIVATE KEY (FILE =
‘c:\emplacementsur\certificat_cryptant_mabase_priv.cert’,
ENCRYPTION BY PASSWORD = ‘Un autre mot de passe complexe !’)

Les fichiers de sauvegarde de ces certificats sont à conserver précieusement ainsi que le mot de passe ayant servi à les exporter. En cas de perte de ceux-ci toute tentative de restauration se soldera par un échec et le fichier de sauvegarde sera illisible. Il est à noter que l’impact du chiffrage des données est significatif essentiellement en écriture, le moteur étant obligé de réaliser cette opération à la volée. L’impact en lecture est quant à lui faible, les index restant utilisables pour les recherches.

Extensible Key Management (EKM)
Les clefs et certificats utilisés par SQL Server 2005 pour chiffrer ou signer des données sont stockés sur le même serveur que les données. Cela pose deux problèmes ; le premier est que les éléments servant aux chiffrages sont plus exposés que sur des supports tels que des cartes à puce, etc. Le second est qu’il n’est pas possible d’exploiter un certificat tiers situé sur une autre machine ou un support distant, ce qui rend certaines applications impossibles. Pour toutes ces raisons, Microsoft a décidé dans la version 2008, d’offrir à des fournisseurs tiers de solutions de cryptographie de se greffer aux fonctions natives du moteur de base de données. Répondant par la même aux problématiques évoquées ci-dessus.

Téléchargez cette ressource

Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010