» Sécurisation du serveur et de l'accès
Sécuriser le serveur physique et ses fichiers de données.
Mécanisme d'authentification, chiffrement de la connexion.
Sécurisation des points de terminaison et de SQL Browser.
Comment protéger les sauvegardes.
Travaux pratiques
Chiffrer la connexion entre les clients et le serveur, créer des sauvegardes chiffrées.
» Modèle d'authentification et de sécurité
Stratégie de mode d'authentification.
Modèle de sécurité SQL server : connexions et utilisateurs.
Utiliser les rôles SQL.
Baser sa sécurité logique sur l'utilisation des schémas SQL.
Utilisation du contexte d'exécution (EXECUTE AS…).
Sécurité interbases : chaînage des utilisateurs et authentifications interserveurs.
Proxies et accréditations.
Travaux pratiques
Créer et tester un modèle de sécurité, créer une procédure stockée s'exécutant dans un autre contexte d'exécution.
» Chiffrement de données et utilisation de certificats
Architecture SQL Server de chiffrement.
Créer et gérer les clés de chiffrement et les certificats.
Chiffrer les données.
Intérêt de chiffrer les procédures (WITH ENCRYPTION…).
Authentifier le code par certificats.
Bonnes pratiques en matière de chiffrement.
Travaux pratiques
Chiffrement de colonnes sensibles, signature de code par certificats.
» Protection contre l'injection SQL
Qu'est-ce que l'injection SQL ?
Les différentes techniques d'injection.
Les bonnes pratiques du code client et du code SQL pour se protéger.
Le problème du SQL dynamique.
Utiliser des proxies SQL.
Se protéger contre les attaques de déni de service (DOS, Denial-of-Service).
Travaux pratiques
Tests d'injection sur différents types de code et modes de protection, dans le code client, et dans les procédures stockées.
» Audit de l'utilisation des bases de données
Tracer les accès et suivre les comportements interdits (C2, Loi Sarbane Oxley).
Auditer les modifications de structure.
Suivre les modifications de données.
Travaux pratiques
Mettre en place un audit de sécurité.
