Qu’est-ce que la sécurité de la base de données ?

• Pare-feux servent de première ligne de défense dans la sécurité des bases de données DiD. D'un point de vue logique, un pare-feu est un outil de séparation ou de restriction du trafic réseau que vous pouvez configurer pour appliquer la stratégie de sécurité des données de votre organisation. Si vous utilisez un pare-feu, vous augmentez la sécurité au niveau du système d'exploitation en définissant un point d'engorgement où vos mesures de sécurité peuvent se concentrer.

• Authentification consiste à prouver que l’utilisateur est bien celui qu’il prétend être en entrant l’ID d’utilisateur et le mot de passe corrects. Certaines solutions de sécurité permettent aux administrateurs de gérer de manière centralisée les identités et les autorisations des utilisateurs de base de données dans un emplacement central. Cela permet de réduire le stockage des mots de passe et d'activer des stratégies de rotation centralisée des mots de passe.
• Autorisation permet à chaque utilisateur d’accéder à certains objets de données et d’effectuer certaines opérations de base de données telles que la lecture, mais pas la modification des données, la modification, mais pas la suppression de données ou la suppression de données.
• Contrôle d’accès est géré par l’administrateur système qui attribue des autorisations à un utilisateur au sein d’une base de données. Dans l’idéal, les autorisations sont gérées en ajoutant des comptes d’utilisateur à rôles de base de données et en attribuant des autorisations au niveau de la base de données à ces rôles. Par exemple, sécurité au niveau des lignes permet aux administrateurs de base de données de restreindre l’accès en lecture et en écriture aux lignes de données en fonction de l’identité d’un utilisateur, des appartenances aux rôles ou du contexte d’exécution des requêtes. La sécurité au niveau des lignes centralise la logique d’accès dans la base de données elle-même, ce qui simplifie le code de l’application et réduit le risque de divulgation accidentelle de données.

• Audit effectue le suivi des activités de base de données et contribue à maintenir la conformité aux normes de sécurité en enregistrant les événements de base de données dans un journal d’audit. Cela vous permet de surveiller les activités de base de données en cours, ainsi que d’analyser et d’examiner les activités historiques afin d’identifier les menaces potentielles ou les abus et violations de sécurité suspects.
• Détection des menaces détecte les activités anormales de la base de données qui indiquent une menace de sécurité potentielle pour la base de données et peuvent exposer des informations sur les événements suspects directement à l’administrateur.

• Chiffrement des données sécurise les données sensibles en les convertissant dans un autre format afin que seules les parties prévues puissent les déchiffrer à leur forme d’origine et y accéder. Bien que le chiffrement ne résout pas les problèmes de contrôle d’accès, il améliore la sécurité en limitant la perte de données lorsque les contrôles d’accès sont contournés. Par exemple, si l’ordinateur hôte de base de données est mal configuré et qu’un utilisateur malveillant obtient des données sensibles, telles que des numéros de carte de crédit, ces informations volées peuvent être inutiles si elles sont chiffrées.
• Les données de sauvegarde de base de données et de récupération sont essentielles à la protection des informations. Ce processus implique d’effectuer régulièrement des copies de sauvegarde de la base de données et des fichiers journaux et de stocker les copies dans un emplacement sécurisé. La copie de sauvegarde et le fichier sont disponibles pour restaurer la base de données en cas de violation ou de défaillance de la sécurité.
• Sécurité physique limite strictement l’accès au serveur physique et aux composants matériels. De nombreuses organisations disposant de bases de données locales utilisent des salles verrouillées avec un accès restreint pour le matériel du serveur de base de données et les périphériques réseau. Il est également important de limiter l’accès au support de sauvegarde en le stockant à un emplacement hors site sécurisé.

La sécurisation ou "le renforcement" un serveur de base de données combine la sécurité physique, réseau et système d’exploitation pour corriger les vulnérabilités et rendre plus difficile l’accès au système pour les pirates informatiques. Les meilleures pratiques en matière de renforcement des bases de données varient en fonction du type de plateforme de base de données. Les étapes courantes incluent la protection par mot de passe et les contrôles d’accès, la sécurisation du trafic réseau et le chiffrement des champs sensibles dans la base de données.

En renforçant le chiffrement des données, ces fonctionnalités permettent aux organisations de sécuriser plus facilement leurs données et de se conformer aux réglementations :

• Données always encrypted offre une protection intégrée des données contre le vol en transit, en mémoire, sur disque et même pendant le traitement des requêtes.
• Transparent data encryption protège contre la menace d’une activité hors connexion malveillante en chiffrant les données stockées (données au repos). Transparent data encryption effectue le chiffrement et le déchiffrement en temps réel de la base de données, des sauvegardes associées et des fichiers journaux des transactions au repos sans nécessiter de modifications de l’application.

Lorsqu’elles sont combinées avec la prise en charge de la version la plus puissante du protocole réseau TLS (Transport Layer Security), les données toujours chiffrées et le chiffrement transparent des données fournissent une solution de chiffrement complète pour les organisations financières, bancaires et médicales qui doivent se conformer à Payment Card Industry Data Security Standard (PCI DSS), qui impose une protection forte et de bout en bout des données de paiement.

Advanced Threat Protection analyse les journaux pour détecter les comportements inhabituels et les tentatives potentiellement dangereuses d’accès ou d’exploitation des bases de données. Des alertes sont créées pour les activités suspectes, telles que les attaques par injection de code SQL, infiltration potentielle de données et force brute, ainsi que pour les anomalies des modèles d’accès afin d’intercepter les réaffectations de privilèges et l’utilisation d’informations d’identification ayant fait l’objet de violation de sécurité.

Il est recommandé que les utilisateurs et les applications utilisent des comptes distincts pour s’authentifier. Cela limite les autorisations accordées aux utilisateurs et aux applications et réduit les risques d’activités malveillantes. Il est particulièrement important si le code d’application est vulnérable à une attaque par injection de code SQL.

Le principe de sécurité des informations de moindre privilège déclare que les utilisateurs et les applications doivent se voir accorder l’accès uniquement aux données et aux opérations dont ils ont besoin pour effectuer leurs tâches. Cette meilleure pratique permet de réduire la surface d’attaque de l’application et l’impact d’une violation de sécurité (rayon d’explosion) en cas de violation.

Les meilleures pratiques en matière de sécurité des bases de données doivent faire partie d’une approche complète de sécurité qui fonctionnent ensemble sur plusieurs plateformes et clouds pour protéger l’ensemble de votre organisation. Un modèle de sécurité de confiance zéro valide les identités et la conformité des appareils pour chaque demande d’accès afin de protéger les personnes, les appareils, les applications et les données où qu’ils se trouvent. Au lieu de supposer que tout ce qui se trouve derrière le pare-feu d’entreprise est sécurisé, le modèle de confiance zéro suppose une violation et vérifie chaque requête comme si elle provient d’un réseau ouvert. Quelle que soit l’origine de la demande ou la ressource à laquelle elle accède, le principe de la Confiance Zéro est de "ne jamais faire confiance, toujours vérifier."

Activer la confiance zéro avec les solutions de sécurité MicrosoftActiver la confiance zéro avec les solutions de sécurité Microsoft. Adoptez une approche de bout en bout de la sécurité pour protéger vos personnes, vos données et votre infrastructure.

Renforcez votre posture de sécurité avec AzureRenforcez votre posture de sécurité avec Azure. Utilisez des contrôles de sécurité multicouches intégrés et des renseignements sur les menaces uniques d’Azure pour vous aider à identifier et à protéger contre les menaces. Plus de 3 500 experts mondiaux en cybersécurité collaborent pour protéger vos données dans Azure.

Tirez parti des services et outils de sécurité Azure Database intégrésTirez parti des outils et services de sécurité azure Database intégrés notamment Always Encrypted; protection intelligente contre les menaces; contrôles de sécurité, contrôles d’accès à la base de données et d’autorisation tels que sécurité au niveau des lignes et masquage dynamique des données, audit, détection des menaces, et la surveillance des données avec Microsoft Defender pour le cloud.

Protégez vos bases de données NoSQL avec Azure Cosmos DB, qui inclut des outils de sécurité de base de données avancés complets pour vous aider à prévenir, détecter et répondre aux violations de base de données.