Considérations relatives à la sécurité pour SQL Server sur Linux

S’applique à :SQL Server sur Linux

La sécurisation de SQL Server sur Linux est un processus continu, car Linux est un système d’exploitation hétérogène et en constante évolution. Notre objectif est d’aider nos clients à améliorer la sécurité de façon incrémentielle, en s’appuyant sur ce qu’ils ont déjà et en affinant au fil du temps. Cette page sert d’index des pratiques clés et des ressources pour sécuriser SQL Server sur Linux.

Commencer par un système Linux sécurisé

Cet article part du principe que vous avez déployé SQL Server sur un système Linux renforcé et sécurisé. Les mesures de sécurité varient selon la distribution Linux. Pour plus d’informations, consultez Prise en main de SQL Server sur SELinux.

Les pratiques de sécurité varient en fonction de la distribution Linux que vous utilisez. Pour obtenir des conseils détaillés, contactez votre fournisseur de distribution et passez en revue les meilleures pratiques recommandées. Vous pouvez également faire référence à la documentation telle que :

• Renforcement de la sécurité Red Hat Enterprise Linux
• Ubuntu : suggestions de sécurité

Validez toujours votre plateforme et votre configuration choisies dans un environnement de test contrôlé avant le déploiement en production.

Appliquer des conseils de sécurité SQL Server

SQL Server sur Linux offre une infrastructure de sécurité robuste combinant plusieurs couches de protection.

• Créez des comptes et des utilisateurs de base de données sous le principe du privilège minimum.

• Utilisez des fonctionnalités avancées telles que la sécurité au niveau des lignes et le masquage dynamique des données pour le contrôle d’accès granulaire.

• La sécurité du système de fichiers est appliquée par le biais d’autorisations et de propriété strictes sous /var/opt/mssql, ce qui garantit que seul l’utilisateur et le mssql groupe disposent d’un accès approprié.

• Pour l’intégration d’entreprise, l’authentification Active Directory permet l’authentification unique Basée sur Kerberos, les stratégies de mot de passe centralisées et la gestion des accès en fonction du groupe.

• Les connexions chiffrées protègent les données en transit à l’aide de TLS, avec des options pour le chiffrement initié par le serveur ou le client et la prise en charge des certificats qui répondent aux normes du secteur.

Ensemble, ces fonctionnalités offrent une approche complète de la sécurisation des déploiements SQL Server sur Linux. Passez en revue et implémentez des recommandations à partir de ces ressources clés :

• Procédure pas à pas pour les fonctionnalités de sécurité de SQL Server sur Linux
• SQL Server sur Linux - Guide sur la sécurité et les autorisations
• Authentification Active Directory pour SQL Server sur Linux
• Tutoriel : Configuration de l’authentification Active Directory avec SQL Server sur Linux à l’aide de la commande adutil
• Chiffrer les connexions à SQL Server sur Linux

Audit de SQL Server sur Linux

SQL Server sur Linux prend en charge la fonctionnalité d’audit SQL Server intégrée, ce qui vous permet de suivre et de consigner les événements au niveau du serveur et de la base de données pour la conformité et la surveillance de la sécurité.

• Créer un audit du serveur et une spécification d’audit du serveur

Bonnes pratiques courantes

• Mettez régulièrement à jour le système d’exploitation Linux et SQL Server.
• Dédier exclusivement des serveurs de production aux charges de travail SQL Server.
• Appliquez le principe du privilège minimum pour les comptes et les services.
• Désactivez le compte SA comme bonne pratique.

Pour connaître les meilleures pratiques de sécurité courantes sur Windows et Linux, reportez-vous aux meilleures pratiques de sécurité SQL Server

Désactiver le compte SA est une bonne pratique

Lorsque vous vous connectez à votre instance SQL Server à l'aide du compte administrateur système (sa) pour la première fois après l'installation, il est important de suivre ces étapes, puis de désactiver immédiatement le compte sa en tant que meilleure pratique de sécurité.

1. Créez une connexion et définissez-la comme membre du rôle serveur administrateur système.

   • Selon que vous disposez d’un déploiement de conteneur ou sans conteneur, activez l’Authentification Windows, créez une connexion Windows et ajoutez-la au rôle serveur administrateur système.

     • Tutoriel : Configuration de l’authentification Active Directory avec SQL Server sur Linux à l’aide de la commande adutil

     • Tutoriel : Configurer l’authentification Active Directory avec des conteneurs SQL Server sur Linux

   • Sinon, créez une connexion à l’aide de l’authentification SQL Server et ajoutez-la au rôle serveur administrateur système.

2. Connectez-vous à l’instance SQL Server à l’aide de la nouvelle connexion que vous avez créée.

3. Désactivez le compte sa, comme recommandé dans le cadre des meilleures pratiques de sécurité.

Limitations de sécurité pour SQL Server sur Linux

SQL Server sur Linux présente actuellement les limitations suivantes :

• À compter de SQL Server 2025 (17.x) sur Linux, vous pouvez appliquer une stratégie de mot de passe personnalisée. Pour plus d’informations, consultez Définir une stratégie de mot de passe personnalisée pour les connexions SQL dans SQL Server sur Linux.

  Dans SQL Server 2022 (16.x) sur Linux et versions antérieures, nous fournissons une stratégie de mot de passe standard :

  • MUST_CHANGE est la seule option que vous pouvez configurer.

  • Avec l’option CHECK_POLICY activée, seule la stratégie par défaut fournie par SQL Server est appliquée et n’applique pas les stratégies de mot de passe Windows définies dans les stratégies de groupe Active Directory.

  • L’expiration du mot de passe est codée en dur sur 90 jours si vous utilisez l’authentification SQL Server. Pour contourner ce problème, envisagez de modifier ALTER LOGIN.

• EKM (Extensible Key Management) est pris en charge uniquement via Azure Key Vault (AKV) dans SQL Server 2022 (16.x) CU12 et n’est pas disponible dans les versions antérieures. Les fournisseurs EKM tiers ne sont pas pris en charge pour SQL Server sur les systèmes d’exploitation Linux.

• Le mode d’authentification SQL Server ne peut pas être désactivé.

• SQL Server génère son propre certificat auto-signé pour le chiffrement des connexions. Vous pouvez configurer SQL Server pour utiliser un certificat fourni par l’utilisateur pour TLS.

• Les déploiements SQL Server sur Linux ne sont pas conformes à FIPS.

Sécuriser SQL Server sur les déploiements de conteneurs Linux

Pour plus d’informations sur la sécurisation des conteneurs SQL Server, consultez Conteneurs SQL Server Linux sécurisés.

Contenu connexe

• Procédure pas à pas pour les fonctionnalités de sécurité de SQL Server sur Linux
• SQL Server sur Linux - Guide sur la sécurité et les autorisations
• Configurer SQL Server sur Linux avec l’outil mssql-conf
• Éditions et fonctionnalités prises en charge de SQL Server 2022 sur Linux
• Sécurité pour le moteur de base de données SQL Server et la base de données Azure SQL