Gianluca Hotz

SQL Server & GDPR

Sponsor

#SqlSat675 – 18/11/2017
Organizzatori

GetLatestVersion.
it

#SqlSat675 – 18/11/2017
Gianluca Hotz | @glhotz
Fondatore e Mentor SolidQ
20 anni con SQL Server (dalla 4.21 nel 1996)
Modellazione basi di dati, dimensionamento e amministrazione, sviluppo,
ottimizzazione

Interessi
Modello relazionale, architettura DBMS, alta disponibilità e Disaster Recovery

Microsoft MVP SQL Server dal 1998

Fondatore e presidente UGISS
User Group Italiano SQL Server (PASS Chapter)
#SqlSat675 – 18/11/2017
Introduzione
GDPR: General Data Protection Regulation
Normativa Europea (no direttiva!)
Chiunque tratti dati di residenti EU
Sanzioni 4% del fatturato o 20mio
25 Maggio 2018 (dopodomani!)
Codici di condotta per Micro/PMI
Approccio strutturato

#SqlSat675 – 18/11/2017
Security Layering
Data Encryption
• Transport Layer Security (in transit)
Data Encryption • Transparent Data Encryption (at rest)
• Cell-Level Encryption (at rest)
• Always Encrypted (at rest and in transit)
Data Access

Data Access
Access Control • Dynamic Data Masking
• Row-Level Security

Proactive Access Control

monitoring
• Encrypted Authentication
• SQL Firewall*

Proactive monitoring
• Auditing
• Threat Detection*

#SqlSat675 – 18/11/2017
Scoperta e Controllo Accessi
Assessment
Trovare a classificare informazioni in ambito
Catalogo metadati (es. sys.columns, moduli SQL)
Ricerche Full-Text in campi liberi

Valutare necessità e proporzionalità protezioni

nome, e-mail, carta di credito, malattie, affiliazione politica ecc.

Mappare flussi da/verso esterno

Stato dell’arte rispetto a

Best Practice
Codice condotta
#SqlSat675 – 18/11/2017
Controllo degli accessi
Azure Database Firewall (che device)
Autenticazione (chi sono)
Autorizzazioni (cosa posso fare)

Principio guida: minor privilegio!

#SqlSat675 – 18/11/2017
Azure Database Firewall
Accesso per servizi Azure
Indirizzi IP Specifici
Range di indirizzi IP
No 0.0.0.0-255.255.255.255 
Interfaccia SSMS
Comandi T-SQL
PowerShell, REST API
#SqlSat675 – 18/11/2017
Autenticazione
Due livelli: Server login e Database User

Nativa SQL Server

Integrata con Active Directory

Utilizza protocollo Kerberos
Supporto Azure Active Directory
Supporto Active Directory Universal Authentication
Multi-factor Authentication (es. via telefono)
Supportata solo con SSMS a partire dalla versione 17

Best Practice
Autenticazione integrata
Database Containment (autenticazione a livello database)
#SqlSat675 – 18/11/2017
Autorizzazioni
Permessi granulari
GRANT cosa può fare ON su che oggetto TO chi
Ereditarietà gerarchia di oggetti
Assegnazione (GRANT), negazione (DENY), revocare (REVOKE)
Row Level Security

Ruoli a livello di server e database

Es. sysadmin, dbcreator, db_datareader, db_datawriter
Specifici per alcune funzionalità (database msdb)

Principio guida: minor privilegio!

Possibile elevare temporaneamente
Impersonation
Stored Procedure (in generale moduli T-SQL firmati)
#SqlSat675 – 18/11/2017
Protezione
Attore principale: crittografia, ma dove?
Dati in transito
Autenticazione (sempre crittografata)
Spostamento dati
invio richieste (parametri)
caricamento in memoria
invio risposte (record set)

Dati a riposo
File database (dati e log transazioni)
File di trace/audit
#SqlSat675 – 18/11/2017
Crittografia comunicazioni
On-premise
Installazione Certificato (server e client)
Possibile forzare utilizzo (server e client)
Autenticazione sempre crittografata (nel caso «self-signed»)

Azure SQL Database (e SQL Data Warehouse)

Connessione crittografata sempre necessaria!
Es. connessione ADO.NET Encrypt=True;TrustServerCertificate=False

Transport Layer Security (TLS) 1.2

Windows Server 2008 R2
SQL Server 2008 SP4 (hotfix)
#SqlSat675 – 18/11/2017
Crittografia dati prima di SQL Server 2016
Transparent Data Encryption (TDE)
File dati, log e backup
Dati decifrati quando caricati in memoria*
Completamente trasparente per le applicazioni

Cell-Level Encryption (CLE)

Granularità a livello di Colonna
Protezione parziale in memoria
Non trasparente per le applicazioni

Entrambi meccanismi crittografici Server-Side

Protezione dati a riposo (es. furto dischi o backup)
Utenti con privilegi elevati possono ottenere accesso ai dati
#SqlSat675 – 18/11/2017
 Protezione
Always Encrypted
Panoramica Always Encrypted

#SqlSat675 – 18/11/2017
Always Encrypted Keys
Column Encryption Key (CEK)
Usate per crittografare i dati
Conservate solo in forma crittografata sul server
Legate a specifiche colonne

Column Master Key (CMK)

Usate per crittografare le CEK
Conservate in un «key store» esterno
Windows Certificate Store, Azure Key Vault, HSM, Custom
Deve essere disponibile alle applicazioni
#SqlSat675 – 18/11/2017
Crittografia dei dati
Deterministica
Permette operazioni di uguaglianza/raggruppamento/join
Permette indicizzazione
Più debole es. domini con pochi valori come sesso o «flag»
Richiede collation _BIN2

Casuale
Nessuna operazione permessa
Indicizzazione non permessa
Più robusta
#SqlSat675 – 18/11/2017
Configurazione Client Always Encrypted
Stringa di connessione
Column Encryption Setting=Enabled

Esecuzione di comandi
SqlCommand.ColumnEncryptionSetting*
Disabled, Enabled, ResultSetOnly, UseConnectionSetting

#SqlSat675 – 18/11/2017
Flusso corrispondenze esatte AE
I dati sensibili crittografati con le relative
chiavi crittografiche non sono mai
disponibili in chiaro sul server!

Client SQL Server or Azure SQL Database

"SELECT Name FROM Customers WHERE SSN = @SSN", "SELECT Name FROM Customers WHERE SSN = @SSN",
"111-22-3333" 0x7ff654ae6d
ciphertext

ADO .NET
Result Set Result Set
Name Name
Wayne Jefferson 0x19ca706fbd9a

dbo.Customers
Name SSN Country
trust boundary 0x19ca706fbd9a 0x7ff654ae6d USA

ciphertext

#SqlSat675 – 18/11/2017
DEMO
 Protezione
Row-Level Security
Panoramica Row Level Security
Restringe l’accesso a un sottoinsieme di righe

Basata su predicati di sicurezza

Definiti come «inline Table-Valued Functions»
«Filter predicate» limita righe a operazioni in lettura
SELECT, UPDATE e DELETE
«Block predicate» bloccano operazioni di scrittura
AFTER INSERT, AFTER/BEFORE UPDATE, BEFORE DELETE

«Security Policy»
Applica i predicati di sicurezza alle tabelle
#SqlSat675 – 18/11/2017
Row-Level Security
Due
Tre
Uno

Gestore
L’utente
La «Security
delle
(es. Policy»
l’infermiera)
policy riscrive
crea seleziona
untrasparentemente
predicato
dallaintabella
T-SQLladei
per
query
pazienti
filtrare
applicando
i solo
dati in
quelli
ilbase
predicato.
che
all’identificativo
può vedere. utente e crea
«security policy» che vincola tale predicato alla tabella dei pazienti.
Nurse Database Policy Manager

Security
Filter
Predicate:

Policy
INNER
JOIN…

Patients CREATE FUNCTION dbo.fn_securitypredicate(@wing int)

RETURNS TABLE WITH SCHEMABINDING AS

Application return SELECT 1 as [fn_securitypredicate_result] FROM

SELECT *StaffDuties
FROM Patients
d INNER JOIN Employees e
SEMIJOIN APPLY dbo.fn_securitypredicate(patients.Wing);
ON (d.EmpId = e.EmpId)
WHERE e.UserSID = SUSER_SID() AND @wing = d.Wing;
SELECT * FROM Patients
SELECT
CREATE Patients.* FROM Patients,
SECURITY POLICY dbo.SecPol
StaffDuties d INNER JOIN
ADD FILTER PREDICATE Employees e ON (d.EmpId = e.EmpId)
dbo.fn_securitypredicate(Wing) ON
WHERE e.UserSID = SUSER_SID() AND Patients.wing = d.Wing;
Patients
WITH (STATE = ON)

#SqlSat675 – 18/11/2017
DEMO
 Protezione
Dynamic Data Masking
Dynamic Data Masking
Mascheramento
Table.CreditCardNo

4465-6571-7868-5796
4468-7746-3848-1978

Real-time 4484-5434-6858-6550

Diversi tipi di maschere SQL Database

Mascheratura parziale

Basato su regole/permessi
A livello di colonna
Permesso di «unmask»

Configurazione Azure nel portale

#SqlSat675 – 18/11/2017
DEMO
 Protezione
Continuità del servizio
AlwaysOn Failover Cluster Instance
Router
ADMINWKS
Primary Site

10.1.1.50

Core Services SQLCLUSTER

10.1.0.1 10.1.0.2
Quorum Witness

Disk Share Node

DC01 DC02 SQL FCI Primary

10.1.1.100
SQLFCI01

10.1.0.10 10.1.0.20

SQL01 SQL02

Shared Storage

SAN01

#SqlSat675 – 18/11/2017
Indisponibilità nodo con AlwaysOn FCI
Router
ADMINWKS
Primary Site

10.1.1.50

Core Services SQLCLUSTER

10.1.0.1 10.1.0.2
Quorum Witness

Disk Share Node

DC01 DC02 SQL FCI Primary

10.1.1.100
SQLFCI01

10.1.0.10 10.1.0.20

CRASH

SQL01 SQL02

Shared Storage

SAN01

#SqlSat675 – 18/11/2017
AlwaysOn Availability Groups
Router
ADMINWKS
Primary Site

10.1.1.50

Core Services SQLCLUSTER

10.1.0.1 10.1.0.2 Quorum Witness

10.1.1.200
Disk Share Node

Availability Group AG01

SQLAG01
DC01 DC02
10.1.0.10 10.1.0.20

SQL01 SQL02

DAS DAS

Primary Secondary
Replica Replica

AGDB01 AGDB01

AGDB02 AGDB02

#SqlSat675 – 18/11/2017
Indisponibilità nodo con AlwaysOn AG
Router
ADMINWKS
Primary Site

10.1.1.50

Core Services SQLCLUSTER

10.1.0.1 10.1.0.2 Quorum Witness

10.1.1.200
Disk Share Node

Availability Group AG01

SQLAG01
DC01 DC02
10.1.0.10 10.1.0.20

CRASH
SQL01 SQL02

DAS DAS

Primary Secondary
Replica Replica

AGDB01 AGDB01

AGDB02 AGDB02

#SqlSat675 – 18/11/2017
Azure SQL Database
Logicamente singolo
database

DB
P S
Ack Read
value write

P
S
Ack P Write S

Write Ack
S S

Possibilità di avere repliche geografiche

Standard 1 copia non accessibile, Active fino a 4 copie in sola lettura
#SqlSat675 – 18/11/2017
Backup e restore
Diversi modelli componibili
Completo (FULL), differenziale (DIFF), incrementale (LOG)

«Point-in-time»
granularità fino a un punto in base a «retention»
Richiede modello di recovery FULL e backup log

Possono essere crittografati

Attenzione a non perdere le chiavi crittografiche!
Automaticamente con TDE (default usa Database Key)
#SqlSat675 – 18/11/2017
Backup & Restore in Azure SQL Database
Automatici
«Full» settimanale
«Differenziale» qualche ora
«Log» ogni 5-10 minuti

«Backup set»
Ridondati localmente
Ridondati geograficamente (regione geo-politica affine)
Long Term Backup Retention (in anteprima)
Settimanali mantenuti per 10 anni
#SqlSat675 – 18/11/2017
Report e Revisione
Cosa tracciare
Accessi
SQL Server Trace (Profiler, deprecato)
SQL Server Audit

Dati modificati (versioni precedenti)

Change Data Capture
Temporal Databases
#SqlSat675 – 18/11/2017
SQL Server Audit
Definizione gruppi di azioni da tracciare
Server
Database

Target
File
Windows Log

Disponibile con tutte le edizioni

a partire da SQL Server 2016 Service Pack 1
Implementazione diversa per Azure SQL Database
#SqlSat675 – 18/11/2017
Azure SQL Database Threat Detection
Semplice opzione da attivare per database
Richiede attivazione «SQL Database Auditing»

Rileva potenziali minacce/vulnerabilità

Attacchi di tipo «SQL Injection»
Accessi anomali (es. da luoghi anomali)

Allarmi
In tempo reale
Raccomandazioni cosa investigare/come mitigare/rimediare
#SqlSat675 – 18/11/2017
Policy Based Management
Infrastruttura per
Definizione «policy»
Controllo conformità installazione con «policy»

Serie di «policy» conformi a Best Practice

Categoria di policy per sicurezza!

Enterprise Policy Management Framework

http://aka.ms/epmframework
#SqlSat675 – 18/11/2017
Change Data Capture
Soluzione tradizionale Audit modifiche dati?
Trigger! Ma…
…complessità, prestazioni… 

CDC cattura automaticamente modifiche

Pensato principalmente per caricare DWH
Genericamente va bene per tenere storico modifiche

#SqlSat675 – 18/11/2017
Modifiche Database Temporali

«Temporal table» (dati correnti) «History table»

* Versioni vecchie

Update */ Delete *
Insert / Bulk Insert

#SqlSat675 – 18/11/2017
Interrogazioni Database Temporali

«Temporal table» (dati correnti) «History table»

* Include versioni
storiche

Query normali Query temporali *

(dati correnti) FOR SYSTEM_TIME
ALL, AS OF,
BETWEEN … AND …, FROM … TO,
CONTAINED IN

#SqlSat675 – 18/11/2017
Risorse GDPR
Regolamento ufficiale
http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf

Guide to enhancing privacy and addressing GDPR requirements with the Microsoft SQL
platform
https://aka.ms/gdprsqlwhitepaper

Microsoft Trust Center

https://www.microsoft.com/GDPR
https://www.microsoft.com/it-it/trustcenter/privacy/GDPR

GRPR Detailed Assessment Toolkit

http://aka.ms/gdprdetailedassessment
#SqlSat675 – 18/11/2017
Risorse Security generiche
White Papers
SQL Server 2012 Security Best Practices
http://bit.ly/2rLSJrg

SQL Server Security Blog

https://blogs.msdn.microsoft.com/sqlsecurity

Corso MVA
https://mva.microsoft.com/en-US/training-courses/16076

GitHub Samples
https://github.com/Microsoft/azure-sql-security-sample
https://github.com/Microsoft/sql-server-samples
#SqlSat675 – 18/11/2017
Risorse Security specifiche
Transparent Data Encryption
https://blogs.msdn.microsoft.com/sqlsecurity/2016/10/05/feature-spotlight
-transparent-data-encryption-tde

Always Encrypted
https://msdn.microsoft.com/en-us/library/mt163865.aspx
https://channel9.msdn.com/events/DataDriven/SQLServer2016/AlwaysEncry
pted

https://channel9.msdn.com/events/Ignite/2016/BRK3151

#SqlSat675 – 18/11/2017
Risorse Business Continuity
SQL Server 2014 From 0 to HA with Cluster & AlwaysOn
https://www.youtube.com/watch?v=YbF17toCd5Y

Azure & SQL Server: what’s new

https://www.youtube.com/watch?v=MfADRPjvrzo

#SqlSat675 – 18/11/2017
#SqlSat675

#SqlSat675 – 18/11/2017