Bezpieczeństwo SQL Server w Pigułce. Jeden dzień, który uratuje twoją karierę

Sala E

Wycieki danych. Ryzyko. Bezpieczeństwo. Yahoo. Ashley Madison. Talk Talk. Nazwy słyszane przez większość z nas. Wymagania lokalnego nadzoru. Dyrektywy Europejskie. Widzimy te nagłówki każdego tygodnia, czesem nawet częściej. Zadajmy sobie kilka pytań: Nie, Co się stało? Ale, Jak to się stało? Ktoś zaatakował nasza infrastrukturę. Próbował? Udało mu się? Tego jeszcze nie wiemy, ale wiemy jedno. Ktoś próbuje ukraść nasze dane. Ktoś ma chrapkę na nasze tajemnice.

Kto jest odpowiedzialny za infrastrukturę? Główny Informatyk? Główny Manager? Kierownik Projektu? Administrator Systemów? Administrator Baz Danych? Po wycieku danych to są pierwsze pytania. A jaka powinna być odpowiedź? „To nie moja wina, ja zrobiłem wszystko co w mojej mocy i dane są bezpieczne” Czy jesteś pewien, że możesz to powiedzieć? Czy jesteś pewna, że zrobiłaś absolutnie wszystko (w ramach dostępnych narzędzi i budżetu) aby uchronić dane będace pod TWOJĄ opieka? Dane, za które TY odpowiadasz?

Przez cały dzień będziemy rozmawiać o bezpieczeństwie. Na poważnie.

CZĘŚĆ PIERWSZA:

(poranek do pierwszej kawy) {poziom 200}
Wprowadzenie do bezpieczeństwa. Najlepsze Praktyki. Baza Doświadczeń. Najgorsze Praktyki. TOP 10 OWASP. TOP 10 (a może tylko TOP 1) ryzyk bezpieczeństwa dla baz danych. Omówimy wszystko co jest związane z bezpieczeństwem baz danych. Praktyki, analiza SWOT, analiza ryzyka. Odpowiedzialność, zgodność organizacyjna, zgodność prawna i reguły nadane odgórnie. GRANT. ALLOW. DENY.

CZĘŚĆ DRUGA:

(od kawy aż do obiadu) {poziom 300}
W drugiej części przyjrzymy się naszej instancji lokalnej. Czyli SQL Server on-premise. Na podstawie dyskusji i doświadczeń z pierwszego modułu przyjrzymy się takim elementom naszego środowiska jak: konta, użytkownicy, loginy, hasła. Porównamy dostępne opcje zabezpieczania naszych danych i spróbujemy znaleźć odpowiedź na to co jest lepsze: Transparent Data Encryption czy Always Encrypted czy może Row Level Security. Zerkniemy też na to, gdzie nasze dane są zlokalizowane, czy będzie to Windows czy też …. I nie zapomnimy o systemie kontroli wesji dla naszej instancji.  BACKUP GO. RESTORE OFF.

CZĘŚĆ TRZECIA:

(po obiedzie bez snu aż do kawy) {poziom 300}
Część poobiednia może skłonić nas do drzemki. A jeżeli drzemka to marzenia, lecące wprost do nieba (upss, zrobiło nam się bardzo poetycko…). Ale tam właśnie, w chmurach znajdziemy platformę Microsoft Azure. Przyjrzymy się więc bezpieczeństwu Microsoft  Azure SQL Database. Znów przyjrzymy się funkcjonalnościom podnoszącym nasze bezpieczeństwo. Transparent Data Encryption, Dynamic Data Masking oraz Key Vault nie będą już tajemnicą. Będą naszymi przyjaciółmi. CONNECTION TERMINATED.

CZĘŚĆ CZWARTA:

(zamiast kawy może popołudniową herbatkę?) {poziom ???}
Ostatni moduł to swoiste podsumowanie naszych obserwacji. Spóbujemy znaleźć najlepszą drogę dla naszej organizacji (bazując na wielu czynnikach) aby nasze rozwiązania, nasze środowisko były bezpieczne. Będzie to swojego rodzaju gra, nawet wyzwanie, ale po wszystkim każdy z Was będzie już wiedział – jak bezpieczne są wasze dane. Oraz, co jeszcze powinniście (i możecie) zrobić aby podnieść bezpieczeńśtwo waszych danych na jeszcze wyższy powiom. Bądźcie jednak przygotowani – nie będziemy rozmawiać tylko o danych. Porozmawiamy o administratorach baz danych. Porozmawiamy o TOBIE!

Przez cały dzień będziemy rozmawiać o bezpieczeństwie. Na poważnie. Ale i z humorem.
UWAGA: Warsztaty z użyciem papieru, ołówka, komputera i internetu – gotowi?

PL Workshop