Cette section s'adresse aux équipes qui utilisent l'édition Team et ses fonctionnalités.
Lorsque vous choisissez une source de données qui n'est pas déployée sur site, il est important de penser à la protection des données au repos et en transit. Nous vous recommandons fortement de chiffrer vos données stockées dans des fichiers à l’aide d’une clé maîtresse ou d'utiliser un Fournisseur de sécurité pour les Sources de données avancées. Ainsi, vous serez la seule personne qui peut voir les données.
Pour faciliter votre réflexion quant au choix d'une source de données, voici un tableau démontrant les différentes sources de données compatibles ainsi qu'une liste de critères déterminants selon le contexte.
|
CRITÈRE |
Devolutions Server | SQL SERVER | SQL AZURE |
|---|---|---|---|
| Base de données inaccessible aux utilisateurs finaux | Notes 1 et 2 | Note 1 | |
| Comptes AD utilisés à des fins d’authentification | |||
| Attribution des permissions selon l'appartenance à un groupe AD | |||
| Stockage des données sur site | |||
| Journaux d’activités | |||
| Données accessibles à tous | Note 3 | Note 4 | |
| Copie locale optionnelle des connexions |
Notes
Note 1
Les administrateurs peuvent créer des comptes aux utilisateurs finaux sans divulguer les mots de passe. Une configuration verrouillée de la source de données est importée pour chaque utilisateur final. L'administrateur doit donc effectuer beaucoup d'opérations manuelles.
Note 2
La sécurité intégrée est le nom d'une technologie de Microsoft qui permet d'avoir accès à une instance de SQL Server sans envoyer les identifiants, mais plutôt en utilisant le jeton fourni par l'authentification à l'ordinateur Windows. Cela permet aux utilisateurs de se connecter directement à la base de données à l'aide d'autres outils. Cette technologie ne devrait pas être utilisée si vous ne devez pas donner un accès direct à la base de données.
Notre source de données SQL Server offre une troisième option d'authentification : le type Personnalisé (Custom Devolutions). Cette option permet d'utiliser une identité empruntée à un autre utilisateur sans connaître le mot de passe. Veuillez consulter la section concernant la gestion des utilisateurs pour plus d’informations.
Note 3
N'exposez pas votre instance de Devolutions Server sur Internet sans une forme de protection contre les attaques par déni de service distribué (DDoS). Utilisez des mots de passe complexes et des noms d'utilisateurs difficiles à deviner à partir d'informations publiques.
Note 4
Si vous choisissez d'exposer votre base de données sur Internet, assurez-vous de chiffrer les communications avec SSL/TLS et de protéger la base de données contre les attaques par déni de service distribué (DDoS). Les fournisseurs de services infonuagiques comme Azure mettent de l'avant la protection contre ces types d'attaques. La configuration du pare-feu préconisée est de tout bloquer par défaut pour ensuite ajouter des exceptions et des règles. Il faut également ouvrir le nombre minimal de ports requis, ajouter les numéros de ces ports à la liste des exceptions et filtrer toutes les futures requêtes en fonction de leur origine.