Quelques recommandations simples :
- N'exposez pas l'accès à votre serveur de base de données à Internet. Il doit se trouver derrière un pare-feu qui autorise uniquement le serveur Web à y accéder via un port particulier (pas celui par défaut).
- N'autorisez pas le bureau à distance ou tout autre type d'accès similaire à partir de connexions externes. Pour les connexions internes, assurez-vous que les mots de passe suivent un certain type de politique. Par exemple, exigez des chiffres, des caractères étendus, etc.
- Conservez les fichiers de la base de données dans le répertoire de données normal du serveur sql (la sécurité des fichiers est déjà configurée pour vous).
- Utilisez un chiffrement de base de données transparent :http://msdn.microsoft .com/en-au/magazine/cc163771.aspx#S5 et Comment protéger le serveur sql Fichier MDF 2005
- Assurez-vous que le partage de fichiers est désactivé.
- Assurez-vous que seules les personnes pouvant accéder à ce serveur en sont responsables.
- Renseignez-vous sur l'injection SQL pour empêcher d'autres mécanismes d'accès.
- Utilisez la sécurité Active Directory pour les comptes d'utilisateurs de la base de données.
- Utilisez SSPI pour les connexions à la base de données afin de ne pas avoir de nom d'utilisateur/mot de passe stocké dans votre web.config
- Assurez-vous que la connexion réseau entre votre serveur Web et votre serveur de base de données est chiffrée via Kerberos.
