Schützen von Azure SQL Edge
Wichtig
Azure SQL Edge wird am 30. September 2025 eingestellt. Weitere Informationen und Migrationsoptionen finden Sie im Einstellungshinweis.
Hinweis
Azure SQL Edge unterstützt die ARM64-Plattform nicht mehr.
Mit der zunehmenden Verbreitung von IoT- und Edgecomputing in den verschiedenen Branchen steigen auch die Anzahl der Geräte und die Menge der Daten, die von diesen Geräten generiert werden. Die zunehmende Datenmenge und die Anzahl der Geräteendpunkte stellen eine erhebliche Herausforderung in Bezug auf die Sicherheit der Daten und Geräte dar.
Azure SQL Edge bietet mehrere Features und Funktionen, mit denen Sie die IoT-Daten in den SQL Server Datenbanken relativ einfach schützen können. Azure SQL Edge basiert auf derselben Datenbank-Engine, die auch den Kern von Microsoft SQL Server und Azure SQL bildet. Dadurch werden dieselben Sicherheitsfunktionen genutzt, sodass es einfacher wird, dieselben Sicherheitsrichtlinien und -praktiken von der Cloud auf den Edge auszudehnen.
Analog zu Microsoft SQL Server und Azure SQL kann das Schützen von Azure SQL Edge-Bereitstellungen als eine Reihe von Schritten betrachtet werden, die vier Bereiche betreffen: die Plattform, die Authentifizierung, die Objekte (einschließlich der Daten) und die Anwendungen, die auf das System zugreifen.
Plattform- und Systemsicherheit
Die Plattform für Azure SQL Edge umfasst den physischen Docker-Host, das Betriebssystem auf dem Host und die Netzwerksysteme, die das physische Gerät mit Anwendungen und Clients verbinden.
Das Implementieren der Plattformsicherheit beginnt mit dem Fernhalten unbefugter Benutzer vom Netzwerk. Zu den bewährten Methoden gehören u. a. die folgenden:
- Implementieren von Firewallregeln, um die Sicherheitsrichtlinien der Organisation einzuhalten
- Sicherstellen, dass für das Betriebssystem auf dem physischen Gerät alle aktuellen Sicherheitsupdates angewendet wurden
- Angeben und Einschränken von Hostports, die für Azure SQL Edge verwendet werden
- Sicherstellen, dass die richtige Zugriffssteuerung auf alle Datenvolumes angewendet wird, auf denen Azure SQL Edge-Daten gehostet werden
Weitere Informationen zu Azure SQL Edge-Netzwerkprotokollen und TDS-Endpunkten finden Sie unter Netzwerkprotokolle und TDS-Endpunkte.
Authentifizierung und Autorisierung
Authentifizierung
Die Authentifizierung ist der Prozess, bei dem bestätigt wird, dass der Benutzer derjenige ist, der er zu sein vorgibt. Azure SQL Edge unterstützt derzeit nur den SQL Authentication-Mechanismus.
SQL-Authentifizierung:
SQL-Authentifizierung bezieht sich auf die Authentifizierung eines Benutzers beim Herstellen einer Verbindung mit Azure SQL Edge mithilfe von Benutzername und Kennwort. Das SQL-Anmeldekennwort für sa muss während der SQL Edge-Bereitstellung angegeben werden. Danach können zusätzliche SQL-Anmeldungen und -Benutzer durch den Serveradministrator erstellt werden, sodass Benutzer eine Verbindung mithilfe von Benutzername und Kennwort herstellen können.
Weitere Informationen zum Erstellen und Verwalten von Anmeldungen und Benutzern in SQL Edge finden Sie unter Erstellen einer Anmeldung und Erstellen von Datenbankbenutzern.
Autorisierung
Der Begriff Autorisierung bezieht sich auf die Berechtigungen, die einem Benutzer in einer Datenbank in Azure SQL Edge zugeordnet sind und die festlegen, welche Aktionen der Benutzer ausführen darf. Berechtigungen werden gesteuert, indem Benutzerkonten zu Datenbankrollen hinzugefügt und diesen Rollen Berechtigungen auf Datenbankebene zugewiesen oder dem Benutzer bestimmte Berechtigungen auf Objektebene erteilt werden. Weitere Informationen finden Sie unter Anmeldungen und Benutzer.
Es hat sich bewährt, benutzerdefinierte Rollen bei Bedarf zu erstellen. Fügen Sie Benutzer dann derjenigen Rolle hinzu, die die geringsten Berechtigungen besitzt, um die erforderliche Aufgabe noch erfüllen zu können. Weisen Sie Benutzern Berechtigungen nicht direkt zu. Das Serveradministratorkonto gehört zur integrierten Rolle „db_owner“, die über umfassende Berechtigungen verfügt und nur wenigen Benutzern mit administrativen Aufgaben erteilt werden sollte. Verwenden Sie bei Anwendungen die Option EXECUTE AS zur Angabe des Ausführungskontexts für das aufgerufene Modul, oder verwenden Sie Anwendungsrollen mit eingeschränkten Berechtigungen. Durch diese Vorgehensweise wird sichergestellt, dass eine Anwendung, die eine Verbindung mit der Datenbank herstellt, nur über die geringsten Berechtigungen verfügt, die von der Anwendung benötigt werden. Diese bewährten Methoden fördern auch die Aufgabentrennung.
Sicherheit von Datenbankobjekten
Prinzipale sind die Personen, Gruppen und Prozesse, denen Zugriff auf SQL Edge gewährt wurde. „Sicherungsfähige Elemente“ sind der Server, die Datenbank und Objekte in der Datenbank. Jedes der Elemente verfügt über einen Berechtigungssatz, der zum Reduzieren des Oberflächenbereichs konfiguriert werden kann. In der folgenden Tabelle sind Informationen zu Prinzipalen und sicherungsfähigen Elementen enthalten.
| Weitere Informationen zu | Siehe |
|---|---|
| Benutzer, Rollen und Prozesse von Servern und Datenbanken | Prinzipale (Datenbank-Engine) |
| Server- und Datenbankobjektsicherheit | Sicherungsfähige Elemente |
Verschlüsselung und Zertifikate
Durch Verschlüsselung werden keine Probleme der Zugriffssteuerung gelöst. Sie erhöht jedoch die Sicherheit, indem Datenverluste selbst im seltenen Fall einer überbrückten Zugriffssteuerung beschränkt werden. Wenn der Hostcomputer der Datenbank beispielsweise falsch konfiguriert wurde und ein böswilliger Benutzer Zugriff auf vertrauliche Daten wie Kreditkartennummern erhält, sind die gestohlenen Informationen nutzlos, wenn sie verschlüsselt wurden. Die folgende Tabelle enthält weitere Informationen über Verschlüsselung in Azure SQL Edge.
| Weitere Informationen zu | Siehe |
|---|---|
| Implementieren sicherer Verbindungen | Encrypting Connections (Verschlüsseln von Verbindungen) |
| Verschlüsselungsfunktionen | Kryptografiefunktionen (Transact-SQL) |
| Verschlüsselung ruhender Daten | Transparente Datenverschlüsselung (TDE) |
| Always Encrypted | Always Encrypted |
Hinweis
Die Sicherheitseinschränkungen, die für SQL Server für Linux beschrieben sind, gelten auch für Azure SQL Edge.
Hinweis
Azure SQL Edge umfasst nicht das Hilfsprogramm mssql-conf. Alle Konfigurationen, einschließlich der verschlüsselungsbezogenen Konfiguration, müssen über die Datei „mssql.conf“ oder über Umgebungsvariablen vorgenommen werden.
Analog zu Azure SQL und Microsoft SQL Server bietet Azure SQL Edge denselben Mechanismus zum Erstellen und Verwenden von Zertifikaten, um die Objekt- und Verbindungssicherheit zu verbessern. Weitere Informationen finden Sie unter CREATE CERTIFICATE (TRANSACT-SQL).
Anwendungssicherheit
Client-Programme
Zu den bewährten Methoden für Azure SQL Edge-Sicherheit gehört das Schreiben sicherer Clientanwendungen. Weitere Informationen zum Sichern von Clientanwendungen auf Netzwerkebene finden Sie unter Client Network Configuration.
Sicherheitskatalogsichten und -funktionen
Sicherheitsinformationen werden in zahlreichen Sichten und Funktionen verfügbar gemacht, die hinsichtlich Leistung und Dienstprogramm optimiert sind. Die folgende Tabelle enthält Informationen zu Sicherheitssichten und -funktionen in Azure SQL Edge.
| Funktionen und Sichten | Verknüpfungen |
|---|---|
| Sicherheitskatalogsichten, durch die Informationen zu Berechtigungen, Rollen, Prinzipalen usw. auf Datenbankebene und Serverebene zurückgegeben werden. Außerdem sind Katalogsichten mit Informationen zu Verschlüsselungsschlüsseln, Zertifikaten und Anmeldeinformationen vorhanden. | Sicherheitskatalogsichten (Transact-SQL) |
| Sicherheitsfunktionen, durch die Informationen zum aktuellen Benutzer, zu Berechtigungen und zu Schemas zurückgegeben werden. | Sicherheitsfunktionen (Transact-SQL) |
| Dynamische Verwaltungssichten für die Sicherheit. | Sicherheitsbezogene dynamische Verwaltungsansichten und -funktionen (Transact-SQL) |
Überwachung
Azure SQL Edge bietet dieselben Überwachungsmechanismen wie SQL Server. Weitere Informationen finden Sie unter SQL Server Audit (Datenbank-Engine).