Ermitteln von Sicherheitsrisiken für die Datenbank mithilfe der SQL-Sicherheitsrisikobewertung
Die SQL-Sicherheitsrisikobewertung ist ein einfach zu konfigurierender Dienst, mit dem potenzielle Sicherheitsrisiken für die Datenbank ermittelt, nachverfolgt und behandelt werden können. Verwenden Sie sie zur proaktiven Verbesserung Ihrer Datenbanksicherheit für:
Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics
Die Sicherheitsrisikobewertung ist Bestandteil von Microsoft Defender for Azure SQL. Dabei handelt es sich um ein vereinheitlichtes Paket mit erweiterten SQL-Sicherheitsfunktionen. Die Sicherheitsrisikobewertung ist über jede SQL-Datenbankressource im Azure-Portal zugänglich und kann dort verwaltet werden.
Hinweis
Die Sicherheitsrisikobewertung wird für Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics unterstützt. Datenbanken in Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics werden im restlichen Teil dieses Artikels kollektiv als Datenbanken bezeichnet, und der Server bezieht sich auf den Server, auf dem die Datenbanken für Azure SQL-Datenbank und Azure Synapse gehostet werden.
Was ist die SQL-Sicherheitsrisikobewertung?
Die SQL-Sicherheitsrisikobewertung ist ein Dienst, der Aufschluss über Ihren Sicherheitsstatus gibt. Die Sicherheitsrisikobewertung beinhaltet Schritte zur Behebung von Sicherheitsproblemen sowie zur Verbesserung der Datenbanksicherheit. Sie kann Ihnen helfen, eine dynamische Datenbankumgebung zu überwachen, in der Änderungen schwierig nachzuverfolgen sind, und so den SQL-Sicherheitsstatus zu verbessern.
Die Sicherheitsrisikobewertung ist ein in Azure SQL-Datenbank integrierter Überprüfungsdienst. Der Dienst verwendet eine Wissensdatenbank mit Regeln zur Kennzeichnung von Sicherheitsrisiken. Er hebt Abweichungen von bewährten Methoden hervor (beispielsweise Fehlkonfigurationen, zu hohe Berechtigungen oder ungeschützte vertrauliche Daten).
Die Regeln basieren auf bewährten Methoden von Microsoft und konzentrieren sich auf die Sicherheitsprobleme, die das größte Risiko für Ihre Datenbank und deren wertvolle Daten darstellt. Sie umfassen sowohl Sicherheitsprobleme auf der Datenbankebene als auch Sicherheitsprobleme auf der Serverebene (beispielsweise Serverfirewalleinstellungen oder Berechtigungen auf der Serverebene).
Zu den Ergebnissen der Überprüfung zählen Aktionsschritte zum Beheben der jeweiligen Probleme und ggf. das Bereitstellen benutzerdefinierter Skripts zur Wiederherstellung. Sie können einen Bewertungsbericht für Ihre Umgebung anpassen und eine akzeptable Baseline für Folgendes festlegen:
- Berechtigungskonfigurationen
- Featurekonfigurationen
- Datenbankeinstellungen
Was sind die Expresskonfiguration und die klassische Konfiguration?
Sie können die Sicherheitsrisikobewertung für Ihre SQL-Datenbanken mit einer der folgenden Optionen konfigurieren:
Expresskonfiguration: Die Standardprozedur, mit der Sie die Sicherheitsrisikobewertung ohne Abhängigkeit von externem Speicher konfigurieren können, um Daten zur Baseline und zum Überprüfungsergebnis zu speichern.
Klassische Konfiguration: Das Legacyverfahren, bei dem Sie ein Azure-Speicherkonto verwalten müssen, um Daten zur Baseline und zum Überprüfungsergebnis zu speichern.
Was ist der Unterschied zwischen der Express- und der klassischen Konfiguration?
Vergleich der Vorteile und Einschränkungen der Konfigurationsmodi:
Parameter | Expresskonfiguration | Klassische Konfiguration |
---|---|---|
Unterstützte SQL-Varianten | • Azure SQL-Datenbank • Dedizierte Azure Synapse-SQL-Pools (vormals SQL DW) |
• Azure SQL-Datenbank • Azure SQL Managed Instance • Azure Synapse Analytics |
Unterstützter Richtlinienbereich | • Abonnement • Server |
• Abonnement • Server • Datenbank |
Abhängigkeiten | Keine | Azure-Speicherkonto |
Wiederkehrende Überprüfung | • Immer aktiv • Überprüfungsplanung ist intern und nicht konfigurierbar |
• Konfigurierbar ein/aus Überprüfungsplanung ist intern und nicht konfigurierbar |
Systemdatenbankscan | • Geplante Überprüfung • Manuelle Überprüfung |
• Geplante Überprüfung nur, wenn eine oder mehrere Benutzerdatenbanken vorhanden sind • Manuelle Überprüfung jedes Mal, wenn eine Benutzerdatenbank gescannt wird |
Unterstützte Regeln | Alle Regeln zur Sicherheitsrisikobewertung für den unterstützten Ressourcentyp | Alle Regeln zur Sicherheitsrisikobewertung für den unterstützten Ressourcentyp |
Baselineeinstellungen | • Batch – mehrere Regeln in einem Befehl • Festlegen nach neuesten Überprüfungsergebnissen • Einzelne Regel |
• Einzelne Regel |
Anwenden der Baseline | Tritt ohne erneute Überprüfung der Datenbank in Kraft | Tritt erst nach erneuter Überprüfung der Datenbank in Kraft |
Größe des Überprüfungsergebnisses einer einzelnen Regel | Maximal 1 MB | Unbegrenzt |
E-Mail-Benachrichtigungen | • Logic Apps | • Interner Planer • Logic Apps |
Überprüfungsexport | Azure Resource Graph | Excel-Format, Azure Resource Graph |
Unterstützte Clouds | Kommerzielle Clouds Azure Government Microsoft Azure, betrieben von 21Vianet |
Kommerzielle Clouds Azure Government Azure, betrieben von 21Vianet |
Nächste Schritte
- Aktivieren von SQL-Sicherheitsrisikobewertungen
- Expresskonfiguration häufig gestellte Fragen und Problembehandlung.
- Erfahren Sie mehr zu Microsoft Defender for Azure SQL.
- Informieren Sie sich ausführlicher über die Datenermittlung und -klassifizierung.
- Erfahren Sie mehr über das Speichern der Ergebnisse von Überprüfungen zur Sicherheitsrisikobewertung in einem Speicherkonto, auf das hinter Firewalls und VNets zugegriffen werden kann.