Freigeben über


Ermitteln von Sicherheitsrisiken für die Datenbank mithilfe der SQL-Sicherheitsrisikobewertung

Die SQL-Sicherheitsrisikobewertung ist ein einfach zu konfigurierender Dienst, mit dem potenzielle Sicherheitsrisiken für die Datenbank ermittelt, nachverfolgt und behandelt werden können. Verwenden Sie sie zur proaktiven Verbesserung Ihrer Datenbanksicherheit für:

Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics

Die Sicherheitsrisikobewertung ist Bestandteil von Microsoft Defender for Azure SQL. Dabei handelt es sich um ein vereinheitlichtes Paket mit erweiterten SQL-Sicherheitsfunktionen. Die Sicherheitsrisikobewertung ist über jede SQL-Datenbankressource im Azure-Portal zugänglich und kann dort verwaltet werden.

Hinweis

Die Sicherheitsrisikobewertung wird für Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics unterstützt. Datenbanken in Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics werden im restlichen Teil dieses Artikels kollektiv als Datenbanken bezeichnet, und der Server bezieht sich auf den Server, auf dem die Datenbanken für Azure SQL-Datenbank und Azure Synapse gehostet werden.

Was ist die SQL-Sicherheitsrisikobewertung?

Die SQL-Sicherheitsrisikobewertung ist ein Dienst, der Aufschluss über Ihren Sicherheitsstatus gibt. Die Sicherheitsrisikobewertung beinhaltet Schritte zur Behebung von Sicherheitsproblemen sowie zur Verbesserung der Datenbanksicherheit. Sie kann Ihnen helfen, eine dynamische Datenbankumgebung zu überwachen, in der Änderungen schwierig nachzuverfolgen sind, und so den SQL-Sicherheitsstatus zu verbessern.

Die Sicherheitsrisikobewertung ist ein in Azure SQL-Datenbank integrierter Überprüfungsdienst. Der Dienst verwendet eine Wissensdatenbank mit Regeln zur Kennzeichnung von Sicherheitsrisiken. Er hebt Abweichungen von bewährten Methoden hervor (beispielsweise Fehlkonfigurationen, zu hohe Berechtigungen oder ungeschützte vertrauliche Daten).

Die Regeln basieren auf bewährten Methoden von Microsoft und konzentrieren sich auf die Sicherheitsprobleme, die das größte Risiko für Ihre Datenbank und deren wertvolle Daten darstellt. Sie umfassen sowohl Sicherheitsprobleme auf der Datenbankebene als auch Sicherheitsprobleme auf der Serverebene (beispielsweise Serverfirewalleinstellungen oder Berechtigungen auf der Serverebene).

Zu den Ergebnissen der Überprüfung zählen Aktionsschritte zum Beheben der jeweiligen Probleme und ggf. das Bereitstellen benutzerdefinierter Skripts zur Wiederherstellung. Sie können einen Bewertungsbericht für Ihre Umgebung anpassen und eine akzeptable Baseline für Folgendes festlegen:

  • Berechtigungskonfigurationen
  • Featurekonfigurationen
  • Datenbankeinstellungen

Was sind die Expresskonfiguration und die klassische Konfiguration?

Sie können die Sicherheitsrisikobewertung für Ihre SQL-Datenbanken mit einer der folgenden Optionen konfigurieren:

  • Expresskonfiguration: Die Standardprozedur, mit der Sie die Sicherheitsrisikobewertung ohne Abhängigkeit von externem Speicher konfigurieren können, um Daten zur Baseline und zum Überprüfungsergebnis zu speichern.

  • Klassische Konfiguration: Das Legacyverfahren, bei dem Sie ein Azure-Speicherkonto verwalten müssen, um Daten zur Baseline und zum Überprüfungsergebnis zu speichern.

Was ist der Unterschied zwischen der Express- und der klassischen Konfiguration?

Vergleich der Vorteile und Einschränkungen der Konfigurationsmodi:

Parameter Expresskonfiguration Klassische Konfiguration
Unterstützte SQL-Varianten • Azure SQL-Datenbank
• Dedizierte Azure Synapse-SQL-Pools (vormals SQL DW)
• Azure SQL-Datenbank
• Azure SQL Managed Instance
• Azure Synapse Analytics
Unterstützter Richtlinienbereich • Abonnement
• Server
• Abonnement
• Server
• Datenbank
Abhängigkeiten Keine Azure-Speicherkonto
Wiederkehrende Überprüfung • Immer aktiv
• Überprüfungsplanung ist intern und nicht konfigurierbar
• Konfigurierbar ein/aus
Überprüfungsplanung ist intern und nicht konfigurierbar
Systemdatenbankscan • Geplante Überprüfung
• Manuelle Überprüfung
• Geplante Überprüfung nur, wenn eine oder mehrere Benutzerdatenbanken vorhanden sind
• Manuelle Überprüfung jedes Mal, wenn eine Benutzerdatenbank gescannt wird
Unterstützte Regeln Alle Regeln zur Sicherheitsrisikobewertung für den unterstützten Ressourcentyp Alle Regeln zur Sicherheitsrisikobewertung für den unterstützten Ressourcentyp
Baselineeinstellungen • Batch – mehrere Regeln in einem Befehl
• Festlegen nach neuesten Überprüfungsergebnissen
• Einzelne Regel
• Einzelne Regel
Anwenden der Baseline Tritt ohne erneute Überprüfung der Datenbank in Kraft Tritt erst nach erneuter Überprüfung der Datenbank in Kraft
Größe des Überprüfungsergebnisses einer einzelnen Regel Maximal 1 MB Unbegrenzt
E-Mail-Benachrichtigungen • Logic Apps • Interner Planer
• Logic Apps
Überprüfungsexport Azure Resource Graph Excel-Format, Azure Resource Graph
Unterstützte Clouds Kommerzielle Clouds
Azure Government
Microsoft Azure, betrieben von 21Vianet
Kommerzielle Clouds
Azure Government
Azure, betrieben von 21Vianet

Nächste Schritte