Erstellen einer Azure SQL-Datenbank-Baseline

  • 5 Minuten

Azure SQL ist eine cloudbasierte relationale Datenbankproduktfamilie, die viele der Features von Microsoft SQL Server unterstützt. Die Azure SQL-Datenbank bietet einen einfachen Übergang von einer lokalen Datenbank zu einer cloudbasierten Datenbank, die über integrierte Diagnosefunktionen, Redundanz, Sicherheit und Skalierbarkeit verfügt.

Azure SQL-Datenbank Sicherheitsempfehlungen

Die folgenden Abschnitte beschreiben die Empfehlungen für die Azure SQL-Datenban im CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. Bei den Empfehlungen sind jeweils auch die grundlegenden Schritte angegeben, die im Azure-Portal ausgeführt werden müssen. Führen Sie diese Schritte für Ihr eigenes Abonnement aus, und verwenden Sie Ihre eigenen Ressourcen, um die einzelnen Sicherheitsempfehlungen zu überprüfen.

Aktivieren der Überwachung – Ebene 1

Bei der Überwachung der Azure SQL-Datenbank und Azure Synapse Analytics werden Datenbankereignisse nachverfolgt und in ein Überwachungsprotokoll in Ihrem Azure-Speicherkonto, Azure Log Analytics-Arbeitsbereich oder in Azure Event Hubs geschrieben. Die Überwachung ermöglicht außerdem Folgendes:

  • Hilft Ihnen bei der Einhaltung gesetzlicher Vorschriften, dem Verständnis von Datenbankaktivitäten und der Erkennung von Diskrepanzen und Anomalien, die Sie auf geschäftliche Probleme oder vermutete Sicherheitsverstöße aufmerksam machen könnten.
  • Sie ermöglicht und unterstützt die Einhaltung von Standards, garantiert diese aber nicht.

Um die Überwachung zu aktivieren, führen Sie für jede Datenbank in Ihrem Azure-Abonnement die folgenden Schritte aus.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach SQL-Datenbanken, und wählen Sie diese Option aus.

  2. Wählen Sie im linken Menü unter Sicherheit die Option Überwachung.

  3. Aktivieren Sie im Bereich Überwachung die Option Azure SQL-Überwachung aktivieren und wählen Sie dann mindestens ein Überwachungsprotokollziel aus.

  4. Wenn Sie Einstellungen ändern, wählen Sie auf der Menüleiste Speichern aus.

Screenshot: Aktivieren der Überwachung für Azure SQL-Datenbank-Instanzen

Weitere Informationen zur Überprüfung finden Sie unter Überprüfungen für die Azure SQL-Datenbank und Azure Synapse Analytics.

Aktivieren des SQL-Schutzes in Microsoft Defender für Cloud: Ebene 1

Microsoft Defender für Cloud erkennt anomale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese zu missbrauchen. Defender für Cloud kann Folgendes ermitteln:

  • Potenzielle SQL-Injektion.
  • Zugriff von einem ungewöhnlichen Standort oder Rechenzentrum aus.
  • Zugriff von einem unbekannten Prinzipal oder von einer potenziell schädlichen Anwendung.
  • Brute-force SQL-Anmeldeinformationen.

Sie können auf SQL-Bedrohungen über das Menü von Defender für Cloud zugreifen und diese verwalten.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  2. Wählen Sie im linken Menü unter Verwaltung die Option Umgebungseinstellungen.

  3. Wählen Sie Ihr Abonnement aus.

  4. Wählen Sie im Bereich Defender-Pläne die Option Typen auswählen in der Zeile Datenbanken aus, und legen Sie dann Azure SQL-Datenbanken auf Ein fest.

  5. Wählen Sie Weiter.

    Screenshot mit dem Bereich „Defender-Pläne“ mit aktiviertem Plan für Azure SQL-Datenbank.

  6. Kehren Sie zur Startseite von Azure zurück. Suchen Sie SQL-Datenbanken, wählen Sie die Option aus, und wählen Sie dann die Datenbank aus, die Sie anzeigen möchten.

  7. Wählen Sie für jede Datenbankinstanz im linken Menü unter Sicherheit die Option Microsoft Defender für Cloud. Anzeigen von Sicherheitsempfehlungen, Warnungen und Sicherheitsbewertungsergebnissen für Ihre SQL-Datenbankinstanz.

Konfigurieren der Überwachungsaufbewahrung für mehr als 90 Tage – Ebene 1

Überwachungsprotokolle sollten aus Gründen der Sicherheit, der Auffindbarkeit und der Einhaltung gesetzlicher und behördlicher Vorschriften aufbewahrt werden. Führen Sie die folgenden Schritte für jede Azure SQL-Datenbankinstanz in Ihrem Azure-Abonnement aus.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie SQL-Datenbanken, wählen Sie die Option aus, und wählen Sie dann eine Datenbank aus.

  2. Wählen Sie im linken Menü unter Sicherheit die Option Überwachung.

  3. Wählen Sie Ihr Ziel für Überwachungsprotokoll aus, und erweitern Sie dann Erweiterte Eigenschaften.

  4. Stellen Sie sicher, dass Aufbewahrung (Tage) auf länger als 90 Tage festgelegt ist.

  5. Wenn Sie Einstellungen ändern, wählen Sie auf der Menüleiste Speichern aus.

Screenshot: Überwachungsbereich für SQL-Datenbanken