Ermitteln von Sicherheitsrisiken für die Datenbank mithilfe der SQL-Sicherheitsrisikobewertung
Artikel
Die SQL-Sicherheitsrisikobewertung ist ein einfach zu konfigurierender Dienst, mit dem potenzielle Sicherheitsrisiken für die Datenbank ermittelt, nachverfolgt und behandelt werden können. Verwenden Sie sie zur proaktiven Verbesserung Ihrer Datenbanksicherheit für:
Die Sicherheitsrisikobewertung ist Bestandteil von Microsoft Defender for Azure SQL. Dabei handelt es sich um ein vereinheitlichtes Paket mit erweiterten SQL-Sicherheitsfunktionen. Die Sicherheitsrisikobewertung ist über jede SQL-Datenbankressource im Azure-Portal zugänglich und kann dort verwaltet werden.
Hinweis
Die Sicherheitsrisikobewertung wird für Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics unterstützt. Datenbanken in Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics werden im restlichen Teil dieses Artikels kollektiv als Datenbanken bezeichnet, und der Server bezieht sich auf den Server, auf dem die Datenbanken für Azure SQL-Datenbank und Azure Synapse gehostet werden.
Was ist die SQL-Sicherheitsrisikobewertung?
Die SQL-Sicherheitsrisikobewertung ist ein Dienst, der Aufschluss über Ihren Sicherheitsstatus gibt. Die Sicherheitsrisikobewertung beinhaltet Schritte zur Behebung von Sicherheitsproblemen sowie zur Verbesserung der Datenbanksicherheit. Sie kann Ihnen helfen, eine dynamische Datenbankumgebung zu überwachen, in der Änderungen schwierig nachzuverfolgen sind, und so den SQL-Sicherheitsstatus zu verbessern.
Die Sicherheitsrisikobewertung ist ein in Azure SQL-Datenbank integrierter Überprüfungsdienst. Der Dienst verwendet eine Wissensdatenbank mit Regeln zur Kennzeichnung von Sicherheitsrisiken. Er hebt Abweichungen von bewährten Methoden hervor (beispielsweise Fehlkonfigurationen, zu hohe Berechtigungen oder ungeschützte vertrauliche Daten).
Die Regeln basieren auf bewährten Methoden von Microsoft und konzentrieren sich auf die Sicherheitsprobleme, die das größte Risiko für Ihre Datenbank und deren wertvolle Daten darstellt. Sie umfassen sowohl Sicherheitsprobleme auf der Datenbankebene als auch Sicherheitsprobleme auf der Serverebene (beispielsweise Serverfirewalleinstellungen oder Berechtigungen auf der Serverebene).
Zu den Ergebnissen der Überprüfung zählen Aktionsschritte zum Beheben der jeweiligen Probleme und ggf. das Bereitstellen benutzerdefinierter Skripts zur Wiederherstellung. Sie können einen Bewertungsbericht für Ihre Umgebung anpassen und eine akzeptable Baseline für Folgendes festlegen:
Berechtigungskonfigurationen
Featurekonfigurationen
Datenbankeinstellungen
Was sind die Expresskonfiguration und die klassische Konfiguration?
Sie können die Sicherheitsrisikobewertung für Ihre SQL-Datenbanken mit einer der folgenden Optionen konfigurieren:
Expresskonfiguration: Die Standardprozedur, mit der Sie die Sicherheitsrisikobewertung ohne Abhängigkeit von externem Speicher konfigurieren können, um Daten zur Baseline und zum Überprüfungsergebnis zu speichern.
Klassische Konfiguration: Das Legacyverfahren, bei dem Sie ein Azure-Speicherkonto verwalten müssen, um Daten zur Baseline und zum Überprüfungsergebnis zu speichern.
Was ist der Unterschied zwischen der Express- und der klassischen Konfiguration?
Vergleich der Vorteile und Einschränkungen der Konfigurationsmodi:
• Immer aktiv • Überprüfungsplanung ist intern und nicht konfigurierbar
• Konfigurierbar ein/aus Überprüfungsplanung ist intern und nicht konfigurierbar
Systemdatenbankscan
• Geplante Überprüfung • Manuelle Überprüfung
• Geplante Überprüfung nur, wenn eine oder mehrere Benutzerdatenbanken vorhanden sind • Manuelle Überprüfung jedes Mal, wenn eine Benutzerdatenbank gescannt wird
Unterstützte Regeln
Alle Regeln zur Sicherheitsrisikobewertung für den unterstützten Ressourcentyp
Alle Regeln zur Sicherheitsrisikobewertung für den unterstützten Ressourcentyp
Baselineeinstellungen
• Batch – mehrere Regeln in einem Befehl • Festlegen nach neuesten Überprüfungsergebnissen • Einzelne Regel
• Einzelne Regel
Anwenden der Baseline
Tritt ohne erneute Überprüfung der Datenbank in Kraft
Tritt erst nach erneuter Überprüfung der Datenbank in Kraft
Größe des Überprüfungsergebnisses einer einzelnen Regel
Maximal 1 MB
Unbegrenzt
E-Mail-Benachrichtigungen
• Logic Apps
• Interner Planer • Logic Apps
Überprüfungsexport
Azure Resource Graph
Excel-Format, Azure Resource Graph
Unterstützte Clouds
Kommerzielle Clouds Azure Government Microsoft Azure, betrieben von 21Vianet
Kommerzielle Clouds Azure Government Azure, betrieben von 21Vianet
Lernen Sie mehrere Bewertungstools kennen, die die Migration von Datenbanken zu Azure erleichtern, darunter die Azure SQL Migrationserweiterung für Azure Data Studio, Azure Migrate und den Datenmigrations-Assistenten.
Verwalten einer SQL Server-Datenbankinfrastruktur für Cloud-, lokale und hybride relationale Datenbanken auf Grundlage der Microsoft PaaS-Angebote für relationale Datenbanken.