Übersicht über die Sicherheitsfunktionen von Azure SQL-Datenbank und SQL Managed InstanceAn overview of Azure SQL Database and SQL Managed Instance security capabilities

GILT FÜR: Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics

In diesem Artikel werden die Grundlagen zum Schutz der Datenschicht einer Anwendung mit Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics beschrieben.This article outlines the basics of securing the data tier of an application using Azure SQL Database, Azure SQL Managed Instance, and Azure Synapse Analytics. Die beschriebene Sicherheitsstrategie folgt dem Defense-in-Depth-Schichtenmodell, das in der folgenden Abbildung dargestellt ist und von außen nach innen durchlaufen wird:The security strategy described follows the layered defense-in-depth approach as shown in the picture below, and moves from the outside in:

Diagramm des Defense-in-Depth-Schichtenmodells.

NetzwerksicherheitNetwork security

Microsoft Azure SQL-Datenbank, SQL Managed Instance und Azure Synapse Analytics bieten einen Dienst für relationale Datenbanken für Cloud- und Unternehmensanwendungen.Microsoft Azure SQL Database, SQL Managed Instance, and Azure Synapse Analytics provide a relational database service for cloud and enterprise applications. Zum Schutz von Kundendaten verhindern Firewalls den Netzwerkzugriff auf den Server, bis der Zugriff explizit basierend auf der IP-Adresse oder dem Ursprung des Datenverkehrs im virtuellen Azure-Netzwerk gewährt wird.To help protect customer data, firewalls prevent network access to the server until access is explicitly granted based on IP address or Azure Virtual network traffic origin.

IP-FirewallregelnIP firewall rules

IP-Firewallregeln gewähren den Datenbankzugriff auf der Grundlage der Ursprungs-IP-Adresse der jeweiligen Anforderung.IP firewall rules grant access to databases based on the originating IP address of each request. Weitere Informationen finden Sie unter Übersicht über Firewallregeln für Azure SQL-Datenbank und Azure Synapse Analytics.For more information, see Overview of Azure SQL Database and Azure Synapse Analytics firewall rules.

Firewallregeln für virtuelle NetzwerkeVirtual network firewall rules

VNET-Dienstendpunkte erweitern Ihre VNET-Konnektivität über den Azure-Backbone hinaus und ermöglichen Azure SQL-Datenbank, das Subnetz des virtuellen Netzwerks zu identifizieren, aus dem der Datenverkehr stammt.Virtual network service endpoints extend your virtual network connectivity over the Azure backbone and enable Azure SQL Database to identify the virtual network subnet that traffic originates from. Wenn Sie Datenverkehr an Azure SQL-Datenbank zulassen möchten, verwenden Sie die SQL-Diensttags, um ausgehenden Datenverkehr über Netzwerksicherheitsgruppen zu ermöglichen.To allow traffic to reach Azure SQL Database, use the SQL service tags to allow outbound traffic through Network Security Groups.

Mithilfe von VNET-Regeln kann Azure SQL-Datenbank nur Verbindungen akzeptieren, die von ausgewählten Subnetzen innerhalb eines virtuellen Netzwerks stammen.Virtual network rules enable Azure SQL Database to only accept communications that are sent from selected subnets inside a virtual network.

Hinweis

Die Zugriffssteuerung mit Firewallregeln gilt nicht für SQL Managed Instance.Controlling access with firewall rules does not apply to SQL Managed Instance. Weitere Informationen zur erforderlichen Netzwerkkonfiguration finden Sie unter Herstellen einer Verbindung mit einer verwalteten Instanz.For more information about the networking configuration needed, see Connecting to a managed instance

ZugriffsverwaltungAccess management

Wichtig

Die Verwaltung von Datenbanken und Servern in Azure wird über die Rollenzuweisungen in Ihrem Portalbenutzerkonto gesteuert.Managing databases and servers within Azure is controlled by your portal user account's role assignments. Weitere Informationen zu diesem Artikel finden Sie unter Rollenbasierte Zugriffssteuerung in Azure im Azure-Portal.For more information on this article, see Azure role-based access control in the Azure portal.

AuthentifizierungAuthentication

Die Authentifizierung ist der Prozess, bei dem bestätigt wird, dass der Benutzer derjenige ist, der er zu sein vorgibt.Authentication is the process of proving the user is who they claim to be. Azure SQL-Datenbank und SQL Managed Instance unterstützen zwei Arten der Authentifizierung:Azure SQL Database and SQL Managed Instance support two types of authentication:

  • SQL-Authentifizierung:SQL authentication:

    Der Begriff SQL-Authentifizierung bezieht sich auf die Authentifizierung eines Benutzers beim Herstellen einer Verbindung mit Azure SQL-Datenbank oder Azure SQL Managed Instance mithilfe von Benutzername und Kennwort.SQL authentication refers to the authentication of a user when connecting to Azure SQL Database or Azure SQL Managed Instance using username and password. Beim Erstellen des Servers müssen Anmeldeinformationen für einen Serveradministrator mit einem Benutzernamen und einem Kennwort angegeben werden.A server admin login with a username and password must be specified when the server is being created. Mit diesen Anmeldeinformationen kann sich ein Serveradministrator bei jeder Datenbank auf diesem Server oder dieser Instanz als Datenbankbesitzer authentifizieren.Using these credentials, a server admin can authenticate to any database on that server or instance as the database owner. Danach können zusätzliche SQL-Anmeldungen und -Benutzer durch den Serveradministrator erstellt werden, sodass Benutzer eine Verbindung mithilfe von Benutzername und Kennwort herstellen können.After that, additional SQL logins and users can be created by the server admin, which enable users to connect using username and password.

  • Azure Active Directory-Authentifizierung:Azure Active Directory authentication:

    Die Azure Active Directory-Authentifizierung ist ein Mechanismus zum Herstellen einer Verbindung mit Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics unter Verwendung von Identitäten in Azure Active Directory (Azure AD).Azure Active Directory authentication is a mechanism of connecting to Azure SQL Database, Azure SQL Managed Instance and Azure Synapse Analytics by using identities in Azure Active Directory (Azure AD). Die Azure AD-Authentifizierung ermöglicht Administratoren die zentrale Verwaltung der Identitäten und Berechtigungen von Datenbankbenutzern und anderen Azure-Diensten.Azure AD authentication allows administrators to centrally manage the identities and permissions of database users along with other Azure services in one central location. Dies umfasst auch die Minimierung der Kennwortspeicherung und ermöglicht Richtlinien zur zentralisierten Kennwortrotation.This includes the minimization of password storage and enables centralized password rotation policies.

    Sie müssen einen Serveradministrator (der als Active Directory-Administrator bezeichnet wird) erstellen, um die Azure AD-Authentifizierung mit SQL-Datenbank verwenden zu können.A server admin called the Active Directory administrator must be created to use Azure AD authentication with SQL Database. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit SQL-Datenbank unter Verwendung der Azure Active Directory-Authentifizierung.For more information, see Connecting to SQL Database By Using Azure Active Directory Authentication. Die Azure AD-Authentifizierung unterstützt sowohl verwaltete als auch Verbundkonten.Azure AD authentication supports both managed and federated accounts. Verbundkonten unterstützen Windows-Benutzer und -Gruppen für eine benutzerdefinierte Domäne im Verbund mit Azure AD.The federated accounts support Windows users and groups for a customer domain federated with Azure AD.

    Zu den weiteren Möglichkeiten der Azure AD-Authentifizierung gehören Verbindungen mit der universellen Active Directory-Authentifizierung für SQL Server Management Studio, einschließlich Multi-Factor Authentication und bedingtem Zugriff.Additional Azure AD authentication options available are Active Directory Universal Authentication for SQL Server Management Studio connections including Multi-Factor Authentication and Conditional Access.

Wichtig

Die Verwaltung von Datenbanken und Servern in Azure wird über die Rollenzuweisungen in Ihrem Portalbenutzerkonto gesteuert.Managing databases and servers within Azure is controlled by your portal user account's role assignments. Weitere Informationen zu diesem Artikel finden Sie unter Rollenbasierte Zugriffssteuerung in Azure im Azure-Portal.For more information on this article, see Azure role-based access control in Azure portal. Die Zugriffssteuerung mit Firewallregeln gilt nicht für SQL Managed Instance.Controlling access with firewall rules does not apply to SQL Managed Instance. Weitere Informationen zur erforderlichen Netzwerkkonfiguration finden Sie im Artikel zum Herstellen einer Verbindung mit einer verwalteten Instanz.Please see the following article on connecting to a managed instance for more information about the networking configuration needed.

AuthorizationAuthorization

Der Begriff Autorisierung bezieht sich auf die Berechtigungen, die einem Benutzer in einer Datenbank in Azure SQL-Datenbank oder Azure SQL Managed Instance zugewiesen sind und festlegen, welche Aktionen der Benutzer ausführen darf.Authorization refers to the permissions assigned to a user within a database in Azure SQL Database or Azure SQL Managed Instance, and determines what the user is allowed to do. Berechtigungen werden gesteuert, indem Benutzerkonten zu Datenbankrollen hinzugefügt und diesen Rollen Berechtigungen auf Datenbankebene zugewiesen oder dem Benutzer bestimmte Berechtigungen auf Objektebene erteilt werden.Permissions are controlled by adding user accounts to database roles and assigning database-level permissions to those roles or by granting the user certain object-level permissions. Weitere Informationen finden Sie unter Anmeldungen und Benutzer.For more information, see Logins and users

Es hat sich bewährt, benutzerdefinierte Rollen bei Bedarf zu erstellen.As a best practice, create custom roles when needed. Fügen Sie Benutzer dann derjenigen Rolle hinzu, die die geringsten Berechtigungen besitzt, um die erforderliche Aufgabe noch erfüllen zu können.Add users to the role with the least privileges required to do their job function. Weisen Sie Benutzern Berechtigungen nicht direkt zu.Do not assign permissions directly to users. Das Serveradministratorkonto gehört zur integrierten Rolle „db_owner“, die über umfassende Berechtigungen verfügt und nur wenigen Benutzern mit administrativen Aufgaben erteilt werden sollte.The server admin account is a member of the built-in db_owner role, which has extensive permissions and should only be granted to few users with administrative duties. Verwenden Sie bei Anwendungen die Option EXECUTE AS zur Angabe des Ausführungskontexts für das aufgerufene Modul, oder verwenden Sie Anwendungsrollen mit eingeschränkten Berechtigungen.For applications, use the EXECUTE AS to specify the execution context of the called module or use Application Roles with limited permissions. Durch diese Vorgehensweise wird sichergestellt, dass eine Anwendung, die eine Verbindung mit der Datenbank herstellt, nur über die geringsten Berechtigungen verfügt, die von der Anwendung benötigt werden.This practice ensures that the application that connects to the database has the least privileges needed by the application. Diese bewährten Methoden fördern auch die Aufgabentrennung.Following these best practices also fosters separation of duties.

Sicherheit auf ZeilenebeneRow-level security

Mithilfe der Sicherheit auf Zeilenebene können Kunden den Zugriff auf die Zeilen in einer Datenbanktabelle auf Grundlage der Merkmale des Benutzers steuern, der eine Abfrage ausführt (z.B. Gruppenmitgliedschaft oder Ausführungskontext).Row-Level Security enables customers to control access to rows in a database table based on the characteristics of the user executing a query (for example, group membership or execution context). Sicherheit auf Zeilenebene kann auch verwendet werden, um benutzerdefinierte bezeichnungsbasierte Sicherheitskonzepte zu implementieren.Row-Level Security can also be used to implement custom Label-based security concepts. Weitere Informationen finden Sie unter Sicherheit auf Zeilenebene.For more information, see Row-Level security.

Das Diagramm zeigt, dass die Sicherheit auf Zeilenebene einzelne Zeilen einer SQL-Datenbank vor dem Zugriff durch Benutzer über eine Client-App schützt.

BedrohungsschutzThreat protection

Zum Schutz der Kundendaten stellen SQL-Datenbank und SQL Managed Instance Funktionen für die Überwachung und Bedrohungserkennung bereit.SQL Database and SQL Managed Instance secure customer data by providing auditing and threat detection capabilities.

SQL-Überwachung in Azure Monitor-Protokollen und Event HubsSQL auditing in Azure Monitor logs and Event Hubs

Bei der Überwachung von SQL-Datenbank und SQL Managed Instance werden Datenbankaktivitäten nachverfolgt, und Sie erhalten Unterstützung bei der Einhaltung von Sicherheitsstandards, indem Datenbankereignisse in einem Überwachungsprotokoll in einem Azure Storage-Konto des Kunden aufgezeichnet werden.SQL Database and SQL Managed Instance auditing tracks database activities and helps maintain compliance with security standards by recording database events to an audit log in a customer-owned Azure storage account. Dank der Überwachung können Benutzer die fortlaufenden Datenbankaktivitäten überwachen und die Verlaufsaktivität analysieren und untersuchen, um potenzielle Bedrohungen oder vermutete Missbrauchsfälle und Sicherheitsverletzungen zu identifizieren.Auditing allows users to monitor ongoing database activities, as well as analyze and investigate historical activity to identify potential threats or suspected abuse and security violations. Weitere Informationen finden Sie in den ersten Schritten unter Überwachung von SQL-Datenbank.For more information, see Get started with SQL Database Auditing.

Erweiterter Schutz vor BedrohungenAdvanced Threat Protection

Advanced Threat Protection analysiert Ihre Protokolle auf ungewöhnliches Verhalten und potenziell schädliche Zugriffs- oder Offenlegungsversuche bei Datenbanken.Advanced Threat Protection is analyzing your logs to detect unusual behavior and potentially harmful attempts to access or exploit databases. Warnungen werden für verdächtige Aktivitäten wie SQL-Injektion, potenzielle Dateninfiltration und Brute-Force-Angriffe oder für Anomalien in den Zugriffsmustern erstellt, um Berechtigungserweiterungen und die Verwendung gefährdeter Anmeldeinformationen zu erfassen.Alerts are created for suspicious activities such as SQL injection, potential data infiltration, and brute force attacks or for anomalies in access patterns to catch privilege escalations and breached credentials use. Sie können die Warnungen im Azure Security Center anzeigen. Dort finden Sie Details zu verdächtigen Aktivitäten und Empfehlungen für weitere Untersuchungen sowie zu Aktionen, mit denen das Risiko minimiert werden kann.Alerts are viewed from the Azure Security Center, where the details of the suspicious activities are provided and recommendations for further investigation given along with actions to mitigate the threat. Advanced Threat Protection kann pro Server für eine zusätzliche Gebühr aktiviert werden.Advanced Threat Protection can be enabled per server for an additional fee. Weitere Informationen finden Sie unter Erste Schritte mit Advanced Threat Protection von SQL-Datenbank.For more information, see Get started with SQL Database Advanced Threat Protection.

Das Diagramm zeigt, dass die SQL-Bedrohungserkennung den Zugriff auf die SQL-Datenbank für eine Web-App von einem externen Angreifer und böswilligen Insider überwacht.

Informationsschutz und -verschlüsselungInformation protection and encryption

Transport Layer Security (Verschlüsselung bei der Übertragung)Transport Layer Security (Encryption-in-transit)

SQL-Datenbank, SQL Managed Instance und Azure Synapse Analytics schützen Kundendaten durch das Verschlüsseln von Daten bei der Übertragung mit Transport Layer Security (TLS).SQL Database, SQL Managed Instance, and Azure Synapse Analytics secure customer data by encrypting data in motion with Transport Layer Security (TLS).

SQL-Datenbank, SQL Managed Instance und Azure Synapse Analytics erzwingen die Verschlüsselung (SSL/TLS) jederzeit und für alle Verbindungen.SQL Database, SQL Managed Instance, and Azure Synapse Analytics enforce encryption (SSL/TLS) at all times for all connections. Dadurch wird sichergestellt, dass alle Daten „im Übergang“ zwischen Client und Server verschlüsselt werden, und zwar unabhängig von der Einstellung von Encrypt oder TrustServerCertificate in der Verbindungszeichenfolge.This ensures all data is encrypted "in transit" between the client and server irrespective of the setting of Encrypt or TrustServerCertificate in the connection string.

Als bewährte Methode wird empfohlen, in der von der Anwendung verwendeten Verbindungszeichenfolge eine verschlüsselte Verbindung anzugeben und dem Serverzertifikat nicht zu vertrauen.As a best practice, recommend that in the connection string used by the application, you specify an encrypted connection and not trust the server certificate. Dies erzwingt, dass Ihre Anwendung das Serverzertifikat überprüft, und verhindert somit, dass Ihre Anwendung für Angriffe vom Typ „Man-in-the-Middle“ anfällig ist.This forces your application to verify the server certificate and thus prevents your application from being vulnerable to man in the middle type attacks.

Bei Verwendung des ADO.NET-Treibers erfolgt dies z. B. über Encrypt=True und TrustServerCertificate=False.For example when using the ADO.NET driver this is accomplished via Encrypt=True and TrustServerCertificate=False. Wenn Sie Ihre Verbindungszeichenfolge über das Azure-Portal abrufen, verfügt sie bereits über die richtigen Einstellungen.If you obtain your connection string from the Azure portal, it will have the correct settings.

Wichtig

Beachten Sie, dass einige Nicht-Microsoft-Treiber TLS möglicherweise nicht standardmäßig verwenden oder sich auf eine ältere Version von TLS (niedriger als 1.2) verlassen, um zu funktionieren.Note that some non-Microsoft drivers may not use TLS by default or rely on an older version of TLS (<1.2) in order to function. In diesem Fall erlaubt der Server weiterhin das Herstellen einer Verbindung mit der Datenbank.In this case the server still allows you to connect to your database. Wir empfehlen Ihnen jedoch, die Sicherheitsrisiken auszuwerten, die damit verbunden sind, wenn Sie solchen Treibern und Anwendungen eine Verbindung mit der SQL-Datenbank ermöglichen, insbesondere wenn Sie vertrauliche Daten speichern.However, we recommend that you evaluate the security risks of allowing such drivers and application to connect to SQL Database, especially if you store sensitive data.

Weitere Informationen zu TLS und zur Konnektivität finden Sie unter Überlegungen zu TLS.For further information about TLS and connectivity, see TLS considerations

Transparent Data Encryption (Verschlüsselung im Ruhezustand)Transparent Data Encryption (Encryption-at-rest)

Transparent Data Encryption (TDE) für SQL-Datenbank, SQL Managed Instance und Azure Synapse Analytics fügt eine zusätzliche Sicherheitsebene zum Schutz ruhender Daten vor nicht autorisiertem oder Offlinezugriff auf Rohdatendateien oder Sicherungen hinzu.Transparent data encryption (TDE) for SQL Database, SQL Managed Instance, and Azure Synapse Analytics adds a layer of security to help protect data at rest from unauthorized or offline access to raw files or backups. Entsprechende Szenarien umfassen häufig den Diebstahl im Rechenzentrum oder die unsichere Entsorgung von Hardware oder Medien, wie z. B. Festplatten und Sicherungsbändern.Common scenarios include data center theft or unsecured disposal of hardware or media such as disk drives and backup tapes. TDE verschlüsselt die gesamte Datenbank mit einem AES-Verschlüsselungsalgorithmus. Dies erfordert von den Anwendungsentwicklern keine Änderungen an vorhandenen Anwendungen. TDE encrypts the entire database using an AES encryption algorithm, which doesn't require application developers to make any changes to existing applications.

In Azure werden standardmäßig alle neu erstellten Datenbanken verschlüsselt, und der Datenbankverschlüsselungsschlüssel wird mit einem integrierten Serverzertifikat geschützt.In Azure, all newly created databases are encrypted by default and the database encryption key is protected by a built-in server certificate. Zertifikatwartung und -rotation werden vom Dienst verwaltet und erfordern keine Eingaben des Benutzers.Certificate maintenance and rotation are managed by the service and require no input from the user. Kunden, die volle Kontrolle über die Verschlüsselungsschlüssel benötigen, können die Schlüssel in Azure Key Vault verwalten.Customers who prefer to take control of the encryption keys can manage the keys in Azure Key Vault.

Schlüsselverwaltung mit Azure Key VaultKey management with Azure Key Vault

BYOK-Unterstützung (Bring Your Own Key) für Transparent Data Encryption (TDE) ermöglicht Kunden, die Schlüsselverwaltung und -rotation mit  Azure Key Vault, dem externen, cloudbasierten Schlüsselverwaltungssystem von Azure, selbst zu übernehmen.Bring Your Own Key (BYOK) support for Transparent Data Encryption (TDE) allows customers to take ownership of key management and rotation using Azure Key Vault, Azure's cloud-based external key management system. Wenn der Zugriff der Datenbank auf den Schlüsseltresor widerrufen wird, kann eine Datenbank nicht entschlüsselt und in den Speicher gelesen lesen.If the database's access to the key vault is revoked, a database cannot be decrypted and read into memory. Azure Key Vault bietet eine zentrale Plattform für die Schlüsselverwaltung, verwendet streng überwachte Hardwaresicherheitsmodule (HSMs) und ermöglicht die Aufgabentrennung zwischen dem Verwalten von Schlüsseln und Daten, um Sicherheitsbestimmungen zu erfüllen.Azure Key Vault provides a central key management platform, leverages tightly monitored hardware security modules (HSMs), and enables separation of duties between management of keys and data to help meet security compliance requirements.

Always Encrypted (Verschlüsselung während der Verwendung)Always Encrypted (Encryption-in-use)

Das Diagramm zeigt die Grundlagen des Always Encrypted Features.

Always Encrypted ist eine Funktion zum Schutz vor dem Zugriff auf vertrauliche Daten (z.B. Kreditkartennummern, nationale Identifikationsnummern oder Daten, die nur bei Bedarf bekannt sein sollten), die in bestimmten Datenbankspalten gespeichert sind.Always Encrypted is a feature designed to protect sensitive data stored in specific database columns from access (for example, credit card numbers, national identification numbers, or data on a need to know basis). Dies schließt Datenbankadministratoren und anderen privilegierte Benutzer ein, die autorisiert sind, für Verwaltungsaufgaben auf die Datenbank zuzugreifen, jedoch keinen Zugriff auf die entsprechenden Daten in den verschlüsselten Spalten benötigen.This includes database administrators or other privileged users who are authorized to access the database to perform management tasks, but have no business need to access the particular data in the encrypted columns. Die Daten werden immer verschlüsselt. Das bedeutet, dass die verschlüsselten Daten nur für die Verarbeitung durch Clientanwendungen mit Zugriff auf den Verschlüsselungsschlüssel entschlüsselt werden.The data is always encrypted, which means the encrypted data is decrypted only for processing by client applications with access to the encryption key. Der Verschlüsselungsschlüssel wird nie gegenüber SQL-Datenbank oder SQL Managed Instance offengelegt und kann im Windows-Zertifikatspeicher oder in Azure Key Vault gespeichert werden.The encryption key is never exposed to SQL Database or SQL Managed Instance and can be stored either in the Windows Certificate Store or in Azure Key Vault.

Dynamische DatenmaskierungDynamic data masking

Das Diagramm zeigt die dynamische Datenmaskierung.

Die dynamische Datenmaskierung beschränkt die Offenlegung vertraulicher Daten, indem sie für nicht berechtigte Benutzer maskiert werden.Dynamic data masking limits sensitive data exposure by masking it to non-privileged users. Mit der dynamischen Datenmaskierung werden in Azure SQL-Datenbank und SQL Managed Instance automatisch potenziell vertrauliche Daten ermittelt und direkt umsetzbare Empfehlungen bereitgestellt, um diese Felder mit minimalen Auswirkungen auf die Anwendungsschicht zu maskieren.Dynamic data masking automatically discovers potentially sensitive data in Azure SQL Database and SQL Managed Instance and provides actionable recommendations to mask these fields, with minimal impact to the application layer. Hierzu werden die sensiblen Daten im Resultset einer Abfrage in festgelegten Datenbankfeldern verborgen, ohne dass die Daten in der Datenbank geändert werden.It works by obfuscating the sensitive data in the result set of a query over designated database fields, while the data in the database is not changed. Weitere Informationen finden Sie unter Erste Schritte mit der dynamischen Datenmaskierung für SQL-Datenbank und SQL Managed Instance.For more information, see Get started with SQL Database and SQL Managed Instance dynamic data masking.

SicherheitsverwaltungSecurity management

SicherheitsrisikobewertungVulnerability assessment

Die Sicherheitsrisikobewertung ist ein einfach zu konfigurierender Dienst, mit dem potenzielle Schwachstellen in der Datenbank ermittelt, nachverfolgt und behoben werden können. Damit soll die allgemeine Datenbanksicherheit proaktiv verbessert werden.Vulnerability assessment is an easy to configure service that can discover, track, and help remediate potential database vulnerabilities with the goal to proactively improve overall database security. Die Sicherheitsrisikobewertung ist Bestandteil von Azure Defender für SQL. Dabei handelt es sich um ein vereinheitlichtes Paket mit erweiterten SQL-Sicherheitsfunktionen.Vulnerability assessment (VA) is part of the Azure Defender for SQL offering, which is a unified package for advanced SQL security capabilities. Der Zugriff auf die Sicherheitsrisikobewertung und ihre Verwaltung sind über das Azure Defender für SQL-Portal möglich.Vulnerability assessment can be accessed and managed via the central Azure Defender for SQL portal.

Datenermittlung und -klassifizierungData discovery and classification

Datenermittlung und -klassifizierung (derzeit in der Vorschauphase) bietet erweiterte Funktionen für Azure SQL-Datenbank und SQL Managed Instance zum Ermitteln, Klassifizieren, Bezeichnen und Schützen vertraulicher Daten in Ihren Datenbanken.Data discovery and classification (currently in preview) provides advanced capabilities built into Azure SQL Database and SQL Managed Instance for discovering, classifying, labeling, and protecting the sensitive data in your databases. Das Ermitteln und Klassifizieren Ihrer vertraulichen Daten (Geschäfts-/Finanz-/Gesundheits-, personenbezogene Daten usw.) kann eine entscheidende Rolle in der Strategie Ihrer Organisation zum Datenschutz spielen.Discovering and classifying your utmost sensitive data (business/financial, healthcare, personal data, etc.) can play a pivotal role in your organizational Information protection stature. Sie kann für Folgendes als Infrastruktur gelten:It can serve as infrastructure for:

  • Verschiedene Sicherheitsszenarien, z.B. Überwachung und Warnungen bei abweichendem Zugriff auf sensible DatenVarious security scenarios, such as monitoring (auditing) and alerting on anomalous access to sensitive data.
  • Steuern des Zugriffs auf und Härten der Sicherheit von Datenbanken, die sensible Daten enthaltenControlling access to, and hardening the security of, databases containing highly sensitive data.
  • Unterstützen der Einhaltung von Datenschutzstandards und gesetzlicher BestimmungenHelping meet data privacy standards and regulatory compliance requirements.

Weitere Informationen finden Sie unter Erste Schritte mit der Datenermittlung und -klassifizierung.For more information, see Get started with data discovery and classification.

ComplianceCompliance

Zusätzlich zu den oben aufgeführten Features und Funktionen, mit denen Ihre Anwendung eine Reihe von Sicherheitsanforderungen erfüllen kann, wird Azure SQL-Datenbank außerdem regelmäßigen Überprüfungen unterzogen und ist für eine Reihe von Compliancestandards zertifiziert.In addition to the above features and functionality that can help your application meet various security requirements, Azure SQL Database also participates in regular audits, and has been certified against a number of compliance standards. Weitere Informationen finden Sie im Microsoft Azure Trust Center, wo die aktuellste Liste von Compliance-Zertifizierungen für SQL-Datenbank angezeigt wird.For more information, see the Microsoft Azure Trust Center where you can find the most current list of SQL Database compliance certifications.

Nächste SchritteNext steps