Ermitteln von Sicherheitsrisiken für die Datenbank mithilfe der SQL-Sicherheitsrisikobewertung

GILT FÜR: Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics

Die SQL-Sicherheitsrisikobewertung ist ein einfach zu konfigurierender Dienst, mit dem potenzielle Sicherheitsrisiken für die Datenbank ermittelt, nachverfolgt und behandelt werden können. Verwenden Sie es zur proaktiven Verbesserung Ihrer Datenbanksicherheit.

Die Sicherheitsrisikobewertung ist Bestandteil von Azure Defender für SQL. Dabei handelt es sich um ein vereinheitlichtes Paket mit erweiterten SQL-Sicherheitsfunktionen. Der Zugriff auf die Sicherheitsrisikobewertung und ihre Verwaltung sind über das Azure Defender für SQL-Portal möglich.

Hinweis

Die Sicherheitsrisikobewertung wird für Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics unterstützt. Datenbanken in Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics werden im restlichen Teil dieses Artikels kollektiv als Datenbanken bezeichnet, und der Server bezieht sich auf den Server, auf dem die Datenbanken für Azure SQL-Datenbank und Azure Synapse gehostet werden.

Was ist die SQL-Sicherheitsrisikobewertung?

Die SQL-Sicherheitsrisikobewertung ist ein Dienst, der Aufschluss über Ihren Sicherheitsstatus gibt. Die Sicherheitsrisikobewertung beinhaltet Schritte zur Behebung von Sicherheitsproblemen sowie zur Verbesserung der Datenbanksicherheit. Sie kann Ihnen helfen, eine dynamische Datenbankumgebung zu überwachen, in der Änderungen schwierig nachzuverfolgen sind, und so den SQL-Sicherheitsstatus zu verbessern.

Die Sicherheitsrisikobewertung ist ein in Azure SQL-Datenbank integrierter Überprüfungsdienst. Der Dienst verwendet eine Wissensdatenbank mit Regeln zur Kennzeichnung von Sicherheitsrisiken. Er hebt Abweichungen von bewährten Methoden hervor (beispielsweise Fehlkonfigurationen, zu hohe Berechtigungen oder ungeschützte vertrauliche Daten).

Die Regeln basieren auf bewährten Methoden von Microsoft und konzentrieren sich auf die Sicherheitsprobleme, die das größte Risiko für Ihre Datenbank und deren wertvolle Daten darstellt. Sie umfassen sowohl Sicherheitsprobleme auf der Datenbankebene als auch Sicherheitsprobleme auf der Serverebene (beispielsweise Serverfirewalleinstellungen oder Berechtigungen auf der Serverebene).

Zu den Ergebnissen der Überprüfung zählen Aktionsschritte zum Beheben der jeweiligen Probleme und ggf. das Bereitstellen benutzerdefinierter Skripts zur Wiederherstellung. Sie können einen Bewertungsbericht für Ihre Umgebung anpassen und eine akzeptable Baseline für Folgendes festlegen:

  • Berechtigungskonfigurationen
  • Featurekonfigurationen
  • Datenbankeinstellungen

Konfigurieren der Sicherheitsrisikobewertung

Führen Sie die folgenden Schritte aus, um die Sicherheitsrisikobewertung zu konfigurieren:

  1. Öffnen Sie im Azure-Portal die spezifische Ressource in Azure SQL-Datenbank, SQL Managed Instance-Datenbank oder Azure Synapse.

  2. Wählen Sie unter der Überschrift Sicherheit die Option Security Center aus.

  3. Wählen Sie dann im Link Konfigurieren aus, um den Einstellungsbereich von Azure Defender für SQL für den gesamten Server oder die verwaltete Instanz zu öffnen.

    Öffnen der Konfiguration von Azure Defender für SQL

    Hinweis

    Die SQL-Sicherheitsrisikobewertung erfordert einen Azure Defender für SQL-Plan, um die Ausführung von Überprüfungen zu ermöglichen. Weitere Informationen zum Aktivieren von Azure Defender für SQL finden Sie unter Azure Defender für SQL.

  4. Definieren Sie auf der Seite Servereinstellungen die Einstellungen für Azure Defender für SQL:

    Konfigurieren der Überprüfungen für die SQL-Sicherheitsrisikobewertung

    1. Konfigurieren Sie ein Speicherkonto zum Speichern der Überprüfungsergebnisse für alle Datenbanken auf dem Server oder in der verwalteten Instanz. Weitere Informationen zu Speicherkonten finden Sie unter Informationen zu Azure-Speicherkonten.

      Tipp

      Weitere Informationen zum Speichern von Überprüfungen zur Sicherheitsrisikobewertung hinter Firewalls und VNETs finden Sie unter Speichern der Ergebnisse von Überprüfungen zur Sicherheitsrisikobewertung in einem Speicherkonto, auf das hinter Firewalls oder VNETs zugegriffen werden kann.

    2. Zum Konfigurieren von Sicherheitsrisikobewertungen für die automatische Durchführung von Überprüfungen zum Erkennen von Sicherheitsfehlkonfigurationen legen Sie Regelmäßig wiederkehrende Überprüfungen auf Ein fest. Die Ergebnisse werden an die E-Mail-Adressen gesendet, die Sie unter Überprüfungsberichte senden an angegeben haben. Sie können E-Mail-Benachrichtigungen auch an Administratoren und Abonnementbesitzer senden, indem Sie E-Mail-Benachrichtigung auch an Administratoren und Abonnementbesitzer senden aktivieren.

  5. Überprüfungen der SQL-Sicherheitsrisikobewertung können auch bei Bedarf ausgeführt werden:

    1. Wählen Sie auf der Seite Security Center der Ressource die Option Zusätzliche Ergebnisse in der Sicherheitsrisikobewertung anzeigen aus, um auf die Überprüfungsergebnisse früherer Überprüfungen zuzugreifen.

      Öffnen der Überprüfungsergebnisse und der Optionen für manuelle Überprüfung

    2. Um eine bedarfsgesteuerte Überprüfung auszuführen, um Ihre Datenbank auf Sicherheitsrisiken zu überprüfen, wählen Sie Überprüfen auf der Symbolleiste aus:

      Auswählen von „Überprüfen“, um eine bedarfsgesteuerte Überprüfung der Sicherheitsrisikobewertung Ihrer SQL-Ressource auszuführen

Hinweis

Die Überprüfung belastet die Ressourcen nicht und ist sicher. Die Ausführung dauert nur wenige Sekunden und ist vollständig schreibgeschützt. Es werden keine Änderungen an Ihrer Datenbank vorgenommen.

Sicherheitsrisiken beheben

Nachdem eine Sicherheitsrisikoüberprüfung abgeschlossen wurde, wird der Bericht im Azure-Portal angezeigt. Der Bericht zeigt Folgendes an:

  • Eine Übersicht über Ihren Sicherheitsstatus
  • Die Anzahl der gefundenen Probleme
  • Eine Zusammenfassung nach Schweregrad der Risiken
  • Eine Liste der Ergebnisse für weitere Untersuchungen

Beispielüberprüfungsbericht aus der SQL-Sicherheitsrisikobewertung

So beheben Sie die ermittelten Sicherheitsrisiken:

  1. Werten Sie Ihre Ergebnisse aus, und bestimmen Sie, welche Ergebnisse im Bericht echte Sicherheitsprobleme für Ihre Umgebung sind.

  2. Wählen Sie jedes Fehlerergebnis aus, um seine Auswirkungen und den Grund für den Fehler bei der Sicherheitsüberprüfung zu verstehen.

    Tipp

    Auf der Seite mit den Ergebnisdetails finden Sie Informationen zur Problembehebung.

    Untersuchen der Ergebnisse einer Sicherheitsrisikoüberprüfung

  3. Bei der Überprüfung Ihrer Bewertungsergebnisse können Sie bestimmte Ergebnisse als akzeptable Baseline für Ihre Umgebung markieren. Eine Baseline ist im Wesentlichen eine Anpassung der Art, in der die Ergebnisse berichtet werden. Wenn Ergebnisse in nachfolgenden Überprüfungen mit der Baseline übereinstimmen, wird dies als Bestehen gewertet. Nach dem Festlegen des Baselinesicherheitsstatus meldet die Sicherheitsrisikobewertung nur noch Abweichungen von der Baseline. Dadurch können Sie sich auf die relevanten Probleme konzentrieren.

    Genehmigen eines Ergebnisses als Baseline für zukünftige Überprüfungen

  4. Wenn Sie die Baselines ändern, verwenden Sie die Schaltfläche Überprüfen, um eine bedarfsgesteuerte Überprüfung auszuführen und den angepassten Bericht anzuzeigen. Alle Ergebnisse, die Sie der Baseline hinzugefügt haben, werden jetzt unter Bestanden mit der Angabe angezeigt, dass sie aufgrund der Baselineänderungen bestanden haben.

    Bestandene Bewertungen mit der Angabe, dass sie aufgrund der benutzerdefinierten Baseline bestanden haben

Ihre Sicherheitsrisikobewertung kann nun verwendet werden, um sicherzustellen, dass Ihre Datenbank über ein hohes Maß an Sicherheit verfügt und dass die Organisationsrichtlinien erfüllt werden.

Erweiterte Funktionen

Exportieren eines Bewertungsberichts

Wählen Sie Überprüfungsergebnisse exportieren aus, um einen herunterladbaren Excel-Bericht der Überprüfungsergebnisse zu erstellen. Dieser Bericht enthält eine Registerkarte mit einer Zusammenfassung der Bewertung – einschließlich aller Überprüfungen mit Fehlern. Er enthält auch die Registerkarte Ergebnisse mit den vollständigen Ergebnissen der Überprüfung. Die Ergebnisse beinhalten alle ausgeführten Überprüfungen und die jeweiligen Ergebnisdetails.

Anzeigen des Überprüfungsverlaufs

Wählen Sie im Bereich der Sicherheitsrisikobewertung die Option Überprüfungsverlauf aus, um einen Verlauf aller zuvor für diese Datenbank ausgeführten Überprüfungen anzuzeigen. Wählen Sie eine bestimmte Überprüfung in der Liste aus, um die ausführlichen Ergebnisse dieser Überprüfung anzuzeigen.

Deaktivieren bestimmter Ergebnisse aus Azure Security Center (Vorschau)

Wenn in Ihrer Organisation eine Suche ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung und erzeugen kein unerwünschtes Rauschen.

Wenn eine Suche mit den in Ihren Deaktivierungsregeln definierten Kriterien übereinstimmt, wird sie nicht in der Liste der Ergebnisse angezeigt. Zu den typischen Szenarien gehören:

  • Deaktivieren von Ergebnissen mit einem Schweregrad unterhalb des Mittelwerts
  • Deaktivieren von nicht patchbaren Ergebnissen
  • Deaktivieren Sie die Ergebnisse von Vergleichstests (Benchmarks), die für einen definierten Bereich nicht von Interesse sind.

Wichtig

Zum Deaktivieren bestimmter Ergebnisse benötigen Sie Berechtigungen zum Bearbeiten von Richtlinien in Azure Policy. Weitere Informationen finden Sie unter Azure RBAC-Berechtigungen in Azure Policy.

So erstellen Sie eine Regel:

  1. Wählen Sie auf der Seite mit den Empfehlungsdetails für Ergebnisse der Sicherheitsrisikobewertung zu Ihren SQL Server-Instanzen auf Computern müssen behandelt werden die Option Regel deaktivieren aus.

  2. Wählen Sie den entsprechenden Gültigkeitsbereich aus.

  3. Definieren Sie Ihre Kriterien. Sie können auch eines der folgenden Kriterien verwenden:

    • Ergebnis-ID
    • severity
    • Vergleichstests

    Erstellen einer Deaktivierungsregel für Ergebnisse der Sicherheitsrisikobewertung auf SQL Server-Instanzen auf Computern

  4. Wählen Sie Regel anwenden aus. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam wird.

  5. So können Sie eine Regel anzeigen, überschreiben oder löschen

    1. Wählen Sie Regel deaktivieren aus.

    2. In der Bereichsliste werden Abonnements mit aktiven Regeln als Rule applied (Angewandte Regel) angezeigt.

      Ändern oder Löschen einer vorhandenen Regel

    3. Um die Regel anzuzeigen oder zu löschen, wählen Sie das Menü mit den Auslassungspunkten („...“) aus.

Programmgesteuertes Verwalten von Sicherheitsrisikobewertungen

Verwenden von Azure PowerShell

Hinweis

Dieser Artikel wurde mit der Verwendung des Azure Az PowerShell-Moduls aktualisiert. Das Azure Az PowerShell-Modul wird für die Interaktion mit Azure empfohlen. Informationen zu den ersten Schritten mit dem Az PowerShell-Modul finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Wichtig

Das Azure Resource Manager-Modul von PowerShell wird weiterhin unterstützt, aber alle zukünftigen Entwicklungen erfolgen für das Az.Sql-Modul. Informationen zu diesen Cmdlets finden Sie unter AzureRM.Sql. Die Argumente für die Befehle im Az-Modul und den AzureRm-Modulen sind im Wesentlichen identisch.

Sie können die Azure PowerShell-Cmdlets verwenden, um Ihre Sicherheitsrisikobewertungen programmgesteuert zu verwalten. Die unterstützten Cmdlets sind die folgenden:

Cmdlet-Name als Link BESCHREIBUNG
Clear-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline Löscht die Baseline für die Regel zur Sicherheitsrisikobewertung.
Legen Sie zunächst die Baseline fest, bevor Sie dieses Cmdlet zum Löschen verwenden.
Clear-AzSqlDatabaseVulnerabilityAssessmentSetting Löscht die Einstellungen für die Sicherheitsrisikobewertung einer Datenbank.
Clear-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline Löscht die Baseline für die Regel zur Sicherheitsrisikobewertung einer verwalteten Datenbank.
Legen Sie zunächst die Baseline fest, bevor Sie dieses Cmdlet zum Löschen verwenden.
Clear-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting Löscht die Einstellungen der Sicherheitsrisikobewertung einer verwalteten Datenbank.
Clear-AzSqlInstanceVulnerabilityAssessmentSetting Löscht die Einstellungen der Sicherheitsrisikobewertung einer verwalteten Instanz.
Convert-AzSqlDatabaseVulnerabilityAssessmentScan Konvertiert die Überprüfungsergebnisse der Sicherheitsrisikobewertung einer Datenbank in eine Excel-Datei.
Convert-AzSqlInstanceDatabaseVulnerabilityAssessmentScan Konvertiert die Überprüfungsergebnisse der Sicherheitsrisikobewertung einer verwalteten Datenbank in eine Excel-Datei.
Get-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline Ruft die Baseline für die Regel zur Sicherheitsrisikobewertung einer Datenbank für eine angegebene Regel ab.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline Ruft die Baseline für die Regel zur Sicherheitsrisikobewertung einer verwalteten Datenbank für eine angegebene Regel ab.
Get-AzSqlDatabaseVulnerabilityAssessmentScanRecord Ruft alle Überprüfungsdatensätze für die Sicherheitsrisikobewertung ab, die der angegebenen Datenbank zugeordnet sind.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentScanRecord Ruft alle Überprüfungsdatensätze für die Sicherheitsrisikobewertung ab, die der angegebenen verwalteten Datenbank zugeordnet sind.
Get-AzSqlDatabaseVulnerabilityAssessmentSetting Gibt die Einstellungen für die Sicherheitsrisikobewertung einer Datenbank zurück.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting Gibt die Einstellungen der Sicherheitsrisikobewertung einer verwalteten Datenbank zurück.
Set-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline Legt die Baseline für die Regel zur Sicherheitsrisikobewertung fest.
Set-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline Legt die Baseline für die Regel zur Sicherheitsrisikobewertung einer verwalteten Datenbank fest.
Start-AzSqlDatabaseVulnerabilityAssessmentScan Löst den Start einer Überprüfung zur Sicherheitsrisikobewertung einer Datenbank aus.
Start-AzSqlInstanceDatabaseVulnerabilityAssessmentScan Löst den Start einer Überprüfung zur Sicherheitsrisikobewertung einer verwalteten Datenbank aus.
Update-AzSqlDatabaseVulnerabilityAssessmentSetting Aktualisiert die Einstellungen für die Sicherheitsrisikobewertung einer Datenbank.
Update-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting Aktualisiert die Einstellungen der Sicherheitsrisikobewertung einer verwalteten Datenbank.
Update-AzSqlInstanceVulnerabilityAssessmentSetting Aktualisiert die Einstellungen der Sicherheitsrisikobewertung einer verwalteten Instanz.
   

Ein Skriptbeispiel finden Sie im Blogbeitrag Azure SQL Vulnerability Assessment PowerShell support (SQL-Sicherheitsrisikobewertung: Unterstützung für PowerShell).

Verwenden von Resource Manager-Vorlagen

Wenn Sie mithilfe von Azure Resource Manager-Vorlagen Baselines für Sicherheitsrisikobewertungen konfigurieren, müssen Sie den Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines-Typ verwenden.

Stellen Sie sicher, dass Sie vulnerabilityAssessments aktiviert haben, bevor Sie die Grundwerte hinzufügen.

Das folgende Beispiel veranschaulicht, wie die Baselineregel VA2065 für die master-Datenbank und die Baselineregel VA1143 für die user-Datenbank als Ressourcen in einer Resource Manager-Vorlage definiert werden.

   "resources": [
      {
         "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
         "apiVersion": "2018-06-01-preview",
         "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/master')]",
         "properties": {
            "baselineResults": [
               {
                  "result": [
                     "FirewallRuleName3",
                     "StartIpAddress",
                     "EndIpAddress"
                  ]
               },
               {
                  "result": [
                     "FirewallRuleName4",
                     "62.92.15.68",
                     "62.92.15.68"
                  ]
               }
            ]
         },
         "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
         "apiVersion": "2018-06-01-preview",
         "name": "[concat(parameters('server_name'),'/', parameters('database_name'), '/default/VA2130/Default')]",
         "dependsOn": [
            "[resourceId('Microsoft.Sql/servers/vulnerabilityAssessments', parameters('server_name'), 'Default')]"
         ],
         "properties": {
            "baselineResults": [
               {
                  "result": [
                     "dbo"
                  ]
               }
            ]
         }
      }
   ]

Für die master- und die user-Datenbank werden die Ressourcennamen unterschiedlich definiert:

  • Masterdatenbank: "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/master')]",
  • Benutzerdatenbank: "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/default')]",

Um boolesche Typen als „true/false“ zu behandeln, legen Sie das Baselineergebnis mit binärer Eingabe (beispielsweise „1“/„0“) fest.

   {
      "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
      "apiVersion": "2018-06-01-preview",
      "name": "[concat(parameters('server_name'),'/', parameters('database_name'), '/default/VA1143/Default')]",

      "dependsOn": [
         "[resourceId('Microsoft.Sql/servers/vulnerabilityAssessments', parameters('server_name'), 'Default')]"
      ],

      "properties": {
         "baselineResults": [
            {
               "result": [
                  "1"
               ]
            }
         ]
      }

   }

Datenresidenz

Bei der SQL-Sicherheitsrisikobewertung wird SQL Server mithilfe öffentlich verfügbarer Abfragen gemäß den Security Center-Empfehlungen für die SQL-Sicherheitsrisikobewertung abgefragt, und die Abfrageergebnisse werden gespeichert. Die Daten werden im konfigurierten benutzereigenen Speicherkonto gespeichert.

Mit der SQL-Sicherheitsrisikobewertung können Sie die Region angeben, in der Ihre Daten gespeichert werden, indem Sie den Standort des Speicherkontos auswählen. Der Benutzer ist für die Sicherheit und Datenresilienz des Speicherkontos verantwortlich.

Nächste Schritte