Ermitteln von Sicherheitsrisiken für die Datenbank mithilfe der SQL-Sicherheitsrisikobewertung

GILT FÜR: Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics

Die SQL-Sicherheitsrisikobewertung ist ein einfach zu konfigurierender Dienst, mit dem potenzielle Sicherheitsrisiken für die Datenbank ermittelt, nachverfolgt und behandelt werden können. Verwenden Sie es zur proaktiven Verbesserung Ihrer Datenbanksicherheit.

Die Sicherheitsrisikobewertung ist Bestandteil von Microsoft Defender für SQL. Dabei handelt es sich um ein vereinheitlichtes Paket mit erweiterten SQL-Sicherheitsfunktionen. Der Zugriff auf die Sicherheitsrisikobewertung und ihre Verwaltung sind über das Microsoft Defender für SQL-Portal möglich.

Hinweis

Die Sicherheitsrisikobewertung wird für Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics unterstützt. Datenbanken in Azure SQL-Datenbank, Azure SQL Managed Instance und Azure Synapse Analytics werden im restlichen Teil dieses Artikels kollektiv als Datenbanken bezeichnet, und der Server bezieht sich auf den Server, auf dem die Datenbanken für Azure SQL-Datenbank und Azure Synapse gehostet werden.

Was ist die SQL-Sicherheitsrisikobewertung?

Die SQL-Sicherheitsrisikobewertung ist ein Dienst, der Aufschluss über Ihren Sicherheitsstatus gibt. Die Sicherheitsrisikobewertung beinhaltet Schritte zur Behebung von Sicherheitsproblemen sowie zur Verbesserung der Datenbanksicherheit. Sie kann Ihnen helfen, eine dynamische Datenbankumgebung zu überwachen, in der Änderungen schwierig nachzuverfolgen sind, und so den SQL-Sicherheitsstatus zu verbessern.

Die Sicherheitsrisikobewertung ist ein in Azure SQL-Datenbank integrierter Überprüfungsdienst. Der Dienst verwendet eine Wissensdatenbank mit Regeln zur Kennzeichnung von Sicherheitsrisiken. Er hebt Abweichungen von bewährten Methoden hervor (beispielsweise Fehlkonfigurationen, zu hohe Berechtigungen oder ungeschützte vertrauliche Daten).

Die Regeln basieren auf bewährten Methoden von Microsoft und konzentrieren sich auf die Sicherheitsprobleme, die das größte Risiko für Ihre Datenbank und deren wertvolle Daten darstellt. Sie umfassen sowohl Sicherheitsprobleme auf der Datenbankebene als auch Sicherheitsprobleme auf der Serverebene (beispielsweise Serverfirewalleinstellungen oder Berechtigungen auf der Serverebene).

Zu den Ergebnissen der Überprüfung zählen Aktionsschritte zum Beheben der jeweiligen Probleme und ggf. das Bereitstellen benutzerdefinierter Skripts zur Wiederherstellung. Sie können einen Bewertungsbericht für Ihre Umgebung anpassen und eine akzeptable Baseline für Folgendes festlegen:

  • Berechtigungskonfigurationen
  • Featurekonfigurationen
  • Datenbankeinstellungen

Konfigurieren der Sicherheitsrisikobewertung

Führen Sie die folgenden Schritte aus, um die Sicherheitsrisikobewertung zu konfigurieren:

  1. Öffnen Sie im Azure-Portal die spezifische Ressource in Azure SQL-Datenbank, SQL Managed Instance-Datenbank oder Azure Synapse.

  2. Wählen Sie unter der Überschrift Sicherheit die Option Defender für Cloud aus.

  3. Wählen Sie dann Konfigurieren für den Link aus, um den Einstellungsbereich von Microsoft Defender für SQL für den gesamten Server oder die verwaltete Instanz zu öffnen.

    Opening the Defender for SQL configuration

    Hinweis

    Die SQL-Sicherheitsrisikobewertung erfordert einen Microsoft Defender für SQL-Plan, um die Ausführung von Überprüfungen zu ermöglichen. Weitere Informationen zum Aktivieren von Microsoft Defender für SQL finden Sie unter Microsoft Defender für SQL.

  4. Definieren Sie auf der Seite Servereinstellungen die Einstellungen für Microsoft Defender für SQL:

    Configuring the SQL vulnerability assessment scans

    1. Konfigurieren Sie ein Speicherkonto zum Speichern der Überprüfungsergebnisse für alle Datenbanken auf dem Server oder in der verwalteten Instanz. Weitere Informationen zu Speicherkonten finden Sie unter Informationen zu Azure-Speicherkonten.

      Tipp

      Weitere Informationen zum Speichern von Überprüfungen zur Sicherheitsrisikobewertung hinter Firewalls und VNETs finden Sie unter Speichern der Ergebnisse von Überprüfungen zur Sicherheitsrisikobewertung in einem Speicherkonto, auf das hinter Firewalls oder VNETs zugegriffen werden kann.

    2. Zum Konfigurieren von Sicherheitsrisikobewertungen für die automatische Durchführung von Überprüfungen zum Erkennen von Sicherheitsfehlkonfigurationen legen Sie Regelmäßig wiederkehrende Überprüfungen auf Ein fest. Die Ergebnisse werden an die E-Mail-Adressen gesendet, die Sie unter Überprüfungsberichte senden an angegeben haben. Sie können E-Mail-Benachrichtigungen auch an Administratoren und Abonnementbesitzer senden, indem Sie E-Mail-Benachrichtigung auch an Administratoren und Abonnementbesitzer senden aktivieren.

  5. Überprüfungen der SQL-Sicherheitsrisikobewertung können auch bei Bedarf ausgeführt werden:

    1. Wählen Sie auf der Seite Defender für Cloud der Ressource die Option Zusätzliche Ergebnisse in der Sicherheitsrisikobewertung anzeigen aus, um auf die Überprüfungsergebnisse früherer Überprüfungen zuzugreifen.

      Opening the scan results and manual scan options

    2. Um eine bedarfsgesteuerte Überprüfung auszuführen, um Ihre Datenbank auf Sicherheitsrisiken zu überprüfen, wählen Sie Überprüfen auf der Symbolleiste aus:

      Select scan to run an on-demand vulnerability assessment scan of your SQL resource

Hinweis

Die Überprüfung belastet die Ressourcen nicht und ist sicher. Die Ausführung dauert nur wenige Sekunden und ist vollständig schreibgeschützt. Es werden keine Änderungen an Ihrer Datenbank vorgenommen.

Sicherheitsrisiken beheben

Nachdem eine Sicherheitsrisikoüberprüfung abgeschlossen wurde, wird der Bericht im Azure-Portal angezeigt. Der Bericht zeigt Folgendes an:

  • Eine Übersicht über Ihren Sicherheitsstatus
  • Die Anzahl der gefundenen Probleme
  • Eine Zusammenfassung nach Schweregrad der Risiken
  • Eine Liste der Ergebnisse für weitere Untersuchungen

Sampl scan report from the SQL vulnerability assessment scanner

So beheben Sie die ermittelten Sicherheitsrisiken:

  1. Werten Sie Ihre Ergebnisse aus, und bestimmen Sie, welche Ergebnisse im Bericht echte Sicherheitsprobleme für Ihre Umgebung sind.

  2. Wählen Sie jedes Fehlerergebnis aus, um seine Auswirkungen und den Grund für den Fehler bei der Sicherheitsüberprüfung zu verstehen.

    Tipp

    Auf der Seite mit den Ergebnisdetails finden Sie Informationen zur Problembehebung.

    Examining the findings from a vulnerability scan

  3. Bei der Überprüfung Ihrer Bewertungsergebnisse können Sie bestimmte Ergebnisse als akzeptable Baseline für Ihre Umgebung markieren. Eine Baseline ist im Wesentlichen eine Anpassung der Art, in der die Ergebnisse berichtet werden. Wenn Ergebnisse in nachfolgenden Überprüfungen mit der Baseline übereinstimmen, wird dies als Bestehen gewertet. Nach dem Festlegen des Baselinesicherheitsstatus meldet die Sicherheitsrisikobewertung nur noch Abweichungen von der Baseline. Dadurch können Sie sich auf die relevanten Probleme konzentrieren.

    Approving a finding as a baseline for future scans

  4. Wenn Sie die Baselines ändern, verwenden Sie die Schaltfläche Überprüfen, um eine bedarfsgesteuerte Überprüfung auszuführen und den angepassten Bericht anzuzeigen. Alle Ergebnisse, die Sie der Baseline hinzugefügt haben, werden jetzt unter Bestanden mit der Angabe angezeigt, dass sie aufgrund der Baselineänderungen bestanden haben.

    Passed assessments indicating they've passed per custom baseline

Ihre Sicherheitsrisikobewertung kann nun verwendet werden, um sicherzustellen, dass Ihre Datenbank über ein hohes Maß an Sicherheit verfügt und dass die Organisationsrichtlinien erfüllt werden.

Erweiterte Funktionen

Exportieren eines Bewertungsberichts

Wählen Sie Überprüfungsergebnisse exportieren aus, um einen herunterladbaren Excel-Bericht der Überprüfungsergebnisse zu erstellen. Dieser Bericht enthält eine Registerkarte mit einer Zusammenfassung der Bewertung – einschließlich aller Überprüfungen mit Fehlern. Er enthält auch die Registerkarte Ergebnisse mit den vollständigen Ergebnissen der Überprüfung. Die Ergebnisse beinhalten alle ausgeführten Überprüfungen und die jeweiligen Ergebnisdetails.

Anzeigen des Überprüfungsverlaufs

Wählen Sie im Bereich der Sicherheitsrisikobewertung die Option Überprüfungsverlauf aus, um einen Verlauf aller zuvor für diese Datenbank ausgeführten Überprüfungen anzuzeigen. Wählen Sie eine bestimmte Überprüfung in der Liste aus, um die ausführlichen Ergebnisse dieser Überprüfung anzuzeigen.

Deaktivieren bestimmter Ergebnisse aus Microsoft Defender für Cloud (Vorschau)

Wenn in Ihrer Organisation eine Suche ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung und erzeugen kein unerwünschtes Rauschen.

Wenn eine Suche mit den in Ihren Deaktivierungsregeln definierten Kriterien übereinstimmt, wird sie nicht in der Liste der Ergebnisse angezeigt. Zu den typischen Szenarien gehören:

  • Deaktivieren von Ergebnissen mit einem Schweregrad unterhalb des Mittelwerts
  • Deaktivieren von nicht patchbaren Ergebnissen
  • Deaktivieren Sie die Ergebnisse von Vergleichstests (Benchmarks), die für einen definierten Bereich nicht von Interesse sind.

Wichtig

Zum Deaktivieren bestimmter Ergebnisse benötigen Sie Berechtigungen zum Bearbeiten von Richtlinien in Azure Policy. Weitere Informationen finden Sie unter Azure RBAC-Berechtigungen in Azure Policy.

So erstellen Sie eine Regel:

  1. Wählen Sie auf der Seite mit den Empfehlungsdetails für Ergebnisse der Sicherheitsrisikobewertung zu Ihren SQL Server-Instanzen auf Computern müssen behandelt werden die Option Regel deaktivieren aus.

  2. Wählen Sie den entsprechenden Gültigkeitsbereich aus.

  3. Definieren Sie Ihre Kriterien. Sie können auch eines der folgenden Kriterien verwenden:

    • Ergebnis-ID
    • severity
    • Vergleichstests

    Create a disable rule for VA findings on SQL servers on machines

  4. Wählen Sie Regel anwenden aus. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam wird.

  5. So können Sie eine Regel anzeigen, überschreiben oder löschen

    1. Wählen Sie Regel deaktivieren aus.

    2. In der Bereichsliste werden Abonnements mit aktiven Regeln als Rule applied (Angewandte Regel) angezeigt.

      Modify or delete an existing rule

    3. Um die Regel anzuzeigen oder zu löschen, wählen Sie das Menü mit den Auslassungspunkten („...“) aus.

Programmgesteuertes Verwalten von Sicherheitsrisikobewertungen

Hinweis

In diesem Artikel wird das Azure Az PowerShell-Modul verwendet. Dieses PowerShell-Modul wird für die Interaktion mit Azure empfohlen. Informationen zu den ersten Schritten mit dem Az PowerShell-Modul finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Wichtig

Das Azure Resource Manager-Modul von PowerShell wird weiterhin unterstützt, aber alle zukünftigen Entwicklungen erfolgen für das Az.Sql-Modul. Informationen zu diesen Cmdlets finden Sie unter AzureRM.Sql. Die Argumente für die Befehle im Az-Modul und den AzureRm-Modulen sind im Wesentlichen identisch.

Sie können die Azure PowerShell-Cmdlets verwenden, um Ihre Sicherheitsrisikobewertungen programmgesteuert zu verwalten. Die unterstützten Cmdlets sind die folgenden:

Cmdlet-Name als Link BESCHREIBUNG
Clear-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline Löscht die Baseline für die Regel zur Sicherheitsrisikobewertung.
Legen Sie zunächst die Baseline fest, bevor Sie dieses Cmdlet zum Löschen verwenden.
Clear-AzSqlDatabaseVulnerabilityAssessmentSetting Löscht die Einstellungen für die Sicherheitsrisikobewertung einer Datenbank.
Clear-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline Löscht die Baseline für die Regel zur Sicherheitsrisikobewertung einer verwalteten Datenbank.
Legen Sie zunächst die Baseline fest, bevor Sie dieses Cmdlet zum Löschen verwenden.
Clear-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting Löscht die Einstellungen der Sicherheitsrisikobewertung einer verwalteten Datenbank.
Clear-AzSqlInstanceVulnerabilityAssessmentSetting Löscht die Einstellungen der Sicherheitsrisikobewertung einer verwalteten Instanz.
Convert-AzSqlDatabaseVulnerabilityAssessmentScan Konvertiert die Überprüfungsergebnisse der Sicherheitsrisikobewertung einer Datenbank in eine Excel-Datei.
Convert-AzSqlInstanceDatabaseVulnerabilityAssessmentScan Konvertiert die Überprüfungsergebnisse der Sicherheitsrisikobewertung einer verwalteten Datenbank in eine Excel-Datei.
Get-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline Ruft die Baseline für die Regel zur Sicherheitsrisikobewertung einer Datenbank für eine angegebene Regel ab.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline Ruft die Baseline für die Regel zur Sicherheitsrisikobewertung einer verwalteten Datenbank für eine angegebene Regel ab.
Get-AzSqlDatabaseVulnerabilityAssessmentScanRecord Ruft alle Überprüfungsdatensätze für die Sicherheitsrisikobewertung ab, die der angegebenen Datenbank zugeordnet sind.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentScanRecord Ruft alle Überprüfungsdatensätze für die Sicherheitsrisikobewertung ab, die der angegebenen verwalteten Datenbank zugeordnet sind.
Get-AzSqlDatabaseVulnerabilityAssessmentSetting Gibt die Einstellungen für die Sicherheitsrisikobewertung einer Datenbank zurück.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting Gibt die Einstellungen der Sicherheitsrisikobewertung einer verwalteten Datenbank zurück.
Set-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline Legt die Baseline für die Regel zur Sicherheitsrisikobewertung fest.
Set-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline Legt die Baseline für die Regel zur Sicherheitsrisikobewertung einer verwalteten Datenbank fest.
Start-AzSqlDatabaseVulnerabilityAssessmentScan Löst den Start einer Überprüfung zur Sicherheitsrisikobewertung einer Datenbank aus.
Start-AzSqlInstanceDatabaseVulnerabilityAssessmentScan Löst den Start einer Überprüfung zur Sicherheitsrisikobewertung einer verwalteten Datenbank aus.
Update-AzSqlDatabaseVulnerabilityAssessmentSetting Aktualisiert die Einstellungen für die Sicherheitsrisikobewertung einer Datenbank.
Update-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting Aktualisiert die Einstellungen der Sicherheitsrisikobewertung einer verwalteten Datenbank.
Update-AzSqlInstanceVulnerabilityAssessmentSetting Aktualisiert die Einstellungen der Sicherheitsrisikobewertung einer verwalteten Instanz.

Ein Skriptbeispiel finden Sie im Blogbeitrag Azure SQL Vulnerability Assessment PowerShell support (SQL-Sicherheitsrisikobewertung: Unterstützung für PowerShell).

Verwenden von Resource Manager-Vorlagen

Wenn Sie mithilfe von Azure Resource Manager-Vorlagen Baselines für Sicherheitsrisikobewertungen konfigurieren, müssen Sie den Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines-Typ verwenden.

Stellen Sie sicher, dass Sie vulnerabilityAssessments aktiviert haben, bevor Sie die Grundwerte hinzufügen.

Das folgende Beispiel veranschaulicht, wie die Baselineregel VA2065 für die master-Datenbank und die Baselineregel VA1143 für die user-Datenbank als Ressourcen in einer Resource Manager-Vorlage definiert werden.

   "resources": [
      {
         "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
         "apiVersion": "2018-06-01-preview",
         "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/master')]",
         "properties": {
            "baselineResults": [
               {
                  "result": [
                     "FirewallRuleName3",
                     "StartIpAddress",
                     "EndIpAddress"
                  ]
               },
               {
                  "result": [
                     "FirewallRuleName4",
                     "62.92.15.68",
                     "62.92.15.68"
                  ]
               }
            ]
         },
         "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
         "apiVersion": "2018-06-01-preview",
         "name": "[concat(parameters('server_name'),'/', parameters('database_name'), '/default/VA2130/Default')]",
         "dependsOn": [
            "[resourceId('Microsoft.Sql/servers/vulnerabilityAssessments', parameters('server_name'), 'Default')]"
         ],
         "properties": {
            "baselineResults": [
               {
                  "result": [
                     "dbo"
                  ]
               }
            ]
         }
      }
   ]

Für die master- und die user-Datenbank werden die Ressourcennamen unterschiedlich definiert:

  • Masterdatenbank: "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/master')]",
  • Benutzerdatenbank: "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/default')]",

Um boolesche Typen als „true/false“ zu behandeln, legen Sie das Baselineergebnis mit binärer Eingabe (beispielsweise „1“/„0“) fest.

   {
      "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
      "apiVersion": "2018-06-01-preview",
      "name": "[concat(parameters('server_name'),'/', parameters('database_name'), '/default/VA1143/Default')]",

      "dependsOn": [
         "[resourceId('Microsoft.Sql/servers/vulnerabilityAssessments', parameters('server_name'), 'Default')]"
      ],

      "properties": {
         "baselineResults": [
            {
               "result": [
                  "1"
               ]
            }
         ]
      }

   }

Berechtigungen

Eine der folgenden Berechtigungen ist erforderlich, um Ergebnisse der Sicherheitsrisikobewertung in der Empfehlung von Microsoft Defender for Cloud für SQL-Datenbanken anzuzeigen, deren gefundene Sicherheitslücken behoben werden sollten:

  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter

Die folgenden Berechtigungen sind erforderlich, um Änderungen an den Einstellungen für die Sicherheitsrisikobewertung vorzunehmen:

  • SQL-Sicherheits-Manager
  • Leser von Speicherblobdaten
  • Besitzerrolle für das Speicherkonto

Um Links in E-Mail-Benachrichtigungen für Überprüfungsergebnisse zu öffnen oder Überprüfungsergebnisse auf Ressourcenebene anzuzeigen, sind die folgenden Berechtigungen erforderlich:

  • SQL-Sicherheits-Manager
  • Leser von Speicherblobdaten

Datenresidenz

Bei der SQL-Sicherheitsrisikobewertung wird SQL Server mithilfe öffentlich verfügbarer Abfragen gemäß den Defender für Cloud-Empfehlungen für die SQL-Sicherheitsrisikobewertung abgefragt, und die Abfrageergebnisse werden gespeichert. Die Daten werden im konfigurierten benutzereigenen Speicherkonto gespeichert.

Mit der SQL-Sicherheitsrisikobewertung können Sie die Region angeben, in der Ihre Daten gespeichert werden, indem Sie den Standort des Speicherkontos auswählen. Der Benutzer ist für die Sicherheit und Datenresilienz des Speicherkontos verantwortlich.

Nächste Schritte