Bewährte Methoden zum Schützen von PaaS-Datenbanken in Azure

  • Artikel

In diesem Artikel werden einige bewährte Methoden im Zusammenhang mit der Sicherheit für Azure SQL-Datenbank und Azure Synapse Analytics erläutert, die zum Schutz Ihrer webbasierten und mobilen PaaS-Anwendungen (Platform-as-a-Service) beitragen. Diese empfohlenen Vorgehensweisen sind aus unseren Erfahrungen mit Azure und den Erfahrungen von Kunden wie Ihnen abgeleitet.

Azure SQL-Datenbank und Azure Synapse Analytics stellen einen Dienst für relationale Datenbanken für Ihre internetbasierten Anwendungen bereit. Im Anschluss finden Sie Informationen zu Diensten, mit deren Hilfe Anwendungen und Daten bei Verwendung von Azure SQL-Datenbank und Azure Synapse Analytics in einer PaaS-Bereitstellung geschützt werden:

  • Microsoft Entra-Authentifizierung (anstelle von SQL Server-Authentifizierung)
  • Azure SQL-Firewall
  • TDE (Transparent Data Encryption)

Verwenden eines zentralisierten Identitätsrepositorys

Azure SQL-Datenbank kann so konfiguriert werden, dass einer von zwei Authentifizierungstypen verwendet wird:

  • Die SQL-Authentifizierung verwendet einen Benutzernamen und ein Kennwort. Bei der Erstellung des Servers für die Datenbank haben Sie eine Serveradministratoranmeldung mit Benutzername und Kennwort angegeben. Mit diesen Anmeldeinformationen können Sie sich bei jeder Datenbank auf diesem Server als Datenbankbesitzer authentifizieren.

  • Die Microsoft Entra-Authentifizierung verwendet Identitäten, die von der Microsoft Entra ID verwaltet werden und für verwaltete und integrierte Domänen unterstützt werden. Wenn Sie die Microsoft Entra-Authentifizierung verwenden möchten, müssen Sie einen weiteren Serveradministrator mit der Bezeichnung „Microsoft Entra-Administrator“ erstellen, der zum Verwalten von Microsoft Entra-Benutzern und -Gruppen berechtigt ist. Dieser Administrator kann außerdem die gleichen Vorgänge wie ein regulärer Serveradministrator ausführen.

Die Microsoft Entra-Authentifizierung ist ein Mechanismus zum Herstellen einer Verbindung mit Azure SQL-Datenbank und Azure Synapse Analytics mithilfe von Identitäten in Microsoft Entra ID. Microsoft Entra ID stellt eine Alternative zur SQL Server-Authentifizierung bereit, damit Sie die Verbreitung von Benutzeridentitäten über Datenbankserver hinweg beenden können. Die Microsoft Entra-Authentifizierung ermöglicht die zentrale Verwaltung der Identitäten von Datenbankbenutzern und anderen Microsoft-Diensten. Die zentrale ID-Verwaltung ermöglicht eine einheitliche Verwaltung von Datenbankbenutzern und vereinfacht die Berechtigungsverwaltung.

Vorteile der Verwendung von Microsoft Entra ID anstelle der SQL-Authentifizierung

  • Über eine zentrale Stelle wird eine Kennwortrotation ermöglicht.
  • Verwaltet Datenbankberechtigungen mithilfe externer Microsoft Entra-Gruppen.
  • Das Aktivieren der integrierten Windows-Authentifizierung und anderer von Microsoft Entra ID unterstützte Authentifizierungsformen machen das Speichern von Kennwörtern überflüssig.
  • Eigenständige Datenbankbenutzer werden zum Authentifizieren von Identitäten auf Datenbankebene verwendet.
  • Unterstützt tokenbasierte Authentifizierung für Anwendungen, die eine Verbindung mit SQL-Datenbank herstellen.
  • Unterstützt Active Directory-Verbunddienste (AD FS) sowie native Benutzer-/Kennwortauthentifizierung für ein lokales Microsoft Entra ID ohne Domänensynchronisierung.
  • Unterstützt Verbindungen von SQL Server Management Studio, bei denen universelle Active Directory-Authentifizierungsverfahren verwendet werden, zu denen auch die Multi-Factor Authentication (MFA) gehört. MFA umfasst eine sichere Authentifizierung mit einer Auswahl von einfachen Überprüfungsoptionen. Überprüfungsoptionen sind Telefonanruf, SMS, Smartcards mit PIN oder Benachrichtigungen für mobile Apps. Weitere Informationen finden Sie unter Verwenden der mehrstufigen Azure Active Directory-Authentifizierung.

Weitere Informationen zur Microsoft Entra-Authentifizierung finden Sie unter:

Hinweis

Um sicherzustellen, dass Microsoft Entra ID für Ihre Umgebung geeignet ist, lesen Sie Microsoft Entra-Funktionen und -Einschränkungen.

Beschränken des Zugriffs auf Grundlage der IP-Adresse

Sie können Firewallregeln erstellen, die die Bereiche der zulässigen IP-Adressen festlegen. Diese Regeln können auf Server- und auf Datenbankebene ausgerichtet werden. Wir empfehlen, nach Möglichkeit Firewallregeln auf Datenbankebene zu verwenden, um die Sicherheit und die Portabilität der Datenbank zu verbessern. Firewallregeln auf Serverebene eignen sich am besten für Administratoren und bei vielen Datenbanken mit identischen Zugriffsanforderungen, wenn Sie die Datenbanken nicht einzeln konfigurieren möchten.

Die Standardeinschränkungen der Quell-IP-Adresse von SQL-Datenbank erlauben den Zugriff von allen Azure-Adressen, einschließlich anderer Abonnements und Mandanten. Sie können dies einschränken und nur Ihren IP-Adressen den Zugriff auf die Instanz erlauben. Auch mit den Einschränkungen Ihrer SQL-Firewall und der IP-Adresse ist dennoch eine strenge Authentifizierung erforderlich. Weitere Informationen finden Sie in den Empfehlungen weiter oben in diesem Artikel.

Weitere Informationen zu Azure SQL-Firewall- und IP-Einschränkungen finden Sie unter:

Verschlüsselung ruhender Daten

Transparent Data Encryption (TDE) ist standardmäßig aktiviert. TDE verschlüsselt auf transparente Weise Daten und Protokolldateien für SQL Server, Azure SQL-Datenbank und Azure Synapse Analytics. TDE schützt vor der Gefährdung eines direkten Zugriffs auf die Dateien oder ihrer Sicherungen. Dadurch können Sie ruhende Daten verschlüsseln, ohne vorhandene Anwendungen zu ändern. TDE sollte immer aktiviert sein. Beachten Sie jedoch, dass dies einen Angreifer, der den normalen Zugriffspfad verwendet, nicht aufhalten wird. TDE ermöglicht die Einhaltung von Gesetzen, Bestimmungen und Richtlinien, die in vielen Branchen etabliert sind.

Azure SQL verwaltet die schlüsselbezogenen Probleme für TDE. Wie bei TDE auch muss bei lokaler Verwendung und beim Verschieben von Datenbanken besonders sorgfältig vorgegangen werden. In komplexeren Szenarios können die Schlüssel explizit über die erweiterte Schlüsselverwaltung in Azure Key Vault verwaltet werden. Weitere Informationen finden Sie unter Aktivieren von TDE in SQL Server mithilfe von EKM. Dadurch wird auch Bring Your Own Key (BYOK) über die BYOK-Funktion von Azure Key Vault ermöglicht.

Azure SQL ermöglicht auch die Verschlüsselung von Spalten über Always Encrypted. Hierdurch wird nur autorisierten Anwendungen der Zugriff auf vertrauliche Spalten gewährt. Das Verwenden dieser Verschlüsselungsart begrenzt SQL-Abfragen für verschlüsselte Spalten auf gleichheitsbasierte Werte.

Die Verschlüsselung auf Anwendungsebene muss auch für selektive Daten verwendet werden. Bedenken in Bezug auf die Datenhoheit können durch das Verschlüsseln von Daten mit einem Schlüssel verringert werden, der im richtigen Land/der richtigen Region aufbewahrt wird. Dadurch wird verhindert, dass durch eine versehentliche Datenübertragung Probleme verursacht werden, da die Daten ohne den Schlüssel nicht entschlüsselt werden können. Voraussetzung dafür ist jedoch, dass ein starker Algorithmus (z.B. AES-256) verwendet wird.

Sie können zusätzliche Vorsichtsmaßnahmen zum Schützen der Datenbank treffen, z.B. das Entwerfen eines sicheren Systems, das Verschlüsseln vertraulicher Datenbestände und das Erstellen einer Firewall für die Datenbankserver.

Nächste Schritte

In diesem Artikel wurden einige bewährte Methoden im Zusammenhang mit der Sicherheit für SQL-Datenbank und Azure Synapse Analytics vorgestellt, die zum Schutz Ihrer webbasierten und mobilen PaaS-Anwendungen beitragen. Weitere Informationen zum Schutz Ihrer PaaS-Bereitstellungen finden Sie unter: