Tutorial: Schützen einer Einzel- oder PooldatenbankTutorial: Secure a single or pooled database

In diesem Tutorial lernen Sie Folgendes:In this tutorial you learn how to:

  • Erstellen von Firewallregeln auf Server- und DatenbankebeneCreate server-level and database-level firewall rules
  • Konfigurieren eines Azure AD-Administrators (Azure Active Directory)Configure an Azure Active Directory (AD) administrator
  • Verwalten des Benutzerzugriffs mit SQL-Authentifizierung, Azure AD-Authentifizierung und sicheren VerbindungszeichenfolgenManage user access with SQL authentication, Azure AD authentication, and secure connection strings
  • Aktivieren von Sicherheitsfeatures (beispielsweise Advanced Data Security, Überwachung, Datenmaskierung und Verschlüsselung)Enable security features, such as advanced data security, auditing, data masking, and encryption

Azure SQL-Datenbank bietet folgende Möglichkeiten, um Daten in einer Einzel- oder Pooldatenbank zu schützen:Azure SQL Database secures data in a single or pooled database by allowing you to:

  • Beschränken des Zugriffs mithilfe von FirewallregelnLimit access using firewall rules
  • Verwenden von Authentifizierungsmechanismen mit IdentitätsnachweisUse authentication mechanisms that require identity
  • Verwenden einer Autorisierung mit rollenbasierten Mitgliedschaften und BerechtigungenUse authorization with role-based memberships and permissions
  • Aktivieren der SicherheitsfeaturesEnable security features

Hinweis

Eine Azure SQL-Datenbank in einer verwalteten Instanz wird mithilfe von Netzwerksicherheitsregeln und privaten Endpunkten geschützt, wie unter Verwaltete Azure SQL-Datenbank-Instanz und unter Verbindungsarchitektur der verwalteten Azure SQL-Datenbank-Instanz beschrieben.An Azure SQL database on a managed instance is secured using network security rules and private endpoints as described in Azure SQL database managed instance and connectivity architecture.

Weitere Informationen finden Sie in den Artikeln Azure SQL-Datenbank – Erweiterte Sicherheit und Eine Übersicht über die Sicherheitsfunktionen von Azure SQL-Datenbank.To learn more, see the Azure SQL Database security overview and capabilities articles.

Tipp

In den folgenden Microsoft Learn-Modulen können Sie sich kostenlos über das Schützen von Azure SQL-Datenbank informieren.The following Microsoft Learn module helps you learn for free about how to Secure your Azure SQL Database.

VoraussetzungenPrerequisites

Für dieses Tutorial wird Folgendes vorausgesetzt:To complete the tutorial, make sure you have the following prerequisites:

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.If you don't have an Azure subscription, create a free account before you begin.

Melden Sie sich auf dem Azure-Portal an.Sign in to the Azure portal

Für alle Schritte in diesem Tutorial ist eine Anmeldung beim Azure-Portal erforderlich.For all steps in the tutorial, sign in to Azure portal

Erstellen von FirewallregelnCreate firewall rules

SQL-Datenbanken werden in Azure durch Firewalls geschützt.SQL databases are protected by firewalls in Azure. Standardmäßig werden alle Verbindungen mit dem Server und der Datenbank abgelehnt.By default, all connections to the server and database are rejected. Weitere Informationen finden Sie unter Firewallregeln auf Serverebene und Datenbankebene für Azure SQL-Datenbank.To learn more, see Azure SQL Database server-level and database-level firewall rules.

Die sicherste Konfiguration erhalten Sie, indem Sie Zugriff auf Azure-Dienste erlauben auf AUS festlegen.Set Allow access to Azure services to OFF for the most secure configuration. Erstellen Sie anschließend für die Ressource, die eine Verbindung herstellen muss (beispielsweise ein virtueller Computer oder ein Clouddienst), eine reservierte IP-Adresse (klassische Bereitstellung), und lassen Sie den Zugriff durch die Firewall nur für diese IP-Adresse zu.Then, create a reserved IP (classic deployment) for the resource that needs to connect, such as an Azure VM or cloud service, and only allow that IP address access through the firewall. Bei Verwendung des Resource Manager-Bereitstellungsmodells wird für jede Ressource eine dedizierte öffentliche IP-Adresse benötigt.If you're using the resource manager deployment model, a dedicated public IP address is required for each resource.

Hinweis

SQL-Datenbank kommuniziert über Port 1433.SQL Database communicates over port 1433. Wenn Sie versuchen, eine Verbindung aus einem Unternehmensnetzwerk heraus herzustellen, wird der ausgehende Datenverkehr über Port 1433 von der Firewall Ihres Netzwerks unter Umständen nicht zugelassen.If you're trying to connect from within a corporate network, outbound traffic over port 1433 may not be allowed by your network's firewall. In diesem Fall können Sie nur dann eine Verbindung mit Ihrem Azure SQL-Datenbank-Server herstellen, wenn Ihr Administrator den Port 1433 öffnet.If so, you can't connect to the Azure SQL Database server unless your administrator opens port 1433.

Einrichten von Firewallregeln für SQL-Datenbank-ServerSet up SQL Database server firewall rules

IP-Firewallregeln auf Serverebene gelten für alle Datenbanken auf dem gleichen SQL-Datenbank-Server.Server-level IP firewall rules apply to all databases within the same SQL Database server.

So richten Sie eine Firewallregel auf Serverebene ein:To set up a server-level firewall rule:

  1. Wählen Sie im Azure-Portal im Menü auf der linken Seite die Option SQL-Datenbanken und anschließend auf der Seite SQL-Datenbanken Ihre Datenbank aus.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

    Serverfirewallregel

    Hinweis

    Kopieren Sie Ihren vollqualifizierten Servernamen (Beispiel: .database.windows.net). Er wird im weiteren Verlauf dieses Tutorials benötigt.Be sure to copy your fully qualified server name (such as yourserver.database.windows.net) for use later in the tutorial.

  2. Wählen Sie auf der Seite Übersicht die Option Serverfirewall festlegen aus.On the Overview page, select Set server firewall. Die Seite Firewalleinstellungen für den Datenbankserver wird geöffnet.The Firewall settings page for the database server opens.

    1. Wählen Sie in der Symbolleiste die Option Client-IP-Adresse hinzufügen aus, um Ihre aktuelle IP-Adresse einer neuen Firewallregel hinzuzufügen.Select Add client IP on the toolbar to add your current IP address to a new firewall rule. Die Regel kann den Port 1433 für eine einzelne IP-Adresse oder einen Bereich von IP-Adressen öffnen.The rule can open port 1433 for a single IP address or a range of IP addresses. Wählen Sie Speichern aus.Select Save.

      Festlegen der Serverfirewallregel

    2. Wählen Sie OK aus, und schließen Sie die Seite Firewalleinstellungen.Select OK and close the Firewall settings page.

Sie können nun eine Verbindung zu einer beliebigen Datenbank auf dem Server mit der angegebenen IP-Adresse oder dem angegebenen IP-Adressbereich herstellen.You can now connect to any database in the server with the specified IP address or IP address range.

Einrichten von Firewallregeln für eine DatenbankSetup database firewall rules

Firewallregeln auf Datenbankebene gelten nur für einzelne Datenbanken.Database-level firewall rules only apply to individual databases. Die Datenbank behält diese Regeln bei einem Serverfailover bei.The database will retain these rules during a server failover. Firewallregeln auf Datenbankebene können nur mithilfe von T-SQL-Anweisungen (Transact-SQL) konfiguriert werden, und es muss bereits eine Firewallregel auf Serverebene konfiguriert worden sein.Database-level firewall rules can only be configured using Transact-SQL (T-SQL) statements, and only after you've configured a server-level firewall rule.

So richten Sie eine Firewallregel auf Datenbankebene ein:To setup a database-level firewall rule:

  1. Stellen Sie eine Verbindung mit Ihrer Datenbank her (beispielsweise mithilfe von SQL Server Management Studio).Connect to the database, for example using SQL Server Management Studio.

  2. Klicken Sie im Objekt-Explorer mit der rechten Maustaste auf die Datenbank, und wählen Sie Neue Abfrage aus.In Object Explorer, right-click the database and select New Query.

  3. Fügen Sie im Abfragefenster die folgende Anweisung hinzu, und ändern Sie die IP-Adresse in Ihre öffentliche IP-Adresse:In the query window, add this statement and modify the IP address to your public IP address:

    EXECUTE sp_set_database_firewall_rule N'Example DB Rule','0.0.0.4','0.0.0.4';
    
  4. Wählen Sie auf der Symbolleiste die Option Ausführen aus, um die Firewallregel zu erstellen.On the toolbar, select Execute to create the firewall rule.

Hinweis

Sie können in SSMS mithilfe des Befehls sp_set_firewall_rule auch eine Firewallregel auf Serverebene erstellen. In diesem Fall muss allerdings eine Verbindung mit der Masterdatenbank bestehen.You can also create a server-level firewall rule in SSMS by using the sp_set_firewall_rule command, though you must be connected to the master database.

Erstellen eines Azure AD-AdministratorsCreate an Azure AD admin

Vergewissern Sie sich, dass Sie die richtige verwaltete Azure AD-Domäne (Azure Active Directory) verwenden.Make sure you're using the appropriate Azure Active Directory (AD) managed domain. Die AD-Domäne kann rechts oben im Azure-Portal ausgewählt werden.To select the AD domain, use the upper-right corner of the Azure portal. Mit diesem Prozess wird sichergestellt, dass sowohl für Azure AD als auch für die SQL Server-Instanz, die Ihre Azure SQL-Datenbank oder Ihr Data Warehouse hostet, das gleiche Abonnement verwendet wird.This process confirms the same subscription is used for both Azure AD and the SQL Server hosting your Azure SQL database or data warehouse.

Administrator auswählen

So legen Sie den Azure AD-Administrator fest:To set the Azure AD administrator:

  1. Wählen Sie im Azure-Portal auf der Seite SQL Server die Option Active Directory-Administrator aus. Wählen Sie als Nächstes Administrator festlegen aus.In Azure portal, on the SQL server page, select Active Directory admin. Next select Set admin.

    Auswählen von Active Directory

    Wichtig

    Für diese Aufgabe müssen Sie entweder Unternehmensadministrator oder globaler Administrator sein.You need to be either a "Company Administrator" or "Global Administrator" to perform this task.

  2. Suchen Sie auf der Seite Administrator hinzufügen nach dem AD-Benutzer oder der Gruppe, wählen Sie den Benutzer oder die Gruppe aus, und wählen Sie anschließend Auswählen aus.On the Add admin page, search and select the AD user or group and choose Select. Alle Mitglieder und Gruppen Ihrer Active Directory-Instanz werden aufgeführt. Abgeblendete Einträge werden nicht als Azure AD-Administratoren unterstützt.All members and groups of your Active Directory are listed, and entries grayed out are not supported as Azure AD administrators. Weitere Informationen finden Sie unter Funktionen und Einschränkungen von Azure AD.See Azure AD features and limitations.

    Auswählen des Administrators

    Wichtig

    Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) gilt nur für das Portal und wird nicht an SQL Server weitergegeben.Role-based access control (RBAC) only applies to the portal and isn't propagated to SQL Server.

  3. Wählen Sie oben auf der Seite Active Directory-Administrator die Option Speichern aus.At the top of the Active Directory admin page, select Save.

    Das Ändern des Administrators kann mehrere Minuten dauern.The process of changing an administrator may take several minutes. Der neue Administrator wird im Feld Active Directory-Administrator angezeigt.The new administrator will appear in the Active Directory admin box.

Hinweis

Wenn Sie einen Azure AD-Administrator festlegen, darf der Name des neuen Administrators (Benutzer oder Gruppe) nicht als SQL Server-Authentifizierungsbenutzer in der Masterdatenbank vorhanden sein.When setting an Azure AD admin, the new admin name (user or group) cannot exist as a SQL Server authentication user in the master database. Andernfalls ist die Einrichtung nicht erfolgreich, und die Änderungen werden mit dem Hinweis, dass ein solcher Administratorname bereits vorhanden ist, rückgängig gemacht.If present, the setup will fail and roll back changes, indicating that such an admin name already exists. Da der SQL Server-Authentifizierungsbenutzer nicht Teil von Azure AD ist, kann für den Benutzer keine Verbindung unter Verwendung der Azure AD-Authentifizierung hergestellt werden.Since the SQL Server authentication user is not part of Azure AD, any effort to connect the user using Azure AD authentication fails.

Informationen zum Konfigurieren von Azure AD finden Sie hier:For information about configuring Azure AD, see:

Verwalten des DatenbankzugriffsManage database access

Verwalten Sie den Zugriff auf die Datenbank, indem Sie der Datenbank Benutzer hinzufügen oder Benutzern den Zugriff über sichere Verbindungszeichenfolgen ermöglichen.Manage database access by adding users to the database, or allowing user access with secure connection strings. Verbindungszeichenfolgen sind hilfreich für externe Anwendungen.Connection strings are useful for external applications. Weitere Informationen finden Sie unter Zugriffssteuerung für Azure SQL-Datenbank und SQL Data Warehouse sowie unter Verwenden der Azure Active Directory-Authentifizierung für die Authentifizierung mit SQL.To learn more, see Azure SQL access control and AD authentication.

Wählen Sie zum Hinzufügen von Benutzern den Datenbankauthentifizierungstyp aus:To add users, choose the database authentication type:

  • SQL-Authentifizierung: Verwenden Sie für Anmeldungen eine Kombination aus Benutzername und Kennwort, die nur im Kontext einer bestimmten Datenbank auf dem Server gültig ist.SQL authentication, use a username and password for logins and are only valid in the context of a specific database within the server

  • Azure AD-Authentifizierung: Verwenden Sie von Azure Active Directory verwaltete Identitäten.Azure AD authentication, use identities managed by Azure AD

SQL-AuthentifizierungSQL authentication

So fügen Sie einen Benutzer mit SQL-Authentifizierung hinzu:To add a user with SQL authentication:

  1. Stellen Sie eine Verbindung mit Ihrer Datenbank her (beispielsweise mithilfe von SQL Server Management Studio).Connect to the database, for example using SQL Server Management Studio.

  2. Klicken Sie im Objekt-Explorer mit der rechten Maustaste auf die Datenbank, und wählen Sie Neue Abfrage aus.In Object Explorer, right-click the database and choose New Query.

  3. Geben Sie im Abfragefenster den folgenden Befehl ein:In the query window, enter the following command:

    CREATE USER ApplicationUser WITH PASSWORD = 'YourStrongPassword1';
    
  4. Wählen Sie auf der Symbolleiste die Option Ausführen aus, um den Benutzer zu erstellen.On the toolbar, select Execute to create the user.

  5. Standardmäßig kann der Benutzer eine Verbindung zur Datenbank herstellen, besitzt jedoch keine Berechtigungen zum Lesen oder Schreiben von Daten.By default, the user can connect to the database, but has no permissions to read or write data. Führen Sie in einem neuen Abfragefenster die folgenden Befehle aus, um diese Berechtigungen zu gewähren:To grant these permissions, execute the following commands in a new query window:

    ALTER ROLE db_datareader ADD MEMBER ApplicationUser;
    ALTER ROLE db_datawriter ADD MEMBER ApplicationUser;
    

Hinweis

Erstellen Sie auf der Datenbankebene Konten ohne Administratorrechte, es sei denn, es müssen Administratoraufgaben wie etwa die Erstellung neuer Benutzer ausgeführt werden.Create non-administrator accounts at the database level, unless they need to execute administrator tasks like creating new users.

Azure AD-AuthentifizierungAzure AD authentication

Für die Azure Active Directory-Authentifizierung müssen Datenbankbenutzer als Benutzer für eigenständige Datenbanken erstellt werden.Azure Active Directory authentication requires that database users are created as contained. Benutzer für eigenständige Datenbanken sind einer Identität im Azure AD-Verzeichnis zugeordnet, die wiederum mit der Datenbank verknüpft ist, und verfügen über keine Anmeldung in der Masterdatenbank.A contained database user maps to an identity in the Azure AD directory associated with the database and has no login in the master database. Die Azure AD-Identität kann entweder für einen einzelnen Benutzer oder für eine Gruppe verwendet werden.The Azure AD identity can either be for an individual user or a group. Weitere Informationen finden Sie unter Eigenständige Datenbankbenutzer - machen Sie Ihre Datenbank portabel. Im Tutorial Konfigurieren und Verwalten der Azure Active Directory-Authentifizierung mit SQL finden Sie außerdem Informationen zur Authentifizierung mithilfe von Azure AD.For more information, see Contained database users, make your database portable and review the Azure AD tutorial on how to authenticate using Azure AD.

Hinweis

Datenbankbenutzer (mit Ausnahme von Administratoren) können nicht über das Azure-Portal erstellt werden.Database users (excluding administrators) cannot be created using the Azure portal. Azure RBAC-Rollen werden nicht an SQL-basierte Server, Datenbanken oder Data Warehouses weitergegeben.Azure RBAC roles do not propagate to SQL servers, databases, or data warehouses. Sie dienen lediglich zur Verwaltung von Azure-Ressourcen und gelten nicht für Datenbankberechtigungen.They are only used to manage Azure resources and do not apply to database permissions.

So gewährt etwa die Rolle SQL Server-Mitwirkender keinen Zugriff für die Verbindungsherstellung mit einer Datenbank oder einem Data Warehouse.For example, the SQL Server Contributor role does not grant access to connect to a database or data warehouse. Die Berechtigung muss mithilfe von T-SQL-Anweisungen direkt in der Datenbank erteilt werden.This permission must be granted within the database using T-SQL statements.

Wichtig

In den T-SQL-Anweisungen CREATE LOGIN und CREATE USER werden in Benutzernamen keine Sonderzeichen wie Doppelpunkt (:) oder kaufmännisches Und-Zeichen (&) unterstützt.Special characters like colon : or ampersand & are not supported in user names in the T-SQL CREATE LOGIN and CREATE USER statements.

So fügen Sie einen Benutzer mit Azure AD-Authentifizierung hinzu:To add a user with Azure AD authentication:

  1. Stellen Sie eine Verbindung mit Ihrer Azure SQL Server-Instanz her, und verwenden Sie dabei ein Azure AD-Konto, das mindestens über die Berechtigung ALTER ANY USER verfügt.Connect to your Azure SQL server using an Azure AD account with at least the ALTER ANY USER permission.

  2. Klicken Sie im Objekt-Explorer mit der rechten Maustaste auf die Datenbank, und wählen Sie Neue Abfrage aus.In Object Explorer, right-click the database and select New Query.

  3. Geben Sie im Abfragefenster den folgenden Befehl ein, und ändern Sie <Azure_AD_principal_name> in den Prinzipalnamen des Azure AD-Benutzers oder in den Anzeigenamen der Azure AD-Gruppe:In the query window, enter the following command and modify <Azure_AD_principal_name> to the principal name of the Azure AD user or the display name of the Azure AD group:

    CREATE USER <Azure_AD_principal_name> FROM EXTERNAL PROVIDER;
    

Hinweis

In den Datenbankmetadaten sind Azure AD-Benutzer mit E (EXTERNAL_USER) und Gruppen mit X (EXTERNAL_GROUPS) gekennzeichnet.Azure AD users are marked in the database metadata with type E (EXTERNAL_USER) and type X (EXTERNAL_GROUPS) for groups. Weitere Informationen finden Sie unter sys.database_principals.For more information, see sys.database_principals.

Sichere VerbindungszeichenfolgenSecure connection strings

Um eine sichere, verschlüsselte Verbindung zwischen der Clientanwendung und der SQL-Datenbank zu gewährleisten, muss die konfigurierte Verbindungszeichenfolge folgende Kriterien erfüllen:To ensure a secure, encrypted connection between the client application and SQL database, a connection string must be configured to:

  • Sie muss eine verschlüsselte Verbindung anfordern.Request an encrypted connection
  • Sie darf dem Serverzertifikat nicht vertrauen.Not trust the server certificate

Die Verbindung wird unter Verwendung von Transport Layer Security (TLS) hergestellt, und die Gefahr von Man-in-the-Middle-Angriffen wird verringert.The connection is established using Transport Layer Security (TLS) and reduces the risk of a man-in-the-middle attack. Verbindungszeichenfolgen sind pro Datenbank verfügbar und für die Unterstützung von Clienttreibern wie ADO.NET, JDBC, ODBC und PHP vorkonfiguriert.Connection strings are available per database and are pre-configured to support client drivers such as ADO.NET, JDBC, ODBC, and PHP. Informationen zu TLS und zur Konnektivität finden Sie unter Überlegungen zu TLS.For information about TLS and connectivity, see TLS considerations.

So kopieren Sie eine sichere Verbindungszeichenfolge:To copy a secure connection string:

  1. Wählen Sie im Azure-Portal im Menü auf der linken Seite die Option SQL-Datenbanken und anschließend auf der Seite SQL-Datenbanken Ihre Datenbank aus.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. Wählen Sie auf der Seite Übersicht die Option Datenbank-Verbindungszeichenfolgen anzeigen aus.On the Overview page, select Show database connection strings.

  3. Wählen Sie eine Treiberregisterkarte aus, und kopieren Sie die vollständige Verbindungszeichenfolge.Select a driver tab and copy the complete connection string.

    ADO.NET-Verbindungszeichenfolge

Aktivieren der SicherheitsfeaturesEnable security features

Azure SQL-Datenbank bietet Sicherheitsfeatures, die über das Azure-Portal zur Verfügung stehen.Azure SQL Database provides security features that are accessed using the Azure portal. Diese Features sind sowohl für die Datenbank als auch für den Server verfügbar (mit Ausnahme der Datenmaskierung, die nur für die Datenbank zur Verfügung steht).These features are available for both the database and server, except for data masking, which is only available on the database. Weitere Informationen finden Sie unter Advanced Threat Protection für Azure SQL-Datenbank, Erste Schritte bei der Überwachung von SQL-Datenbank, Dynamische Datenmaskierung für SQL-Datenbank und Transparente Datenverschlüsselung für SQL-Datenbank und Data Warehouse.To learn more, see Advanced data security, Auditing, Dynamic data masking, and Transparent data encryption.

Advanced Data SecurityAdvanced data security

Das Advanced Data Security-Feature erkennt potenzielle Bedrohungen in Echtzeit und stellt Sicherheitswarnungen zu anomalen Aktivitäten bereit.The advanced data security feature detects potential threats as they occur and provides security alerts on anomalous activities. Benutzer können diese verdächtigen Ereignisse mithilfe des Überwachungsfeatures untersuchen und so ermitteln, ob es sich bei dem Ereignis um einen Zugriffsversuch, um eine Verletzung der Datensicherheit oder um einen Missbrauch von Daten in der Datenbank handelt.Users can explore these suspicious events using the auditing feature, and determine if the event was to access, breach, or exploit data in the database. Benutzern stehen zudem eine Sicherheitsübersicht mit Sicherheitsrisikobewertung sowie das Tool zur Datenermittlung und -klassifizierung zur Verfügung.Users are also provided a security overview that includes a vulnerability assessment and the data discovery and classification tool.

Hinweis

Ein Bespiel für eine Bedrohung ist die Einschleusung von SQL-Befehlen. Dabei schleusen Angreifer schädliche SQL-Befehle in Eingaben von Anwendungen ein.An example threat is SQL injection, a process where attackers inject malicious SQL into application inputs. Dies kann dazu führen, dass die Anwendung unwissentlich die schädlichen SQL-Befehle ausführt und Angreifern Zugriff auf die Datenbank gewährt, die dann die darin enthaltenen Daten entwenden oder manipulieren können.An application can then unknowingly execute the malicious SQL and allow attackers access to breach or modify data in the database.

So aktivieren Sie Advanced Data Security:To enable advanced data security:

  1. Wählen Sie im Azure-Portal im Menü auf der linken Seite die Option SQL-Datenbanken und anschließend auf der Seite SQL-Datenbanken Ihre Datenbank aus.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. Wählen Sie auf der Seite Übersicht den Link Servername aus.On the Overview page, select the Server name link. Die Datenbankserverseite wird geöffnet.The database server page will open.

  3. Navigieren Sie auf der Seite SQL Server zum Abschnitt Sicherheit, und wählen Sie Advanced Data Security aus.On the SQL server page, find the Security section and select Advanced Data Security.

    1. Wählen Sie unter Advanced Data Security die Option EIN aus, um das Feature zu aktivieren.Select ON under Advanced Data Security to enable the feature. Wählen Sie ein Speicherkonto zum Speichern der Ergebnisse der Sicherheitsrisikobewertung aus.Choose a storage account for saving vulnerability assessment results. Klicken Sie dann auf Speichern.Then select Save.

      Navigationsbereich

      Sie können auch E-Mail-Adressen für den Empfang von Sicherheitswarnungen sowie Speicherdetails und Bedrohungserkennungstypen konfigurieren.You can also configure emails to receive security alerts, storage details, and threat detection types.

  4. Kehren Sie zur Seite SQL-Datenbanken Ihrer Datenbank zurück, und wählen Sie im Abschnitt Sicherheit die Option Advanced Data Security aus.Return to the SQL databases page of your database and select Advanced Data Security under the Security section. Hier finden Sie verschiedene Sicherheitsindikatoren für die Datenbank.Here you'll find various security indicators available for the database.

    Bedrohungsstatus

Wenn anomale Aktivitäten erkannt werden, erhalten Sie eine E-Mail mit Ereignisinformationen.If anomalous activities are detected, you receive an email with information on the event. Hierzu zählen die Art der Aktivität, die Datenbank, der Server, der Zeitpunkt des Ereignisses, mögliche Ursachen sowie empfohlene Schritte zur Untersuchung und Abwehr der potenziellen Bedrohung.This includes the nature of the activity, database, server, event time, possible causes, and recommended actions to investigate and mitigate the potential threat. Wählen Sie in einer solchen E-Mail den Link für das Azure SQL-Überwachungsprotokoll aus, um das Azure-Portal zu starten und relevante Überwachungsdatensätze für den Zeitpunkt des Ereignisses anzuzeigen.If such an email is received, select the Azure SQL Auditing Log link to launch the Azure portal and show relevant auditing records for the time of the event.

Bedrohungserkennungs-E-Mail

ÜberwachungAuditing

Das Überwachungsfeature verfolgt Datenbankereignisse nach und schreibt Ereignisse in ein Überwachungsprotokoll (entweder in Azure-Speicher, in Azure Monitor-Protokollen oder in einem Event Hub).The auditing feature tracks database events and writes events to an audit log in either Azure storage, Azure Monitor logs, or to an event hub. Die Überwachung hilft Ihnen dabei, gesetzliche Bestimmungen einzuhalten, die Datenbankaktivität nachzuvollziehen und Einblicke in Abweichungen und Anomalien zu erhalten, die Hinweise auf potenzielle Sicherheitsverstöße darstellen können.Auditing helps maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate potential security violations.

So aktivieren Sie die Überwachung:To enable auditing:

  1. Wählen Sie im Azure-Portal im Menü auf der linken Seite die Option SQL-Datenbanken und anschließend auf der Seite SQL-Datenbanken Ihre Datenbank aus.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. Wählen Sie im Abschnitt Sicherheit die Option Überwachung aus.In the Security section, select Auditing.

  3. Legen Sie unter Überwachung die folgenden Einstellungswerte fest:Under Auditing settings, set the following values:

    1. Legen Sie Überwachung auf EIN fest.Set Auditing to ON.

    2. Wählen Sie unter Ziel für Überwachungsprotokoll eine der folgenden Optionen aus:Select Audit log destination as any of the following:

      • Speicher: Ein Azure-Speicherkonto, in dem Ereignisprotokolle gespeichert werden, die dann als XEL-Dateien heruntergeladen werden können.Storage, an Azure storage account where event logs are saved and can be downloaded as .xel files

        Tipp

        Verwenden Sie zur optimalen Nutzung von Überwachungsberichtvorlagen das gleiche Speicherkonto für alle überwachten Datenbanken.Use the same storage account for all audited databases to get the most from auditing report templates.

      • Log Analytics: Speichert automatisch Ereignisse, die dann abgefragt und näher analysiert werden können.Log Analytics, which automatically stores events for query or further analysis

        Hinweis

        Für erweiterte Features wie Analysen, benutzerdefinierte Warnungsregeln und Excel- oder Power BI-Berichte ist ein Log Analytics-Arbeitsbereich erforderlich.A Log Analytics workspace is required to support advanced features such as analytics, custom alert rules, and Excel or Power BI exports. Ohne Arbeitsbereich ist nur der Abfrage-Editor verfügbar.Without a workspace, only the query editor is available.

      • Event Hub: Ermöglicht das Weiterleiten von Ereignissen für die Verwendung in anderen Anwendungen.Event Hub, which allows events to be routed for use in other applications

    3. Wählen Sie Speichern aus.Select Save.

      Überwachungseinstellungen

  4. Nun können Sie Überwachungsprotokolle anzeigen auswählen, um Datenbankereignisdaten anzuzeigen.Now you can select View audit logs to view database events data.

    Überwachungsdatensätze

Wichtig

Informationen zur weiteren Anpassung von Überwachungsereignissen mittels PowerShell oder REST-API finden Sie unter Erste Schritte bei der Überwachung von SQL-Datenbank.See SQL database auditing on how to further customize audit events using PowerShell or REST API.

Dynamische DatenmaskierungDynamic data masking

Das Datenmaskierungsfeature blendet sensible Daten in Ihrer Datenbank automatisch aus.The data masking feature will automatically hide sensitive data in your database.

So aktivieren Sie die Datenmaskierung:To enable data masking:

  1. Wählen Sie im Azure-Portal im Menü auf der linken Seite die Option SQL-Datenbanken und anschließend auf der Seite SQL-Datenbanken Ihre Datenbank aus.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. Wählen Sie im Abschnitt Sicherheit die Option Dynamische Datenmaskierung aus.In the Security section, select Dynamic Data Masking.

  3. Wählen Sie unter Dynamische Datenmaskierung die Option Maske hinzufügen aus, um eine Maskierungsregel hinzuzufügen.Under Dynamic data masking settings, select Add mask to add a masking rule. Die zur Auswahl stehenden Datenbankschemas, Tabellen und Spalten werden von Azure automatisch aufgefüllt.Azure will automatically populate available database schemas, tables, and columns to choose from.

    Maskierungseinstellungen

  4. Wählen Sie Speichern aus.Select Save. Die ausgewählten Informationen werden nun maskiert, um den Datenschutz zu wahren.The selected information is now masked for privacy.

    Maskierungsbeispiel

Transparent Data EncryptionTransparent data encryption

Das Verschlüsselungsfeature verschlüsselt automatisch Ihre ruhenden Daten und erfordert keine Änderungen an Anwendungen, die auf die verschlüsselte Datenbank zugreifen.The encryption feature automatically encrypts your data at rest, and requires no changes to applications accessing the encrypted database. Bei neuen Datenbanken ist die Verschlüsselung standardmäßig aktiviert.For new databases, encryption is on by default. Daten können auch mit SSMS und dem Feature Always Encrypted verschlüsselt werden.You can also encrypt data using SSMS and the Always encrypted feature.

So aktivieren oder überprüfen Sie die Verschlüsselung:To enable or verify encryption:

  1. Wählen Sie im Azure-Portal im Menü auf der linken Seite die Option SQL-Datenbanken und anschließend auf der Seite SQL-Datenbanken Ihre Datenbank aus.In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. Wählen Sie im Abschnitt Sicherheit die Option Transparent Data Encryption aus.In the Security section, select Transparent data encryption.

  3. Legen Sie bei Bedarf die Option Datenverschlüsselung auf EIN fest.If necessary, set Data encryption to ON. Wählen Sie Speichern aus.Select Save.

    Transparent Data Encryption

Hinweis

Stellen Sie zum Anzeigen des Verschlüsselungsstatus über SSMS eine Verbindung mit der Datenbank her, und fragen Sie die Spalte encryption_state der Sicht sys.dm_database_encryption_keys ab.To view encryption status, connect to the database using SSMS and query the encryption_state column of the sys.dm_database_encryption_keys view. Der Zustand 3 gibt an, dass die Datenbank verschlüsselt ist.A state of 3 indicates the database is encrypted.

Nächste SchritteNext steps

In diesem Tutorial haben Sie gelernt, wie Sie mit wenigen einfachen Schritten die Sicherheit Ihrer Datenbank verbessern.In this tutorial, you've learned to improve the security of your database with just a few simple steps. Es wurde Folgendes vermittelt:You learned how to:

  • Erstellen von Firewallregeln auf Server- und DatenbankebeneCreate server-level and database-level firewall rules
  • Konfigurieren eines Azure AD-Administrators (Azure Active Directory)Configure an Azure Active Directory (AD) administrator
  • Verwalten des Benutzerzugriffs mit SQL-Authentifizierung, Azure AD-Authentifizierung und sicheren VerbindungszeichenfolgenManage user access with SQL authentication, Azure AD authentication, and secure connection strings
  • Aktivieren von Sicherheitsfeatures (beispielsweise Advanced Data Security, Überwachung, Datenmaskierung und Verschlüsselung)Enable security features, such as advanced data security, auditing, data masking, and encryption

Im nächsten Tutorial erfahren Sie, wie Sie eine geografische Verteilung implementieren.Advance to the next tutorial to learn how to implement geo-distribution.