Mit dem Dienst zur SQL-Sicherheitsrisikobewertung können Sie Datenbankschwachstellen erkennen.SQL Vulnerability Assessment service helps you identify database vulnerabilities

Die SQL-Sicherheitsrisikobewertung ist ein einfach zu konfigurierender Dienst, mit dem potenzielle Schwachstellen in der Datenbank ermittelt, nachverfolgt und behoben werden können.SQL Vulnerability Assessment is an easy to configure service that can discover, track, and help you remediate potential database vulnerabilities. Verwenden Sie diese, um Ihre Datenbanksicherheit proaktiv zu verbessern.Use it to proactively improve your database security.

Die Sicherheitsrisikobewertung ist Bestandteil des Angebots Advanced Data Security (ADS). Dabei handelt es sich um ein vereinheitlichtes Paket für erweiterte SQL-Sicherheitsfunktionen.Vulnerability Assessment is part of the advanced data security (ADS) offering, which is a unified package for advanced SQL security capabilities. Der Zugriff auf die Sicherheitsrisikobewertung und ihre Verwaltung sind über das zentrale SQL ADS-Portal möglich.Vulnerability Assessment can be accessed and managed via the central SQL ADS portal.

Hinweis

Die Sicherheitsrisikobewertung wird für Azure SQL-Datenbank, verwaltete Azure SQL-Datenbank-Instanz und Azure SQL Data Warehouse unterstützt.Vulnerability Assessment is supported for Azure SQL Database, Azure SQL Managed Instance and Azure SQL Data Warehouse. Der Einfachheit halber wird in diesem Artikel der Begriff „SQL-Datenbank“ verwendet, wenn auf einen dieser verwalteten Datenbankdienste Bezug genommen wird.For simplicity, SQL Database is used in this article when referring to any of these managed database services.

Dienst zur SicherheitsrisikobewertungThe Vulnerability Assessment service

Die SQL-Sicherheitsrisikobewertung ist ein Dienst, der Einblicke in Ihren Sicherheitsstatus bietet, umsetzbare Schritte zum Beheben von Sicherheitsproblemen enthält und Ihre Datenbanksicherheit verbessert.SQL Vulnerability Assessment (VA) is a service that provides visibility into your security state, and includes actionable steps to resolve security issues, and enhance your database security. Dieser kann Ihnen bei Folgendem helfen:It can help you:

  • Erfüllen der Konformitätsanforderungen, die die Berichte für die Datenbanküberprüfung erfordernMeet compliance requirements that require database scan reports.
  • Erfüllen der DatenschutzstandardsMeet data privacy standards.
  • Überwachen einer dynamischen Datenbankumgebung, bei der Änderungen schwer nachzuverfolgen sind.Monitor a dynamic database environment where changes are difficult to track.

Die Sicherheitsrisikobewertung ist ein Überprüfungsdienst, der in den Azure SQL-Datenbank-Dienst integriert ist.Vulnerability Assessment is a scanning service built into the Azure SQL Database service. Der Dienst verwendet eine Wissensdatenbank, die aus Regeln besteht, die Sicherheitsrisiken kennzeichnen und Abweichungen von bewährten Methoden hervorheben, z.B. Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten.The service employs a knowledge base of rules that flag security vulnerabilities and highlight deviations from best practices, such as misconfigurations, excessive permissions, and unprotected sensitive data. Die Regeln basieren auf bewährten Methoden von Microsoft und konzentrieren sich auf die Sicherheitsprobleme, die das größte Risiko für Ihre Datenbank und deren wertvolle Daten darstellt.The rules are based on Microsoft’s best practices and focus on the security issues that present the biggest risks to your database and its valuable data. Sie betreffen sowohl Probleme auf Datenbankebene als auch Sicherheitsprobleme auf Serverebene wie Server-Firewalleinstellungen und Berechtigungen auf Serverebene.They cover both database-level issues as well as server-level security issues, like server firewall settings and server-level permissions. Diese Regeln stellen darüber hinaus viele der Anforderung von Regulierungsbehörden dar, um deren Konformitätsstandards zu erfüllen.These rules also represent many of the requirements from various regulatory bodies to meet their compliance standards.

Die Ergebnisse der Überprüfung enthalten umsetzbare Schritte, um jedes Problem zu beheben und stellen gegebenenfalls benutzerdefinierte Wiederherstellungsskripts bereit.Results of the scan include actionable steps to resolve each issue and provide customized remediation scripts where applicable. Ein Bewertungsbericht kann für Ihre Umgebung angepasst werden, indem eine akzeptable Baseline für Berechtigungskonfigurationen, Featurekonfigurationen und Datenbankeinstellungen festgelegt wird.An assessment report can be customized for your environment by setting an acceptable baseline for permission configurations, feature configurations, and database settings.

Implementieren der SicherheitsrisikobewertungImplementing Vulnerability Assessment

Die folgenden Schritte implementieren die Sicherheitsrisikobewertung in SQL-Datenbank.The following steps implement VA on SQL Database.

1. Ausführen eines Scans1. Run a scan

Aktivieren Sie die Sicherheitsrisikobewertung, indem Sie im Azure SQL-Datenbank-Bereich unter der Überschrift „Sicherheit“ zu Advanced Data Security navigieren.Get started with VA by navigating to Advanced Data Security under the Security heading in your Azure SQL Database pane. Aktivieren Sie Advanced Data Security durch Klicken, und klicken Sie dann auf Speicher auswählen oder auf die Karte Sicherheitsrisikobewertung. Dadurch wird die Karte „Einstellungen für Sicherheitsrisikobewertung“ für den gesamten SQL-Server automatisch geöffnet.Click to enable advanced data security, and then click on Select Storage or on the Vulnerability Assessment card, which automatically opens the Vulnerability Assessment settings card for the entire SQL server.

Konfigurieren Sie zunächst ein Speicherkonto, in dem Ihre Überprüfungsergebnisse für alle Datenbanken auf dem Server gespeichert werden.Start by configuring a storage account where your scan results for all databases on the server will be stored. Weitere Informationen zu Speicherkonten finden Sie unter Informationen zu Azure-Speicherkonten.For information about storage accounts, see About Azure storage accounts. Sobald der Speicher konfiguriert ist, klicken Sie auf Überprüfen, um Ihre Datenbank auf Sicherheitsrisiken zu überprüfen.Once storage is configured, click Scan to scan your database for vulnerabilities.

Überprüfen einer Datenbank

Hinweis

Die Überprüfung ist einfach und sicher.The scan is lightweight and safe. Die Ausführung dauert einige Sekunden und ist schreibgeschützt.It takes a few seconds to run, and is entirely read-only. Es werden keine Änderungen an Ihrer Datenbank vorgenommen.It does not make any changes to your database.

2. Anzeigen des Berichts2. View the report

Wenn die Überprüfung abgeschlossen ist, wird Ihr Überprüfungsbericht automatisch im Azure-Portal angezeigt.When your scan is complete, your scan report is automatically displayed in the Azure portal. Der Bericht bietet eine Übersicht über Ihren Sicherheitsstatus, wie viele Probleme gefunden wurden und deren jeweiligen Schweregrad.The report presents an overview of your security state: how many issues were found and their respective severities. Die Ergebnisse schließen Warnungen zu Abweichungen von bewährten Methoden sowie eine Momentaufnahme Ihrer sicherheitsbezogenen Einstellungen ein, z.B. Datenbankprinzipale und Rollen mit ihren zugehörigen Berechtigungen. Der Überprüfungsbericht bietet außerdem eine Übersicht über erkannte sensible Daten in Ihrer Datenbank und Empfehlungen zur Klassifizierung dieser Daten mithilfe von Datenermittlung und -klassifizierung.Results include warnings on deviations from best practices and a snapshot of your security-related settings, such as database principals and roles and their associated permissions.The scan report also provides a map of sensitive data discovered in your database, and includes recommendations to classify that data using data discovery & classification.

Anzeigen des Berichts

3. Analysieren der Berichte und Beheben von Problemen3. Analyze the results and resolve issues

Überprüfen Sie Ihre Ergebnisse, und ermitteln Sie, bei welchen Ergebnissen im Bericht es sich um tatsächliche Sicherheitsprobleme in Ihrer Umgebung handelt.Review your results and determine the findings in the report that are true security issues in your environment. Führen Sie einen Drilldown für jedes fehlerhafte Ergebnis aus, um die Auswirkung des Ergebnisses und die Gründe für die Fehler bei den Sicherheitsüberprüfungen nachvollziehen zu können.Drill down to each failed result to understand the impact of the finding and why each security check failed. Verwenden Sie die umsetzbaren Wiederherstellungsinformationen, die vom Bericht bereitgestellt werden, um das Problem zu beheben.Use the actionable remediation information provided by the report to resolve the issue.

Analysieren des Berichts

4. Festlegen Ihrer Baseline4. Set your baseline

Wenn Sie Ihre Bewertungsergebnisse überprüfen, können Sie bestimmte Ergebnisse als akzeptable Baseline für Ihre Umgebung markieren.As you review your assessment results, you can mark specific results as being an acceptable Baseline in your environment. Die Baseline ist im Wesentlichen eine Einstellung, wie die Ergebnisse gemeldet werden.The baseline is essentially a customization of how the results are reported. Ergebnisse, die mit der Baseline übereinstimmen, werden in nachfolgenden Überprüfungen als „akzeptiert“ angesehen.Results that match the baseline are considered as passing in subsequent scans. Sobald Sie den Sicherheitsstatus Ihrer Baseline festgelegt haben, berichtet die Sicherheitsrisikobewertung nur über Abweichungen von der Baseline, und Sie können sich auf die relevanten Probleme konzentrieren.Once you have established your baseline security state, VA only reports on deviations from the baseline and you can focus your attention on the relevant issues.

Festlegen Ihrer Baseline

5. Ausführen eines neuen Scans, um Ihren benutzerdefinierten Nachverfolgungsbericht anzuzeigen5. Run a new scan to see your customized tracking report

Nachdem Sie die Einrichtung der Baselines für Ihre Regeln abgeschlossen haben, führen Sie eine neue Überprüfung aus, um den benutzerdefinierten Bericht anzuzeigen.After you complete setting up your Rule Baselines, run a new scan to view the customized report. Die Sicherheitsrisikobewertung meldet nun nur die Sicherheitsprobleme, die von Ihrem genehmigten Baselinestatus abweichen.VA now reports only the security issues that deviate from your approved baseline state.

Anzeige des benutzerdefinierten Berichts

Die Sicherheitsrisikobewertung kann nun verwendet werden, um zu überwachen, dass Ihre Datenbank jederzeit über ein hohes Maß an Sicherheit verfügt und dass die Organisationsrichtlinien erfüllt werden.Vulnerability Assessment can now be used to monitor that your database maintains a high level of security at all times, and that your organizational policies are met. Wenn Konformitätsberichte erforderlich sind, können die Berichte der Sicherheitsrisikobewertung nützlich sein, um den Konformitätsvorgang zu erleichtern.If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

6. Einrichten von regelmäßig wiederkehrenden Überprüfungen6. Set up periodic recurring scans

Navigieren Sie zu den Einstellungen der Sicherheitsrisikobewertung, um Regelmäßig wiederkehrende Überprüfungen zu aktivieren.Navigate to the Vulnerability Assessment settings to turn on Periodic recurring scans. Dadurch wird die Sicherheitsrisikobewertung dafür konfiguriert, automatisch einmal pro Woche eine Überprüfung der Datenbank auszuführen.This configures Vulnerability Assessment to automatically run a scan on your database once per week. Eine Zusammenfassung der Scanergebnisse wird an die angegebenen E-Mail-Adressen gesendet.A scan result summary will be sent to the email address(es) you provide.

Anzeige des benutzerdefinierten Berichts

7. Exportieren eines Bewertungsberichts7. Export an assessment report

Klicken Sie auf Überprüfungsergebnisse exportieren, um einen herunterladbaren Excel-Bericht der Überprüfungsergebnisse zu erstellen.Click Export Scan Results to create a downloadable Excel report of your scan result. Dieser Bericht enthält eine Registerkarte, die eine Zusammenfassung der Bewertung enthält, einschließlich aller fehlerhaften Überprüfungen.This report contains a summary tab that displays a summary of the assessment, including all failed checks. Er enthält auch eine Registerkarte Ergebnisse mit den vollständigen Ergebnissen der Überprüfung, einschließlich aller Überprüfungen, die ausgeführt wurden, und der jeweiligen Ergebnisdetails.It also includes a Results tab containing the full set of results from the scan, including all checks that were run and the result details for each.

8. Anzeigen des Überprüfungsverlaufs8. View scan history

Klicken Sie auf Überprüfungsverlauf im Bereich der Sicherheitsrisikobewertung, um einen Verlauf aller zuvor für diese Datenbank ausgeführten Überprüfungen anzuzeigen.Click Scan History in the VA pane to view a history of all scans previously run on this database. Wählen Sie eine bestimmte Überprüfung in der Liste aus, um die ausführlichen Ergebnisse dieser Überprüfung anzuzeigen.Select a particular scan in the list to view the detailed results of that scan.

Die Sicherheitsrisikobewertung kann nun verwendet werden, um zu überwachen, dass Ihre Datenbank jederzeit über ein hohes Maß an Sicherheit verfügt und dass die Organisationsrichtlinien erfüllt werden.Vulnerability Assessment can now be used to monitor that your database maintains a high level of security at all times, and that your organizational policies are met. Wenn Konformitätsberichte erforderlich sind, können die Berichte der Sicherheitsrisikobewertung nützlich sein, um den Konformitätsvorgang zu erleichtern.If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

Verwalten der Sicherheitsrisikobewertungen mithilfe von Azure PowerShellManage Vulnerability Assessments using Azure PowerShell

Hinweis

Dieser Artikel wurde aktualisiert und beinhaltet jetzt das neue Az-Modul von Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Sie können das AzureRM-Modul weiterhin verwenden, das bis mindestens Dezember 2020 weiterhin Fehlerbehebungen erhält.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Weitere Informationen zum neuen Az-Modul und zur Kompatibilität mit AzureRM finden Sie unter Introducing the new Azure PowerShell Az module (Einführung in das neue Az-Modul von Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Anweisungen zur Installation des Az-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).For Az module installation instructions, see Install Azure PowerShell.

Wichtig

Das PowerShell Azure Resource Manager-Modul wird von der Azure SQL-Datenbank weiterhin unterstützt, aber alle zukünftigen Entwicklungen erfolgen für das Az.Sql-Modul.The PowerShell Azure Resource Manager module is still supported by Azure SQL Database, but all future development is for the Az.Sql module. Informationen zu diesen Cmdlets finden Sie unter AzureRM.Sql.For these cmdlets, see AzureRM.Sql. Die Argumente für die Befehle im Az- und den AzureRm-Modulen sind im Wesentlichen identisch.The arguments for the commands in the Az module and in the AzureRm modules are substantially identical.

Sie können die Azure PowerShell-Cmdlets verwenden, um Ihre Sicherheitsrisikobewertungen programmgesteuert zu verwalten.You can use Azure PowerShell cmdlets to programmatically manage your vulnerability assessments. Die unterstützten Cmdlets sind die folgenden:The supported cmdlets are:

Ein Skriptbeispiel finden Sie im Blogbeitrag Azure SQL Vulnerability Assessment PowerShell support (SQL-Sicherheitsrisikobewertung: Unterstützung für PowerShell).For a script example, see Azure SQL Vulnerability Assessment PowerShell support.

Nächste SchritteNext steps