SQL-Datenbanken sicher in Cloud bereitstellen 10 Tipps für mehr Sicherheit in Azure SQL

Von Thomas Joos

Microsoft stellt in Azure verschiedene Möglichkeiten zur Verfügung, um SQL-Datenbanken bereitzustellen. Eigene Hardware ist dafür nicht notwendig. Azure SQL profitiert von den Sicherheitsfunktionen in Azure, zum Beispiel die Netzwerksicherheitsgruppen.

Anbieter zum Thema

Mit diesen 10 Tipps lassen sich SQL-Datenbanken in Microsoft Azure sicher bereitstellen.
Mit diesen 10 Tipps lassen sich SQL-Datenbanken in Microsoft Azure sicher bereitstellen.
(© GOCMEN - stock.adobe.com)

Azure SQL kann über verschiedene Wege bereitgestellt werden. Unternehmen können virtuelle SQL-Computer betreiben, die genauso verwaltet werden wie lokale SQL-Server. Eine weitere Möglichkeit der Bereitstellung sind Azure SQL-Datenbanken, bei der Bereitstellung einer einzelnen Datenbank. Die verwalteten Azure SQL-Instanzen ermöglichen das Bereitstellen mehrerer Datenbanken, die komplett durch Azure verwaltet werden. Es ist hier nicht notwendig einen virtuellen SQL-Server selbst zu erstellen.

10 wichtige Tipps um SQL-Datenbanken sicher in Microsoft Azure bereitzustellen, zeigen wir im Video und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 14 Bildern

Tipp 1: Firewall-Regeln beim Erstellen einer SQL-Datenbank beachten

Wenn in Azure eine SQL-Datenbank erstellt wird, dann erstellt Azure automatisch Firewall-Regeln auf Server-Ebene, die Zugriffe blockiert. Wird ein Datenbankserver mit der Bezeichnung „joosdb01“ erstellt, dann ist dieser mit einem öffentlichen Endpunkt über „joosdb01.database.windows.net“ erreichbar. Die Regeln werden in der Master-Datenbank gespeichert.

Auf jedem Server können bis zu 128 IP-Firewall-Regeln hinterlegt werden. Für einen sicheren Betrieb sollten die Regeln für die Datenbank an die eigenen Anforderungen angepasst werden. Wie das geht ist auf der Seite „Azure SQL Database and Azure Synapse IP firewall rules“ zu lesen. Diese Regeln gelten allerdings nicht für Verwaltete SQL-Instanzen in Azure SQL.

Bereits beim Erstellen der Datenbank kann festgelegt werden, wie der externe Zugriff geregelt sein soll. Durch die Auswahl „Privater Endpunkt“ können IP-Adressen in einem virtuellen Netzwerk definiert werden. Hier sollten sich Administratoren Zeit nehmen, um genau zu steuern von welchen Computern und Netzwerken aus die Datenbank zugreifbar sein soll.

Tipp 2: Advanced Data Security und Advanced Threat Protection nutzen

Beim Erstellen einer SQL-Datenbank, aber auch danach, kann die Funktion Advanced Data Security (ADS) aktiviert werden. Der Dienst kann 30 Tage kostenlos getestet werden. ADS steht für Azure SQL-Datenbanken und für verwaltete SQL-Datenbanken (Azure SQL Managed Instance) zur Verfügung. Der Dienst kann heikle Daten, zum Beispiel personenbezogene Daten erkenn und schützen. Außerdem erkennt ADS Schwachstellen in SQL-Datenbanken und kann auf diese hinweisen. Advanced Threat Protection ist Bestandteil von ADS und erkennt Angriffe und unnormale Datenbankzugriffe.

Tipp 3: Dynamische Datenmaskierung nutzen

Die dynamische Datenmaskierung kann bestimmte Daten in Tabellen vor nicht berechtigten Anwendern maskieren. Das verhindert, dass unberechtigte Anwender Daten auslesen können, zum Beispiel Kreditkartennummern. Diese lassen sich so verstecken, dass Anwendungen zwar auf die Daten zugreifen können, diese aber nicht anzeigen. Für personenbezogene Daten ist dieser Schutz ideal.

Tipp 4: Transparent Data Encryption nutzen

Mit Transparent Data Encryption werden Datenbanken verschlüsselt, inklusive von Sicherungen und Transaktionsprotokollen. TDE wird für neue Datenbanken automatisch aktiviert. Es sollte aber überprüft werden, ob die Funktion auch dauerhaft aktiv ist und nicht versehentlich oder durch einen Angreifer deaktiviert wurde. Die Verschlüsselungs- und Entschlüsselungsvorgänge laufen direkt in Azure ab.

10 wichtige Tipps um SQL-Datenbanken sicher in Microsoft Azure bereitzustellen, zeigen wir im Video und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 14 Bildern

Tipp 5: Sicherheitsrisikobewertung durchführen

Wenn die 30 Tage-Testversion von Advanced Data Security aktiviert wurde, kann im Bereich „Sicherheit\Advanced Data Security“ eine Sicherheitsüberprüfung durchgeführt werden. Hier werden auch Sicherheitsprobleme angezeigt. Wenn hier Sicherheitsgefahren auffallen, kann durch einen Klick auf eine Meldung eine Information angezeigt werden, wie das Problem gelöst werden kann.

Tipp 6: Firewall-Einstellungen nachträglich anpassen

Wenn eine Datenbank bereitgestellt ist, steht über den Menüpunkt „Übersicht“ in den Einstellungen der Firewall der Menüpunkt „Serverfirewall festlegen“ zur Verfügung. Hierüber können die IP-Adressen und Richtlinien definiert werden, auf deren Basis der Zugriff auf die Firewall erfolgen soll.

Tipp 7: Sicherheitsoptionen der Ressourcengruppe beachten

Azure SQL-Datenbanken sind einer Ressourcengruppe zugeordnet. Generell kann es sinnvoll sein einer Ressourcengruppe Richtlinien zuzuordnen, mit denen die Sicherheit der Ressourcen in der Gruppe sichergestellt werden. Wenn in einer Ressourcengruppe nur Azure SQL-Datenbanken integriert sind, kann über „Richtlinien“ eine Richtlinie mit Einstellungen konfiguriert werden, die speziell für Azure SQL-Datenbanken geeignet sind.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Tipp 8: SQL-Server für Azure SQL-Datenbank absichern

Wenn eine Azure SQL-Datenbank erstellt wird, dann erstellt Azure auch einen dazugehörigen SQL-Server dem die Datenbank zugewiesen wird. In den Einstellungen dieses Servers können ebenfalls Sicherheitseinstellungen definiert werden, die wiederum für die Datenbanken gelten, die diesem Server zugewiesen sind. Hier steht über „Sicherheit“ auch verschiedene Optionen zur Verfügung, die auch für die Datenbanken gesteuert werden können. Zusätzlich kann hier der Administrator der Datenbank konfiguriert werden. Auch die Hochverfügbarkeit und die Datensicherung wird hier konfiguriert.

10 wichtige Tipps um SQL-Datenbanken sicher in Microsoft Azure bereitzustellen, zeigen wir im Video und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 14 Bildern

Tipp 9: Speicherkonto absichern

Zu einer Azure SQL-Datenbank gehört ein dazugehöriges Speicherkonto. Dieses wird in der gleichen Ressourcengruppe angelegt, in der auch der Datenbank-Server und die Datenbank selbst positioniert sind. Auch hier stehen verschiedene Sicherheitsoptionen zur Verfügung, mit denen auch die Sicherheit verbessert wird. Hier finden sich bei „Datenschutz“, „Konfiguration“ und „Verschlüsselung“ einige Optionen, die nach dem Anlegen einer Azure SQL-Datenbank zumindest überprüft werden sollten.

Tipp 10: Azure Advisor überprüfen

Nach dem Anlegen einer neuen Ressource in Microsoft Azure sollte generell immer der Azure Advisor im Dashboard des Azure-Portals aufgerufen werden. Hier werden Überprüfungen durchgeführt, die auch die Sicherheit betreffen. Beim Erstellen einer neuen Azure SQL-Datenbank sind hier auch einige Optimierungen für Azure SQL-Datenbanken zu finden. Advisor blendet hier auch entsprechende Informationen ein.

(ID:47967070)