Suchen

Darum lohnt sich ein Update auf die neue SQL-Server-Version Sicherheit in SQL Server 2019

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit SQL Server 2019 öffnet Microsoft seinen Datenbankserver noch weiter Richtung Big Data, Cloud, Linux und Container-Anbindung. Auch die Sicherheitsfunktionen werden erweitert, damit der Einsatz des Servers auch in Zukunft auf sicheren Füßen steht.

Firmen zum Thema

Der neue SQL Server 2019 von Microsoft bietet einige zusätzliche Sicherheitsfunktionen und eine verbesserte Verschlüsselung.
Der neue SQL Server 2019 von Microsoft bietet einige zusätzliche Sicherheitsfunktionen und eine verbesserte Verschlüsselung.
(Bild: gemeinfrei / Pixabay )

Mit SQL Server 2019 optimiert Microsoft die verschiedenen Verschlüsselungstechnologien im Datenbankserver und macht diese leichter bedienbar. Dazu kommt die Erweiterung der Standard-Edition von SQL Server 2019 um zusätzliche Sicherheitsfunktionen. Daher kann es durchaus sinnvoll sein von einer älteren SQL-Server-Version zu SQL Server 2019 zu wechseln.

In der Standard Edition sind auch Funktionen wie Zeilen- / Spaltenbasierte Verschlüsselung und Always Encrypted mit Secure Enclaves verfügbar. Das gilt auch für die dynamische Datenmaskierung und die Überwachungsfunktionen des Servers. Es gibt nahezu keine Sicherheitsfunktionen in SQL Server 2019 Enterprise, die nicht auch in der Standard-Edition verfügbar sind. Während die Standard-Edition bereits für etwa 700 Euro verfügbar ist, kostet die Enterprise-Edition ein Vielfaches.

Bildergalerie

Bildergalerie mit 7 Bildern

Durch den Einsatz der Standard-Edition erhalten Unternehmen jetzt Sicherheitsfunktionen, die bisher nur der Enterprise-Edition vorbehalten waren. Vor allem Angesichts der Tatsache, dass Unternehmen auch auf die DSGVO achten müssen, um ihre Daten zu speichern, sollten sich Unternehmen mit der Aktualisierung zu SQL Server 2019 befassen, schon alleine aus dem Grund, um SQL Server in der Standard-Edition besser absichern zu können.

Neben den Sicherheitsfunktionen des Datenbankservers sollten auch Sicherheitseinstellungen für das Betriebssystem beachtet werden. Hier kann es zum Beispiel sinnvoll sein SQL Server 2019 auf Core-Servern zu installieren. Dadurch werden Sicherheitslücken deutlich verringert, ohne die Funktionen des Servers einzuschränken.

Verbesserte Datenbankverschlüsselung in SQL Server 2019

Vor allem das Thema Verschlüsselung spielt in SQL Server 2019 eine wichtige Rolle. Mit der transparenten Datenbankverschlüsselung (Transparent Database Encryption, TDE) lassen sich Daten im laufenden Betrieb verschlüsseln, bevor sie auf die Festplatte geschrieben werden. Diese Funktionen sind schon seit SQL Server 2008 integriert, ermöglichen in SQL Server 2019 aber pausieren und fortführen der Verschlüsselung, um den Server zu entlasten. Außerdem ist die Technologie jetzt auch in der Standard Edition von SQL Server 2019 enthalten. Dadurch lassen sich jetzt auch Datendateien, Log-Dateien und Backups in SQL Server 2019 Standard sicherer speichern.

Die transparente Datenverschlüsselung (TDE) kann beim ersten Erstellen einer Datenbank eingerichtet, oder auf eine bestehende Datenbank angewendet werden. TDE wird nach der Aktivierung so eingestellt, dass sie im Hintergrund die Daten verschlüsselt. Die Einrichtung ist generell recht einfach. Zuerst muss ein Database Master Key (DMK) in der Master-Datenbank erstellt und ein Zertifikat vorhanden sein, das von TDE verwendet wird:

USE MASTER;CREATE MASTER KEYENCRYPTION BY PASSWORD = ‘SicheresKennwort456’;CREATE CERTIFICATE TDECert WITH SUBJECT = ‘Zertifikat für TDE’;Das Zertifikat kann auch gesichert werden, damit auf die verschlüsselten Daten zugegriffen werden kann. Eine Sicherungskopie ist in jedem Fall sinnvoll: BACKUP CERTIFICATE TDECert TO FILE = 'C:\Software\TDECert' WITH PRIVATE KEY ( FILE = 'C:\software\TDECert_PrivateKey', ENCRYPTION BY PASSWORD = 'SicheresKennwort456');

Anschließend wird in der Datenbank, die mit TDE verschlüsselt werden soll, ein Datenbank-Verschlüsselungsschlüssel (DEK) erstellt und das Zertifikat angegeben:

USE Einkauf;CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256ENCRYPTION BY SERVER CERTIFICATE TDECert;Danach wird die Verschlüsselung aktiviert:ALTER DATABASE TestTDE SET ENCRYPTION ON;

Bildergalerie

Bildergalerie mit 7 Bildern

Always Encrypted mit Secure Enclaves

Die Option „Always Encrypted“ schützt sensible Daten vor Malware und nicht autorisierten Benutzern. Diese Funktion ist auch in SQL Server 2017 verfügbar. Mit dieser Funktion lassen sich Datenbanken auch vor dem Zugriff von Administratoren schützen. Diese dürfen die Datenbank zwar verwalten und natürlich auch den Datenbank-Server, haben selbst aber keinerlei Zugriff auf die Daten in den Datenbanken.

Always Encrypted in SQL Server 2019 schützt Daten indem diese bereits auf der Client-Seite verschlüsselt werden. Die Daten werden also dauerhaft verschlüsselt gesendet. Das hat allerdings den Nachteil, dass nur wenige Operationen mit den Daten durchgeführt werden können. Dadurch wird der Nutzen dieser Art der Verschlüsselung in der Pracis stark eingeschränkt.

Always Encrypted mit Secure Enclaves soll dieses Problem beseitigen, in dem Berechnungen auf in einer sicheren Enklave auf der Server-Seite möglich sind. Enklaven sind geschützte Speicherbereiche in einem SQL Server-Prozess und erscheinen als Black Box für den Rest des SQL Servers. Es gibt keine Möglichkeit, Daten oder Code innerhalb einer Enklave von außen einzusehen. Microsoft beschreibt die Einrichtung auf der Seite „Always Encrypted with secure enclaves“.

(ID:46500987)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist