Darum lohnt sich ein Update auf die neue SQL-Server-Version

Sicherheit in SQL Server 2019

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Der neue SQL Server 2019 von Microsoft bietet einige zusätzliche Sicherheitsfunktionen und eine verbesserte Verschlüsselung.
Der neue SQL Server 2019 von Microsoft bietet einige zusätzliche Sicherheitsfunktionen und eine verbesserte Verschlüsselung. (Bild: gemeinfrei / Pixabay)

Mit SQL Server 2019 öffnet Microsoft seinen Datenbankserver noch weiter Richtung Big Data, Cloud, Linux und Container-Anbindung. Auch die Sicherheitsfunktionen werden erweitert, damit der Einsatz des Servers auch in Zukunft auf sicheren Füßen steht.

Mit SQL Server 2019 optimiert Microsoft die verschiedenen Verschlüsselungstechnologien im Datenbankserver und macht diese leichter bedienbar. Dazu kommt die Erweiterung der Standard-Edition von SQL Server 2019 um zusätzliche Sicherheitsfunktionen. Daher kann es durchaus sinnvoll sein von einer älteren SQL-Server-Version zu SQL Server 2019 zu wechseln.

In der Standard Edition sind auch Funktionen wie Zeilen- / Spaltenbasierte Verschlüsselung und Always Encrypted mit Secure Enclaves verfügbar. Das gilt auch für die dynamische Datenmaskierung und die Überwachungsfunktionen des Servers. Es gibt nahezu keine Sicherheitsfunktionen in SQL Server 2019 Enterprise, die nicht auch in der Standard-Edition verfügbar sind. Während die Standard-Edition bereits für etwa 700 Euro verfügbar ist, kostet die Enterprise-Edition ein Vielfaches.

Durch den Einsatz der Standard-Edition erhalten Unternehmen jetzt Sicherheitsfunktionen, die bisher nur der Enterprise-Edition vorbehalten waren. Vor allem Angesichts der Tatsache, dass Unternehmen auch auf die DSGVO achten müssen, um ihre Daten zu speichern, sollten sich Unternehmen mit der Aktualisierung zu SQL Server 2019 befassen, schon alleine aus dem Grund, um SQL Server in der Standard-Edition besser absichern zu können.

Neben den Sicherheitsfunktionen des Datenbankservers sollten auch Sicherheitseinstellungen für das Betriebssystem beachtet werden. Hier kann es zum Beispiel sinnvoll sein SQL Server 2019 auf Core-Servern zu installieren. Dadurch werden Sicherheitslücken deutlich verringert, ohne die Funktionen des Servers einzuschränken.

Verbesserte Datenbankverschlüsselung in SQL Server 2019

Vor allem das Thema Verschlüsselung spielt in SQL Server 2019 eine wichtige Rolle. Mit der transparenten Datenbankverschlüsselung (Transparent Database Encryption, TDE) lassen sich Daten im laufenden Betrieb verschlüsseln, bevor sie auf die Festplatte geschrieben werden. Diese Funktionen sind schon seit SQL Server 2008 integriert, ermöglichen in SQL Server 2019 aber pausieren und fortführen der Verschlüsselung, um den Server zu entlasten. Außerdem ist die Technologie jetzt auch in der Standard Edition von SQL Server 2019 enthalten. Dadurch lassen sich jetzt auch Datendateien, Log-Dateien und Backups in SQL Server 2019 Standard sicherer speichern.

Vollgar-Botnetz greift MS-SQL-Server an

Krypto-Miner-Attacke

Vollgar-Botnetz greift MS-SQL-Server an

02.04.20 - Ein neues Botnetz greift Windows-Computer durch Brute-Force-Angriffe auf den MS-SQL-Dienst an. Das haben die Sicherheitsexperten von Guardicore entdeckt. Nach erfolgreicher Infektion nutzen die Angreifer sowohl RAT-Module (Remote Administration Tools, RAT) als auch Krypto-Miner. lesen

Die transparente Datenverschlüsselung (TDE) kann beim ersten Erstellen einer Datenbank eingerichtet, oder auf eine bestehende Datenbank angewendet werden. TDE wird nach der Aktivierung so eingestellt, dass sie im Hintergrund die Daten verschlüsselt. Die Einrichtung ist generell recht einfach. Zuerst muss ein Database Master Key (DMK) in der Master-Datenbank erstellt und ein Zertifikat vorhanden sein, das von TDE verwendet wird:

USE MASTER;

CREATE MASTER KEY

ENCRYPTION BY PASSWORD = ‘SicheresKennwort456’;

CREATE CERTIFICATE TDECert

WITH SUBJECT = ‘Zertifikat für TDE’;

Das Zertifikat kann auch gesichert werden, damit auf die verschlüsselten Daten zugegriffen werden kann. Eine Sicherungskopie ist in jedem Fall sinnvoll:

BACKUP CERTIFICATE TDECert

TO FILE = 'C:\Software\TDECert'

WITH PRIVATE KEY

(

FILE = 'C:\software\TDECert_PrivateKey',

ENCRYPTION BY PASSWORD = 'SicheresKennwort456'

);

Anschließend wird in der Datenbank, die mit TDE verschlüsselt werden soll, ein Datenbank-Verschlüsselungsschlüssel (DEK) erstellt und das Zertifikat angegeben:

USE Einkauf;

CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256

ENCRYPTION BY SERVER CERTIFICATE TDECert;

Danach wird die Verschlüsselung aktiviert:

ALTER DATABASE TestTDE SET ENCRYPTION ON;

Always Encrypted mit Secure Enclaves

Die Option „Always Encrypted“ schützt sensible Daten vor Malware und nicht autorisierten Benutzern. Diese Funktion ist auch in SQL Server 2017 verfügbar. Mit dieser Funktion lassen sich Datenbanken auch vor dem Zugriff von Administratoren schützen. Diese dürfen die Datenbank zwar verwalten und natürlich auch den Datenbank-Server, haben selbst aber keinerlei Zugriff auf die Daten in den Datenbanken.

Always Encrypted in SQL Server 2019 schützt Daten indem diese bereits auf der Client-Seite verschlüsselt werden. Die Daten werden also dauerhaft verschlüsselt gesendet. Das hat allerdings den Nachteil, dass nur wenige Operationen mit den Daten durchgeführt werden können. Dadurch wird der Nutzen dieser Art der Verschlüsselung in der Pracis stark eingeschränkt.

Always Encrypted mit Secure Enclaves soll dieses Problem beseitigen, in dem Berechnungen auf in einer sicheren Enklave auf der Server-Seite möglich sind. Enklaven sind geschützte Speicherbereiche in einem SQL Server-Prozess und erscheinen als Black Box für den Rest des SQL Servers. Es gibt keine Möglichkeit, Daten oder Code innerhalb einer Enklave von außen einzusehen. Microsoft beschreibt die Einrichtung auf der Seite „Always Encrypted with secure enclaves“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46500987 / Datenbanken)