Datensicherheit bei Microsoft Azure SQL

Sicherheitsfunktionen in Azure SQL-Datenbanken

| Autor / Redakteur: Thomas LaRock / Peter Schmitz

Microsoft will Firmen bei der Datensicherheit helfen und seine Sicherheits­funktionen und Daten­sicherheits­tools in allen Editionen der Azure SQL-Datenbank verfügbar gemacht.
Microsoft will Firmen bei der Datensicherheit helfen und seine Sicherheits­funktionen und Daten­sicherheits­tools in allen Editionen der Azure SQL-Datenbank verfügbar gemacht. (Logo: Microsoft)

Daten sind die wichtigste Ressource von vielen Unternehmen. Microsoft will die Datensicherheit unter Azure SQL verbessern und bietet seit kurzem seine wichtigsten Datensicher­heits­tools als umfassendes Paket an: SQL Advanced Threat Protection (ATP) vereint Funktionen für Datenklassifizierung, Schwachstellen­prüfung und Bedrohungs­erkennung in einer zentralen Plattform.

Sicherheit und Datenschutz sind zu einem ständigen Gesprächsthema geworden. Immer neue Cyberangriffe und Datenschutzverletzungen lassen uns unfreiwillig aus erster Hand lernen, wie man Sicherheit – oder Sicherheitsvorfälle – nicht handhaben sollte. Für viele ist die Sicherheit ein Nebengedanke, der erst nach dem Entwickeln von Anwendungen und Datenbanken berücksichtigt wird. Immer wieder kommt die Funktionalität vor der Sicherheit.

Microsoft weiß, wie schwierig das Thema ist. In den letzten Jahren hat das Unternehmen viel Zeit und Mühe darauf verwendet, die Dinge zu vereinfachen. Der Umschwung wurde deutlich, als Microsoft seine Sicherheitsfunktionen in allen Editionen der Azure SQL-Datenbank verfügbar machte. Seit kurzem bietet Microsoft seine wichtigsten Datensicherheitstools als umfassendes Paket an: SQL Advanced Threat Protection (ATP) vereint Funktionen für Datenklassifizierung, Schwachstellenprüfung und Bedrohungserkennung in einer zentralen Plattform.

Für Sicherheit sollte man nicht draufzahlen müssen. Vielmehr sollte sie jederzeit problemlos verfügbar sein. Threat Detection-Bestandskunden werden automatisch zu dem neuen Angebot migriert, doch alle anderen Kunden müssen sich für den Service anmelden. Wer die Migration noch nicht durchgeführt hat, findet in diesem Artikel eine Übersicht über die Features und Funktionen der aktuellen Version: Microsoft Auditing & Threat Detection und Vulnerability Assessment. Die wichtigsten Funktionen betreffen Audits, die Bedrohungserkennung und die Sicherheitsrisikobewertung. Es wäre sehr zeitaufwändig oder kostspielig, diese Funktionen zu entwickeln oder zu kaufen, doch Microsoft integriert sie bereits in die Plattform. Nachfolgend eine Übersicht über die einzelnen Funktionen:

Auditing & Threat Detection

Auditing & Threat Detection kann entweder über logische Instanzen oder einzelne SQL-Datenbanken im Azure-Portal aufgerufen werden.
Auditing & Threat Detection kann entweder über logische Instanzen oder einzelne SQL-Datenbanken im Azure-Portal aufgerufen werden. (Bild: Microsoft)

Auditing & Threat Detection kann entweder über logische Instanzen oder einzelne SQL-Datenbanken im Azure-Portal aufgerufen werden. In diesem Beispiel wählen wir eine bestimmte SQL-Datenbank. Wählen Sie auf der linken Seite die Option „Auditing & Threat Detection“ aus.

Auf der nachfolgenden Seite werden unterschiedliche Optionen angezeigt. Oben auf der Seite werden Sie darüber informiert, dass sich die Servereinstellungen unabhängig von den Datenbankeinstellungen auf alle Datenbanken auswirken. Das bedeutet: Wenn Sie sowohl die SQL-Datenbank als auch den Server aktivieren, werden Ereignisse zweimal erfasst und somit auch doppelt gespeichert. Per Klick können Sie an dieser Stelle die Servereinstellungen einsehen.

Wenn Sie auf „Threat Detection Types“ klicken, wird ein neues Fenster geöffnet.
Wenn Sie auf „Threat Detection Types“ klicken, wird ein neues Fenster geöffnet. (Bild: Microsoft)

Es gibt zwei Situationen, in denen Sie „Auditing & Threat Detection“ sowohl auf Server- als auch auf Datenbankebene aktivieren sollten: Erstens, wenn Sie unterschiedliche Speicherkonten nutzen möchten oder müssen, und zweitens, wenn Sie die Datenbank auf etwas Bestimmtes überwachen möchten und diese Überwachung nicht auf der Serverebene (und somit für alle Datenbanken) erfolgen soll. Sie können die Einstellungen bei Bedarf für jede Datenbank anpassen. Wenn Sie auf „Threat Detection Types“ klicken, wird ein neues Fenster geöffnet:

Der letzte wichtige Punkt ist die E-Mail-Adresse. Warnungen zur Bedrohungserkennung können an eine hier aufgeführte E-Mail-Adresse gesendet werden. Es ist nicht nötig, eine Datenbank-E-Mail oder einen SMTP-Server zu konfigurieren oder ein eigenes Erkennungssystem für die Einschleusung von SQL-Befehlen zu entwickeln. All das ist bereits im Azure-Dienst integriert.

Nach der Aktivierung von SQL-Audit erhalten Sie eine E-Mail, wenn Ihre Datenbank oder Webanwendung eine Bedrohung erkennt.
Nach der Aktivierung von SQL-Audit erhalten Sie eine E-Mail, wenn Ihre Datenbank oder Webanwendung eine Bedrohung erkennt. (Bild: Microsoft)

SQL Audit gehört zu den Funktionen der Earthed-Version von SQL Server. Das Auditing in Azure SQL-Datenbanken ist wesentlich einfacher zu implementieren, da die Bedrohungserkennung nur in Azure verfügbar ist. Nach der Aktivierung erhalten Sie eine E-Mail, wenn Ihre Datenbank oder Webanwendung eine Bedrohung erkennt:

Schwachstellenanalyse

Wechselt man zu Vulnerability Assessment und führt einen Scan durch, wird diese Übersichtsseite angezeigt.
Wechselt man zu Vulnerability Assessment und führt einen Scan durch, wird diese Übersichtsseite angezeigt. (Bild: Microsoft)

Microsoft kündigte Ende letzten Jahres eine Public Preview von Vulnerability Assessment auf der Microsoft Ignite an. Diese Funktion untersucht Ihre SQL-Datenbank anhand einer Baseline mit Regeln, um mögliche Sicherheitsschwachstellen aufzudecken. Sie finden Vulnerability Assessment (VA) auf der Hauptseite Ihrer SQL-Datenbank direkt unter „Auditing & Threat Detection“. Wenn Sie zu VA wechseln und einen Scan durchführen, wird folgende Seite angezeigt (siehe Bild).

Hier können Sie auf der Registerkarte mit den bestandenen Prüfungen („passed“) feststellen, wonach beim Schwachstellenscan gesucht wird. Anhand des obigen Screenshots können Sie erkennen, dass zwei Prüfungen nicht bestanden wurden. Sie können sehen, wie das jeweilige Risiko eingeschätzt wird, und ob eine Baseline festgelegt wurde.

Vulnerability Assessment ermöglicht außerdem eine schnelle Problembehandlung. Durch Klicken auf „Sensitive data columns should be identified“ wird ein Fenster mit spezifischen Spalten geöffnet.
Vulnerability Assessment ermöglicht außerdem eine schnelle Problembehandlung. Durch Klicken auf „Sensitive data columns should be identified“ wird ein Fenster mit spezifischen Spalten geöffnet. (Bild: Microsoft)

Mit VA können Sie einen Scan durchführen, entsprechende Ergebnisse erhalten und diese Ergebnisse als Baseline für zukünftige Scans festlegen. So erhalten Sie die nötige Flexibilität, um Ihre Baseline für bestimmte SQL-Datenbanken anzupassen.

VA ermöglicht außerdem eine schnelle Problembehandlung. Durch Klicken auf „Sensitive data columns should be identified“ wird ein Fenster mit spezifischen Spalten geöffnet (siehe Bild).

An dieser Stelle können Sie Funktionen wie die dynamische Datenmaskierung (DDM) nutzen und mit nur wenigen Klicks auf die Spalten anwenden.

VA ist nun für Azure- und SQL-Datenbanken sowie die herkömmlichen Earthed-Versionen von SQL Server über SQL Server Management Studio verfügbar.

Jahrelang stellten sich Pessimisten der Cloud-Nutzung entgegen, da sie die Sicherheit der Daten bei Cloud-Anbietern infrage stellten. Oft waren es dieselben Personen, die SA-Kennwörter unbedacht weitergaben oder Sicherheitspatches aufschoben, da „etwas schiefgehen könnte“. Was diese Personen vielleicht noch nicht mitbekommen haben: Microsoft Azure ist plötzlich zu einer der sichersten verfügbaren Cloud-Lösungen geworden. Wenn Sie sich selbst überzeugen wollen, können Sie einen Blick auf die lange Liste der Zertifizierungen im Microsoft Trust Center werfen.

Microsoft weiß, dass Daten die kritischste Ressource eines Unternehmens sind. Es wird Zeit, dass wir sie auch so behandeln.

Über den Autor: Thomas LaRock ist Head Geek bei SolarWinds.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45610311 / Head Geeks Speech)