Sicherheit für SQL Server-Datenbank-Engine und Azure SQL-Datenbank

Artikel
07/15/2024

Gilt für: SQL Server Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics Analytics Platform System (PDW)

Diese Seite enthält Links, mit deren Hilfe Sie die erforderlichen Informationen zur Sicherheit und zum Schutz in SQL Server-Datenbank-Engine und Azure SQL-Datenbank finden.

Legende

Screenshot: Legende zur Erklärung der Featureverfügbarkeitssymbole

Authentifizierung: Wer sind Sie?

Funktion	Verknüpfung
Wer authentifiziert? Windows-Authentifizierung SQL Server-Authentifizierung Microsoft Entra ID (früher Azure Active Directory)	Wer authentifiziert? (Windows oder SQL Server) Auswählen eines Authentifizierungsmodus Herstellen einer Verbindung mit Azure SQL mit Microsoft Entra-Authentifizierung
Wo authentifiziert? In der Masterdatenbank: Anmeldenamen und Datenbankbenutzer In der Benutzerdatenbank: Eigenständige Datenbankbenutzer	Authentifizierung bei der Masterdatenbank (Anmeldenamen und Datenbankbenutzer) Erstellen eines SQL Server-Anmeldenamens Verwalten von Datenbanken und Anmeldungen in Azure SQL-Datenbank Erstellen eines Datenbankbenutzers Authentifizierung bei einer Benutzerdatenbank Eigenständige Datenbankbenutzer – Generieren einer portablen Datenbank
Verwenden anderer Identitäten Anmeldeinformationen Ausführen unter anderem Anmeldenamen Ausführen als anderer Datenbankbenutzer	Anmeldeinformationen (Datenbank-Engine) Ausführen unter anderem Anmeldenamen Ausführen als anderer Datenbankbenutzer

Autorisierung: Was können Sie tun?

Funktion	Verknüpfung
Gewährung, Widerrufen und Verweigern von Berechtigungen Sicherungsfähige Klassen Granulare Serverberechtigungen Granulare Datenbankberechtigungen	Berechtigungshierarchie (Datenbank-Engine) Berechtigungen Sicherungsfähige Elemente Erste Schritte mit Berechtigungen für die Datenbank-Engine
Sicherheit durch Rollen Rollen auf Serverebene Rollen auf Datenbankebene	Rollen auf Serverebene Rollen auf Datenbankebene
Einschränken des Datenzugriffs auf ausgewählte Datenelemente Einschränken des Datenzugriffs mit Ansichten/Verfahren Sicherheit auf Zeilenebene Dynamische Datenmaskierung Signierte Objekte	Einschränken des Datenzugriffs mit Ansichten und Verfahren Sicherheit auf Zeilenebene (SQL Server) Sicherheit auf Zeilenebene (Azure SQL-Datenbank) Dynamische Datenmaskierung (SQL Server) Dynamische Datenmaskierung (Azure SQL-Datenbank) Signierte Objekte

Verschlüsselung: Speichern geheimer Schlüssel

Funktion	Verknüpfung
Verschlüsseln von Dateien BitLocker-Verschlüsselung (Laufwerksebene) NTFS-Verschlüsselung (Ordnerebene) Transparent Data Encryption (Dateiebene) Sicherungsverschlüsselung (Dateiebene)	BitLocker (Laufwerksebene) NTFS-Verschlüsselung (Ordnerebene) Transparente Datenverschlüsselung (Dateiebene) Sicherungsverschlüsselung (Dateiebene)
Verschlüsseln von Quellen Erweiterbares Schlüsselverwaltungsmodul In Azure Key Vault gespeicherte Schlüssel Always Encrypted	Erweiterbares Schlüsselverwaltungsmodul Im Azure Schlüsseltresor gespeicherte Schlüssel Always Encrypted
Spalte, Daten und Schlüsselverschlüsselung Verschlüsseln durch Zertifikat Verschlüsseln mit symmetrischem Schlüssel Verschlüsseln mit asymmetrischem Schlüssel Verschlüsseln durch Passphrase	Verschlüsseln durch Zertifikat Verschlüsseln mit asymmetrischem Schlüssel Verschlüsseln mit symmetrischem Schlüssel Verschlüsseln durch Passphrase Verschlüsseln einer Datenspalte

Verbindungssicherheit: Einschränken und Schützen

Funktion	Verknüpfung
Firewallschutz Windows-Firewalleinstellungen Azure Service-Firewalleinstellungen Datenbank-Firewalleinstellungen	Konfigurieren einer Windows-Firewall für Datenbank-Engine-Zugriff Azure SQL-Datenbank-Firewalleinstellungen Azure Service-Firewalleinstellungen
Verschlüsseln von Daten in Transit Erzwungene SSL-Verbindungen Optionale SSL-Verbindungen	Aktivieren von verschlüsselten Verbindungen mit der Datenbank-Engine Aktivieren von verschlüsselten Verbindungen mit der Datenbank-Engine, Netzwerksicherheit TLS 1.2-Unterstützung für Microsoft SQL Server

Überwachung: Aufzeichnen des Zugriffs

Funktion	Verknüpfung
Automatisierte Überwachung SQL Server Überwachung (Server- und Datenbankebene) SQL-Datenbank-Überwachung (Datenbankebene) Erkennen von Bedrohungen	SQL Server Audit (Datenbank-Engine) SQL-Datenbanküberwachung Erste Schritte mit Advanced Threat Protection für Azure SQL-Datenbank Sicherheitsrisikobewertung mit der SQL-Datenbank
Benutzerdefinierte Überwachung -Trigger	Benutzerdefinierte Überwachungsimplementierung: Erstellen von DDL-Triggern und DML-Triggern
Konformität Compliance	SQL Server: Common Criteria SQL-Datenbank: Microsoft Azure Trust Center: Compliance nach Features

Einschleusung von SQL-Befehlen

Bei der Einschleusung von SQL-Befehlen wird ein bösartiger Code in Zeichenfolgen eingefügt, die später zur Analyse und Ausführung an Datenbank-Engine übergeben werden. Sie sollten jede Prozedur, die SQL-Anweisungen erstellt, nach Injection-Anfälligkeiten überprüfen, denn SQL Server führt alle empfangenen gültigen Abfragen aus. Alle Datenbanksysteme unterliegen einem gewissen Risiko für die Einschleusung von SQL-Befehlen, und viele der Sicherheitslücken entstehen in der Anwendung, die Datenbank-Engine abfragt. Sie können Angriffe, die das Ziel haben, SQL-Befehle einzuschleusen, abwehren, indem Sie gespeicherte Prozeduren und parametrisierte Befehle verwenden, dynamisches SQL vermeiden und die Berechtigungen aller Benutzer einschränken. Weitere Informationen finden Sie unter Einschleusung von SQL-Befehlen.

Zusätzliche Links für Anwendungsprogrammierer:

Weitere Informationen

Erste Schritte mit Berechtigungen für die Datenbank-Engine
Sichern von SQL Server
Prinzipale (Datenbank-Engine)
SQL Server-Zertifikate und asymmetrische Schlüssel
SQL Server-Verschlüsselung
Oberflächenkonfiguration
Sichere Kennwörter
TRUSTWORTHY-Datenbankeigenschaft
Datenbank-Engine-Funktionen und Tasks
Schutz Ihres geistigen SQL Server-Eigentums

Teilen über