Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird eine Sammlung von bewährten Sicherheitsmethoden für Azure SQL-Datenbank und Azure Synapse Analytics erläutert, um Ihre PaaS-Web- und Mobilen Anwendungen (Platform-as-a-Service) zu sichern. Diese empfohlenen Vorgehensweisen sind aus unseren Erfahrungen mit Azure und den Erfahrungen von Kunden wie Ihnen abgeleitet.
Azure SQL-Datenbank und Azure Synapse Analytics bieten einen relationalen Datenbankdienst für Ihre internetbasierten Anwendungen. Sehen wir uns Dienste an, mit denen Sie Ihre Anwendungen und Daten schützen können, wenn Sie Azure SQL-Datenbank und Azure Synapse Analytics in einer PaaS-Bereitstellung verwenden:
- Microsoft Entra-Authentifizierung (anstelle der SQL Server-Authentifizierung)
- Azure SQL Firewall
- TDE (Transparent Data Encryption)
Verwenden eines zentralen Identitäts-Repositorys
Azure SQL-Datenbank kann für die Verwendung eines von zwei Authentifizierungstypen konfiguriert werden:
Die SQL-Authentifizierung verwendet einen Benutzernamen und ein Kennwort. Wenn Sie den Server für Ihre Datenbank erstellt haben, haben Sie einen "Serveradministrator"-Anmeldenamen und ein Kennwort angegeben. Mithilfe dieser Anmeldeinformationen können Sie sich bei jeder Datenbank auf diesem Server als Datenbankbesitzer authentifizieren.
Die Microsoft Entra-Authentifizierung verwendet Identitäten, die von der Microsoft Entra-ID verwaltet werden und für verwaltete und integrierte Domänen unterstützt werden. Um die Microsoft Entra-Authentifizierung zu verwenden, müssen Sie einen anderen Serveradministrator namens "Microsoft Entra admin" erstellen, der Microsoft Entra-Benutzer und -Gruppen verwalten darf. Dieser Administrator kann außerdem die gleichen Vorgänge wie ein regulärer Serveradministrator ausführen.
Die Microsoft Entra-Authentifizierung ist ein Mechanismus zum Herstellen einer Verbindung mit Azure SQL-Datenbank und Azure Synapse Analytics mithilfe von Identitäten in Microsoft Entra ID. Microsoft Entra ID bietet eine Alternative zur SQL Server-Authentifizierung, sodass Sie die Verbreitung von Benutzeridentitäten auf Datenbankservern beenden können. Mit der Microsoft Entra-Authentifizierung können Sie die Identitäten von Datenbankbenutzern und anderen Microsoft-Diensten zentral an einem zentralen Ort verwalten. Die zentrale ID-Verwaltung bietet eine zentrale Stelle zur Verwaltung von Datenbankbenutzern und vereinfacht die Berechtigungsverwaltung.
Vorteile der Verwendung von Microsoft Entra ID anstelle der SQL-Authentifizierung
- Über eine zentrale Stelle wird eine Kennwortrotation ermöglicht.
- Verwaltet Datenbankberechtigungen mithilfe externer Microsoft Entra-Gruppen.
- Verhindert das Speichern von Kennwörtern, indem integrierte Windows-Authentifizierung und andere Von Microsoft Entra ID unterstützte Authentifizierungsformen aktiviert werden.
- Eigenständige Datenbankbenutzer werden zum Authentifizieren von Identitäten auf Datenbankebene verwendet.
- Unterstützt die tokenbasierte Authentifizierung für Anwendungen, die eine Verbindung mit sql-Datenbank herstellen.
- Unterstützt den Domänenverbund mit Active Directory-Verbunddiensten (Active Directory Federation Services, ADFS) oder systemeigene Benutzer-/Kennwortauthentifizierung für eine lokale Microsoft Entra-ID ohne Domänensynchronisierung.
- Unterstützt Verbindungen von SQL Server Management Studio, die die universelle Active Directory-Authentifizierung verwenden, die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) enthält. MFA umfasst eine starke Authentifizierung mit einer Reihe einfacher Überprüfungsoptionen. Überprüfungsoptionen sind Telefonanrufe, Sms, Smartcards mit Pin oder Benachrichtigung für mobile Apps. Weitere Informationen finden Sie unter Universelle Authentifizierung mit SQL-Datenbank und Azure Synapse Analytics.
Weitere Informationen zur Microsoft Entra-Authentifizierung finden Sie unter:
- Verwenden der Microsoft Entra-Authentifizierung für die Authentifizierung mit SQL-Datenbank, verwalteter Instanz oder Azure Synapse Analytics
- Authentifizierung bei Azure Synapse Analytics
- Tokenbasierte Authentifizierungsunterstützung für Azure SQL-Datenbank mithilfe der Microsoft Entra-Authentifizierung
Hinweis
Um sicherzustellen, dass Die Microsoft Entra-ID für Ihre Umgebung geeignet ist, lesen Sie die Microsoft Entra-Features und -Einschränkungen.
Einschränken des Zugriffs basierend auf der IP-Adresse
Sie können Firewallregeln erstellen, die Bereiche zulässiger IP-Adressen angeben. Diese Regeln können sowohl auf server- als auch auf Datenbankebene ausgerichtet werden. Wir empfehlen die Verwendung von Firewallregeln auf Datenbankebene, wenn möglich, um die Sicherheit zu verbessern und Ihre Datenbank portierbarer zu machen. Firewallregeln auf Serverebene werden am besten für Administratoren verwendet, und wenn Sie über viele Datenbanken verfügen, die dieselben Zugriffsanforderungen haben, sie aber nicht mit der Konfiguration jeder Datenbank einzeln verbringen möchten.
Standardmäßige IP-Adresseneinschränkungen der SQL-Datenbank ermöglichen den Zugriff von jeder Azure-Adresse, einschließlich anderer Abonnements und Mandanten. Sie können dies einschränken, damit Ihre IP-Adressen nur auf die Instanz zugreifen können. Auch wenn Ihre SQL-Firewall- und IP-Adressbeschränkungen gelten, ist weiterhin eine starke Authentifizierung erforderlich. Siehe die Empfehlungen, die weiter oben in diesem Artikel gemacht wurden.
Weitere Informationen zu Azure SQL Firewall und IP-Einschränkungen finden Sie unter:
- Zugriffssteuerung für Azure SQL-Datenbank und Azure Synapse Analytics
- Firewallregeln für Azure SQL-Datenbank und Azure Synapse Analytics
Verschlüsselung ruhender Daten
Die transparente Datenverschlüsselung (TDE) ist standardmäßig aktiviert. TDE verschlüsselt SQL Server-, Azure SQL-Datenbank- und Azure Synapse Analytics-Daten und Protokolldateien transparent. TDE schützt vor einer Kompromittierung des direkten Zugriffs auf die Dateien oder deren Sicherung. Auf diese Weise können Sie ruhende Daten verschlüsseln, ohne vorhandene Anwendungen zu ändern. TDE sollte immer aktiviert bleiben; Dies verhindert jedoch nicht, dass ein Angreifer den normalen Zugriffspfad verwendet. TDE bietet die Möglichkeit, viele Gesetze, Vorschriften und Richtlinien einzuhalten, die in verschiedenen Branchen etabliert sind.
Azure SQL verwaltet wichtige Probleme im Zusammenhang mit TDE. Wie bei TDE auch muss bei lokaler Verwendung und beim Verschieben von Datenbanken besonders sorgfältig vorgegangen werden. In komplexeren Szenarien können die Schlüssel explizit in Azure Key Vault über die erweiterbare Schlüsselverwaltung verwaltet werden. Siehe Aktivieren von TDE auf SQL Server mit EKM. Dadurch wird auch Bring Your Own Key (BYOK) über die BYOK-Funktion von Azure Key Vault ermöglicht.
Azure SQL bietet Verschlüsselung für Spalten über Always Encrypted. Dadurch können nur autorisierte Anwendungen auf vertrauliche Spalten zugreifen. Die Verwendung dieser Art von Verschlüsselung beschränkt SQL-Abfragen für verschlüsselte Spalten auf Gleichheitswerte.
Verschlüsselung auf Anwendungsebene sollte auch für selektive Daten verwendet werden. Datenhoheitsbedenken können manchmal abgemildert werden, indem Daten mit einem Schlüssel verschlüsselt werden, der im richtigen Land/der richtigen Region aufbewahrt wird. Dies verhindert sogar die versehentliche Datenübertragung, da es unmöglich ist, die Daten ohne den Schlüssel zu entschlüsseln, vorausgesetzt, ein starker Algorithmus wird verwendet (z. B. AES 256).
Sie können zusätzliche Vorsichtsmaßnahmen verwenden, um die Datenbank zu schützen, z. B. das Entwerfen eines sicheren Systems, das Verschlüsseln vertraulicher Ressourcen und das Erstellen einer Firewall auf den Datenbankservern.
Nächste Schritte
In diesem Artikel wurde eine Sammlung von bewährten Sicherheitsmethoden für SQL-Datenbank und Azure Synapse Analytics vorgestellt, um Ihre PaaS-Web- und mobilen Anwendungen zu schützen. Weitere Informationen zum Schutz Ihrer PaaS-Bereitstellungen finden Sie unter:
- Schützen von PaaS-Bereitstellungen
- Securing PaaS web and mobile applications using Azure App Services (Schützen webbasierter und mobiler PaaS-Anwendungen mit Azure App Services)