Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
SQL Server ist ein relationales Datenbankverwaltungssystem (RDBMS), das wichtige Geschäftsdaten für Anwendungen, Analysen und Berichte speichert und verwaltet. Da es häufig vertrauliche Informationen wie Kundendaten, Finanzdaten und geistiges Eigentum enthält, ist die Sicherung von SQL Server unerlässlich, um Ihre Organisation vor Datenschutzverletzungen, unbefugtem Zugriff und Compliancerisiken zu schützen.
Dieser Artikel enthält Anleitungen zur optimalen Sicherung Ihres SQL Server.
Netzwerksicherheit
Durch die Sicherung des Netzwerkzugriffs auf SQL Server können nicht autorisierte Verbindungen verhindert, Angriffe verringert und sichergestellt werden, dass nur vertrauenswürdige Quellen Ihre Datenbanken erreichen können.
Einschränken des eingehenden Datenverkehrs mit Firewalls und NSGs: Beschränken des Netzwerkzugriffs auf SQL Server durch Konfigurieren der Windows-Firewall für den Datenbankmodulzugriff. Verwenden Sie für SQL Server in virtuellen Azure-Computern (VMs) Azure Firewall and Network Security Groups (NSGs), um diese Einschränkungen zu erzwingen.
Verschlüsseln von Verbindungen mit SQL Server: Konfigurieren des SQL Server-Datenbankmoduls zum Verschlüsseln von Verbindungen mithilfe eines Zertifikats. Dadurch wird sichergestellt, dass Daten während der Übertragung vor Lauschangriffen und Manipulationen geschützt sind. Weitere Informationen finden Sie unter Verschlüsseln von Verbindungen mit dem SQL Server-Datenbankmodul.
Sichere Remoteverwaltung: Verwenden Sie verschlüsselte Protokolle (z. B. TLS 1.3) für alle Remoteverbindungen. Weitere Informationen finden Sie unter Konfigurieren von TLS 1.3.
Herstellen einer Verbindung mit SQL Server mit strenger Verschlüsselung: SQL Server 2022 hat die
strictVerschlüsselungsoption eingeführt, für die alle Verbindungen zur Verwendung der Verschlüsselung erforderlich sind. Dadurch wird sichergestellt, dass alle Daten während der Übertragung geschützt sind. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit SQL Server mit strenger Verschlüsselung.
Identitätsverwaltung
Starke Identitäts- und Authentifizierungssteuerelemente helfen sicherzustellen, dass nur autorisierte Benutzer und Anwendungen auf SQL Server-Ressourcen zugreifen können.
Verwenden Sie die Windows-Authentifizierung oder die Microsoft Entra-Authentifizierung: Bevorzugen Sie die Windows-Authentifizierung oder die Microsoft Entra-Authentifizierung über die SQL-Authentifizierung für die zentralisierte Identitätsverwaltung und eine einfachere Verwaltung des Kontolebenszyklus. Weitere Informationen finden Sie unter Auswählen eines Authentifizierungsmodus.
Verwenden Sie gruppenverwaltete Dienstkonten (gMSA) für Dienste: Verwenden Sie gMSA zum automatischen und sicheren Verwalten von Dienstkontoanmeldeinformationen. Weitere Informationen finden Sie unter Group-Managed Übersicht über Dienstkonten.
Erzwingen von Richtlinien für sichere Kennwörter: Wenn Sie sql-Authentifizierung verwenden, benötigen Sie komplexe Kennwörter, die nicht leicht erraten werden können und nicht für andere Konten verwendet werden. Aktualisieren Sie Kennwörter regelmäßig und setzen Sie Active Directory-Richtlinien durch. Weitere Informationen finden Sie unter Sichere Kennwörter.
Verwenden Sie ggf. enthaltene Datenbankbenutzer: Erwägen Sie Datenbankbenutzer für Anwendungen, die eine Authentifizierung auf Datenbankebene benötigen, ohne dass Anmeldungen auf Serverebene erforderlich sind. Weitere Informationen finden Sie unter "Enthaltene Datenbankbenutzer".
Privilegierter Zugriff
Das Einschränken und Überwachen des privilegierten Zugriffs trägt dazu bei, nicht autorisierte Änderungen zu verhindern und die Auswirkungen kompromittierter Konten zu verringern.
Erteilen Sie die erforderlichen Mindestberechtigungen: Weisen Sie die niedrigste Berechtigungsstufe zu, die für jeden Benutzer oder Dienst erforderlich ist. Überprüfen und anpassen Sie die Berechtigungen regelmäßig, um die geringsten Berechtigungen beizubehalten. Weitere Informationen finden Sie unter "Erste Schritte mit Datenbankmodulberechtigungen".
Separate Datenbankadministratoren (DBA) und
sysadminRollen: Vermeiden Sie die Gewährung vonsysadminRechten für alle DBAs. Verwenden Sie nach Möglichkeit die CONTROL SERVER-Berechtigung , da sie Berechtigungen respektiertDENYund eine genauere Steuerung ermöglicht. Berücksichtigen Sie eine Trennung von Aufgaben, die den Zugriff auf den virtuellen Computer beschränken, die Möglichkeit, sich beim Betriebssystem anzumelden, die Möglichkeit, Fehler- und Überwachungsprotokolle zu ändern, und die Möglichkeit, Anwendungen und/oder Features zu installieren. Weitere Informationen finden Sie unter Berechtigungen (Datenbankmodul).Beobachten und Prüfen privilegierter Aktivitäten: Aktivieren Sie die Überwachung, um von privilegierten Konten vorgenommene Änderungen nachzuverfolgen und Protokolle regelmäßig auf verdächtige Aktivitäten zu überprüfen. Weitere Informationen finden Sie unter SQL Server Audit (Datenbank-Engine).
Implementieren sie die Rollentrennung: Platzieren Sie Active Directory-Benutzer in AD-Gruppen, ordnen Sie AD-Gruppen SQL Server-Rollen zu, und gewähren Sie SQL Server-Rollen die mindestberechtigungen, die von Anwendungen benötigt werden. Weitere Informationen finden Sie unter "Erste Schritte mit Datenbankmodulberechtigungen".
Datenschutz
Der Schutz von Daten im Ruhezustand und während der Übertragung ist entscheidend, um unbefugte Offenlegung oder Manipulation zu verhindern.
Verschlüsseln Sie vertrauliche Informationen mit Always Encrypted: Verwenden Sie Always Encrypted und Always Encrypted mit sicheren Enklaven, um vertrauliche Daten in SQL Server zu schützen. Bevorzugen Sie die zufällige Verschlüsselung für eine stärkere Sicherheit. Weitere Informationen hierzu finden Sie unter Always Encrypted.
Verwenden Sie die transparente Datenverschlüsselung (TDE) für Datenbankdateien: Aktivieren Sie TDE zum Verschlüsseln von Datenbank-, Sicherungs- und tempdb-Dateien, um Daten zu schützen, wenn physische Medien kompromittiert werden. Weitere Informationen finden Sie unter Transparent Data Encryption (TDE).
Maskieren Vertraulicher Daten mit dynamischer Datenmaske (Dynamic Data Masking, DDM): Verwenden Sie DDM, um vertrauliche Daten in Abfrageergebnissen zu verschleiern, wenn die Verschlüsselung nicht möglich ist. Weitere Informationen finden Sie unter Dynamic Data Masking.
Erteilen von Berechtigungen auf Spaltenebene: Beschränken Sie den Zugriff auf vertrauliche Spalten, indem Sie nur autorisierten Benutzern
SELECT,REFERENCESoderUPDATEBerechtigungen erteilen. Weitere Informationen finden Sie unter GRANT-Berechtigungen.Verwenden Sie Row-Level Security (RLS), um den Datenzugriff einzuschränken: Implementieren Sie RLS, um sicherzustellen, dass Benutzer nur Daten sehen, die für sie relevant sind. Verwenden Sie
SESSION_CONTEXTfür Anwendungen auf mittlerer Ebene, bei denen Benutzer SQL-Konten freigeben. Weitere Informationen finden Sie unter Row-Level Sicherheit.Kombinieren Sie Sicherheitsfeatures für maximalen Schutz: Verwenden Sie Row-Level Sicherheit zusammen mit Always Encrypted or Dynamic Data Masking, um den Sicherheitsstatus Ihrer Organisation zu maximieren. Weitere Informationen finden Sie unter Row-Level bewährten Methoden für die Sicherheit.
Protokollierung und Bedrohungserkennung
Umfassende Protokollierung und Überwachung helfen beim Erkennen von Bedrohungen, zur Untersuchung von Vorfällen und zur Einhaltung der Complianceanforderungen.
Aktivieren und konfigurieren Sie die SQL Server-Überwachung: Überwachen des Zugriffs und Änderungen an vertraulichen Daten und Konfigurationen auf Server- und Datenbankebene. Erwägen Sie die Prüfung von Tabellen und Spalten mit vertraulichen Daten, auf die Sicherheitsmaßnahmen angewendet wurden. Überprüfen Sie regelmäßig Überwachungsprotokolle, insbesondere für Tabellen mit vertraulichen Informationen, bei denen vollständige Sicherheitsmaßnahmen nicht möglich sind. Weitere Informationen finden Sie unter SQL Server Audit (Datenbank-Engine).
Verwenden Sie das Hauptbuch in SQL Server: Aktivieren Sie das Hauptbuch, um einen unveränderlichen Datensatz von Änderungen an vertraulichen Daten zu erstellen, wodurch fälschungssichere Protokollierung ermöglicht wird. Weitere Informationen finden Sie unter Konfigurieren einer Ledgerdatenbank.
Sicherung und Wiederherstellung
Zuverlässige Sicherungs- und Wiederherstellungsprozesse schützen Ihre Daten vor Verlusten aufgrund von Fehlern, Katastrophen oder Angriffen.
Automatisieren Sie regelmäßige Sicherungen: Planen sie automatisierte Sicherungen für Datenbanken, Systemkonfigurationen und Transaktionsprotokolle. Verwenden Sie systemeigene Azure Backup- oder SQL Server-Tools. Weitere Informationen finden Sie unter Sichern und Wiederherstellen einer SQL Server-Datenbank mit SSMS und Sicherung und Wiederherstellung für SQL Server auf Azure-VMs.
Verschlüsseln von Sicherungsdaten: Schützen sie Sicherungsdateien mit transparenter Datenverschlüsselung (TDE).
Testen Sie wiederherstellungsprozeduren regelmäßig: Stellen Sie regelmäßig Sicherungen wieder her, um Ihren Wiederherstellungsvorgang zu überprüfen und sicherzustellen, dass Sie die Wiederherstellungszeit- und Punktziele erfüllen können. Weitere Informationen finden Sie unter "Wiederherstellen von Dateien aus der VM-Sicherung".
Sicherheitsbewertung und Bedrohungsminderung
Die regelmäßige Bewertung Ihrer SQL Server-Umgebung hilft dabei, Sicherheitsrisiken zu erkennen und Ihren Sicherheitsstatus zu verbessern.
Beschränken Sie aktivierte Features, um die Angriffsfläche zu reduzieren: Aktivieren Sie nur die sql Server-Features, die für Ihre Umgebung erforderlich sind. Weitere Informationen finden Sie unter Oberflächenkonfiguration.
Ausführen von Sicherheitsrisikenbewertungen: Verwenden Sie die SQL-Sicherheitsrisikobewertung in SSMS, um potenzielle Datenbankrisiken zu ermitteln und zu beheben. Weitere Informationen finden Sie unter SQL-Sicherheitsrisikobewertung.
Klassifizieren und Bezeichnen vertraulicher Daten: Verwenden Sie SQL Data Discovery und Klassifizierung, um vertrauliche Daten zu identifizieren und zu kennzeichnen, um den Schutz und die Compliance zu verbessern. Weitere Informationen finden Sie unter Datenermittlung und -klassifizierung in SQL Server.
Überprüfen und mindern Sie häufige Bedrohungen: Schutz vor SQL-Injections, Querkanalangriffen, Brute-Force, Passwort-Spray-Angriffen und Ransomware durch die Befolgung der empfohlenen Praktiken für Eingabevalidierung, Patch-Management und Zugriffssteuerung. Weitere Informationen finden Sie unter SQL Injection und Ransomware-Angriffe.
Implementieren Sie eine umfassende Sicherheit: Verwenden Sie mehrere Sicherheitsfunktionen, die auf verschiedene Sicherheitsbereiche ausgerichtet sind, um umfassenden Schutz vor verschiedenen Bedrohungen zu bieten. Weitere Informationen finden Sie unter bewährte Methoden für die SQL Server-Sicherheit.