Freigeben über

Sicherheit | SQL Server mit Azure Arc-Unterstützung

  • Artikel

In diesem Artikel wird die Sicherheitsarchitektur der Komponenten von SQL Serve mit Azure Arc-Unterstützung beschrieben.

Hintergrundinformationen zu SQL Server mit Azure Arc-Unterstützung: Überprüfen Sie die Übersicht | SQL Server mit Azure Arc-Unterstützung.

Agent und Erweiterung

Die wichtigsten Softwarekomponenten für SQL Server mit Azure Arc-Unterstützung sind:

  • Azure Connected Machine-Agent
  • Azure-Erweiterung für SQL Server

Der Azure Connected Machine-Agent verbindet Server mit Azure. Die Azure-Erweiterung für SQL Server sendet Daten zu Azure über SQL Server und ruft Befehle aus Azure über einen Azure Relay-Kommunikationskanal ab, um Maßnahmen für eine SQL Server-Instanz zu ergreifen. Der Agent und die Erweiterung ermöglichen es Ihnen, Ihre Instanzen und Datenbanken an einem beliebigen Ort außerhalb von Azure zu verwalten. Eine Instanz von SQL Server mit dem Agent und der Erweiterung wird von Azure Arc aktiviert.

Der Agent und die Erweiterung stellen sicher eine Verbindung mit Azure her, um Kommunikationskanäle mit von Microsoft verwalteten Azure-Diensten einzurichten. Der Agent kann über Folgendes kommunizieren:

  • Ein konfigurierbarer HTTPS-Proxyserver über Azure Express Route
  • Azure Private Link
  • Internet mit oder ohne HTTPS-Proxyserver

Ausführliche Informationen hierzu erhalten Sie in der Dokumentation zum verbundenen Computer-Agent:

Für die Datensammlung und -berichterstellung erfordern einige der Dienste die Erweiterung Azure Monitoring Agent (AMA). Die Erweiterung muss mit Azure Log Analytics verbunden sein. Die beiden Dienste, die die AMA erfordern, sind:

  • Microsoft Defender für Cloud
  • SQL Server-Best Practices-Bewertung

Mit der Azure Extension für SQL Server können Sie Konfigurationsänderungen auf Host- oder Betriebssystemebene (z. B. Windows Server-Failovercluster) für alle SQL Server-Instanzen auf granularer Ebene ermitteln. Zum Beispiel:

  • SQL Server-Engine-Instanzen auf einem Hostcomputer
  • Datenbanken innerhalb einer SQL Server-Instanz
  • Verfügbarkeitsgruppen

Mit Azure Extension für SQL Server können Sie die SQL Server-Instanzen zentral verwalten, sichern und steuern, indem Sie Daten für Aufgaben wie Inventur, Überwachung und andere Aufgaben sammeln. Eine vollständige Liste der gesammelten Daten, überprüfen Sie die Datensammlung und -berichterstellung.

Das folgende Diagramm zeigt die Architektur von SQL Server mit Azure Arc-Unterstützung.

Logisches Diagramm von SQL Server mit Azure Arc-Unterstützung.

Komponenten

Eine Instanz von SQL Server mit Azure Arc-Unterstützung verfügt über integrierte Komponenten und Dienste, die auf Ihrem Server ausgeführt werden und bei der Verbindung mit Azure helfen. Zusätzlich zu den Agent-Diensten verfügt eine aktivierte Instanz über die in diesem Abschnitt aufgeführten Komponenten.

Ressourcenanbieter

Ein Ressourcenanbieter (RP) stellt eine Reihe von REST-Operationen zur Verfügung, die Funktionen für einen bestimmten Azure-Dienst über die ARM-API ermöglichen.

Registrieren Sie für Azure Extension für SQL Server die folgenden 2 RPs:

  • Microsoft.HybridCompute RP: Verwaltet den Lebenszyklus von Azure Arc-fähigen Serverressourcen, einschließlich Erweiterungsinstallationen, Ausführung verbundener Computerbefehle und anderer Verwaltungsaufgaben.
  • Microsoft.AzureArcData RP: Verwaltet den Lebenszyklus von SQL Server mit Azure Arc-Unterstützung basierend auf den Bestands- und Nutzungsdaten, die es von der Azure-Erweiterung für SQL Server empfängt.

Azure Arc-Datenverarbeitungsdienst

Azure Arc Data Processing Service (DPS) ist ein Azure-Dienst, der die Daten zu SQL Server empfängt, die von der Azure-Erweiterung für SQL Server auf einem Arc-verbundenen Server bereitgestellt werden. DPS führt folgende Ausgaben aus:

  • Verarbeitet die Bestandsdaten, die von der Azure-Erweiterung für SQL Server an den regionalen Endpunkt gesendet werden, und aktualisiert die SqlServerInstance-Ressourcen entsprechend über die ARM-API und Microsoft.AzureArcData-RP.
  • Verarbeitet die Nutzungsdaten, die von der Azure-Erweiterung für SQL Server an den regionalen Endpunkt gesendet werden, und sendet die Abrechnungsanforderungen an den Azure-Commerce-Dienst.
  • Überwacht die vom Benutzer erstellten physischen SQL Server-Lizenzressourcen in ARM und sendet die Abrechnungsanforderungen basierend auf dem Lizenzstatus an den Azure-Commerce-Dienst.

SQL Server mit Azure Arc-Unterstützung erfordert eine ausgehende Verbindung von der Azure-Erweiterung für SQL Server im Agent zu DPS (*.<region>.arcdataservices.com TCP-Port 443). Spezifische Kommunikationsanforderungen finden Sie unter Herstellen einer Verbindung mit dem Azure Arc-Datenverarbeitungsdienst.

Bereitsteller

Der Bereitsteller startet die Azure-Erweiterung für SQL Server bei der Erstinstallation und bei Konfigurationsaktualisierungen.

Azure-Erweiterung für SQL Server-Dienst

Azure Extension für SQL Server-Dienst wird im Hintergrund auf dem Host-Server ausgeführt. Die Dienstkonfiguration hängt vom Betriebssystem ab:

  • Betriebssystem: Windows

    • Dienstname: Erweiterungsdienst von Microsoft SQL Server
    • Anzeigename: Erweiterungsdienst von Microsoft SQL Server
    • Wird ausgeführt als: Lokales System
    • Speicherort des Protokolls: C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer

  • Betriebssystem: Linux

    • Dienstname: SqlServerExtension
    • Anzeigename: Erweiterungsdienst von Azure SQL Server
    • Wird ausgeführt als: Stamm
    • Speicherort des Protokolls: /var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/

Funktionalität

Eine Instanz von SQL Server mit Azure Arc-Unterstützung führt die folgenden Aufgaben aus:

  • Inventarisieren aller SQL Server-Instanzen, Datenbanken und Verfügbarkeitsgruppen

    Jede Stunde lädt die Azure-Erweiterung für den SQL Server-Dienst einen Bestand in den Datenverarbeitungsdienst hoch. Der Bestand umfasst SQL Server-Instanzen, AlwaysOn-Verfügbarkeitsgruppen und Datenbankmetadaten.

  • Uploadverwendung

    Alle 12 Stunden lädt die Azure-Erweiterung für den SQL Server-Dienst nutzungsbezogene Daten in den Datenverarbeitungsdienst hoch.

Arc-fähige Serversicherheit

Spezifische Informationen zum Installieren, Verwalten und Konfigurieren von Azure Arc-fähigen Servern finden Sie in der Übersicht über Arc-fähige Serversicherheit.

SQL Server mit Azure Arc-Sicherheit

Azure-Erweiterung für SQL Server-Komponenten

Die Azure-Erweiterung für SQL Server besteht aus zwei Hauptkomponenten, dem Bereitsteller und dem Erweiterungsdienst.

Der Bereitsteller

Der Bereitsteller startet die Erweiterung während der Erstinstallation, und wenn neue SQL Server-Instanzen installiert sind oder Features aktiviert/deaktiviert sind. Während der Installation, Aktualisierung oder Deinstallation führt der Arc-Agent, der auf dem Hostserver ausgeführt wird, den Bereitsteller aus, um bestimmte Aktionen auszuführen:

  • Installieren
  • Aktivieren
  • Aktualisieren
  • Disable
  • Deinstallieren

Der Bereitsteller wird im Kontext des Azure Connected Machine-Agent-Diensts ausgeführt und wird daher als Local System ausgeführt.

Der Erweiterungsdienst

Der Erweiterungsdienst sammelt Bestands- und Datenbankmetadaten (nur Windows) und lädt sie jede Stunde in Azure hoch. Er wird als Local System unter Windows oder als Stamm unter Linux ausgeführt. Der Erweiterungsdienst bietet verschiedene Features als Teil des Arc-fähigen SQL Server-Diensts.

Ausführung mit den geringsten Berechtigungen

Sie können den Erweiterungsdienst so konfigurieren, dass er mit minimalen Berechtigungen ausgeführt wird. Diese Option, das Prinzip der geringsten Rechte anzuwenden, steht für die Vorschau auf Windows-Servern zur Verfügung. Weitere Informationen zur Konfiguration des Modus mit den geringsten Rechten finden Sie unter Aktivieren des Modus mit den geringsten Rechten (Vorschau).

Bei Konfigurierung gemäß Prinzip der geringsten Rechte wird der Erweiterungsdienst als NT Service\SQLServerExtension-Dienstkonto ausgeführt.

Das NT Service\SQLServerExtension-Konto ist ein lokales Windows-Wartungs-Konto:

  • Wird von der Azure-Erweiterung für SQL Server Deployer erstellt und verwaltet, wenn die Option der geringsten Berechtigung aktiviert ist.
  • Gewährung der erforderlichen Mindestberechtigungen und Rechte zur Ausführung des Azure-Erweiterungsdienstes für SQL Server auf dem Windows-Betriebssystem. Es hat nur Zugriff auf Ordner und Verzeichnisse, die zum Lesen und Speichern von Konfigurations- oder Schreibprotokollen verwendet werden.
  • Erteilte Berechtigung zum Herstellen einer Verbindung und Abfrage in SQL Server mit einer neuen Anmeldung speziell für das Dienstkonto Azure Extension für SQL Server, das über die erforderlichen Mindestberechtigungen verfügt. Mindestberechtigungen hängen von den aktivierten Features ab.
  • Aktualisiert, wenn Berechtigungen nicht mehr erforderlich sind. Beispielsweise werden Berechtigungen entzogen, wenn Sie eine Funktion deaktivieren, die Konfiguration der geringsten Rechte deaktivieren oder die Azure-Erweiterung für SQL Server deinstallieren. Der Entzug stellt sicher, dass keine Berechtigungen verbleiben, wenn sie nicht mehr benötigt werden.

Eine vollständige Liste der Berechtigungen finden Sie unter Konfigurieren von Windows-Dienstkonten und -berechtigungen.

Erweiterung auf Cloud-Kommunikation

Für SQL Server mit Arc-Unterstützung wird eine ausgehende Verbindung mit dem Azure Arc-Datenverarbeitungsdienst benötigt.

Jeder virtuelle oder physische Server muss mit Azure kommunizieren. Insbesondere erfordern sie eine Verbindung mit:

  • URL: *.<region>.arcdataservices.com
  • Port: 443
  • Richtung: Ausgehend
  • Authentifizierungsanbieter: Microsoft Entra ID

Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2.

Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com*.eastus2.arcdataservices.com sein.

Eine Liste der unterstützten Regionen finden Sie unter Unterstützte Azure-Regionen.

Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:

az account list-locations -o table

Sicherheitsaspekte auf Feature-Ebene

Die verschiedenen Features und Dienste weisen spezifische Sicherheitskonfigurationsaspekte auf. In diesem Abschnitt werden Sicherheitsaspekte der folgenden Features erläutert:

Überwachungsaktivität

Sie können über das Dienstmenü auf die Aktivitätsprotokolle für den SQL Server mit Azure Arc-Ressourcen-Unterstützung im Azure-Portal zugreifen. Das Aktivitätsprotokoll erfasst Überwachungsinformationen und Änderungsverlauf für Arc-fähige SQL Server-Ressourcen in Azure Resource Manager. Für weitere Informationen siehe Verwenden von Aktivitätsprotokollen mit SQL Server mit Azure Arc-Unterstützung.

Best Practices-Bewertung

Die Best-Practices-Bewertung hat die folgenden Anforderungen:

  • Stellen Sie sicher, dass Ihre Windows-basierte SQL Server-Instanz mit Azure verknüpft ist. Befolgen Sie die Anweisungen unter Automatisches verbinden Ihres SQL Servers mit Azure Arc.

    Hinweis

    Die SQL-Best-Practices-Bewertung ist derzeit nur für SQL Server unter Windows verfügbar. Die Bewertung gilt derzeit nicht für SQL Server auf Linux-Computern.

  • Wenn der Server eine einzelne SQL Server-Instanz hostet, stellen Sie sicher, dass die Version der Azure-Erweiterung für SQL Server (WindowsAgent.SqlServer) 1.1.2202.47 oder höher ist.

    Wenn der Server mehrere Instances von SQL Server hostet, stellen Sie sicher, dass die Version der Azure-Erweiterung für SQL Server (WindowsAgent.SqlServer) höher ist als „1.1.2231.59“.

    Um die Version von Azure Extension for SQL Server zu überprüfen und auf die neueste Version zu aktualisieren, lesen Sie Erweiterungen upgraden.

  • Wenn der Server eine benannte Instanz von SQL Server hostet, muss der SQL Server-Browserdienst ausgeführt werden.

  • Es muss ein Log Analytics-Arbeitsbereich im gleichen Abonnement wie Ihre Azure Arc-aktivierte SQL Server-Ressource sein.

  • Die Benutzer*innen, die die SQL Server-Best-Practices-Bewertung konfigurieren, müssen über die folgenden Berechtigungen verfügen:

    • Log Analytics-Rolle „Mitwirkende*r“ in der Ressourcengruppe oder im Abonnement des Log Analytics-Arbeitsbereichs.
    • Die Rolle „Administrator*in für Azure Connected Machine-Ressourcen“ für die Ressourcengruppe oder das Abonnement der SQL Server-Instanz mit Azure Arc-Unterstützung.
    • Rolle „Mitwirkende*r an der Überwachung“ für die Ressourcengruppe oder das Abonnement des Log Analytics-Arbeitsbereichs und auf der Ressourcengruppe oder des Abonnements des Azure Arc–aktivierten Computers.

    Benutzer*innen, die integrierten Rollen wie Mitwirkender oder Besitzer zugewiesen sind, verfügen über ausreichende Berechtigungen. Für weitere Informationen prüfen Sie Zuweisen von Azure-Rollen über das Azure-Portal.

  • Für den Zugriff auf oder das Lesen des Bewertungsberichts sind mindestens folgende Berechtigungen erforderlich:

    Hier sind weitere Anforderungen für den Zugriff auf den Bewertungsbericht oder das Lesen des Bewertungsberichts:

    • Die in SQL Server integrierten Anmeldung NT AUTHORITY\SYSTEM muss das Mitglied der SQL Server.Sysadmin-Serverrolle für alle SQL Server-Instanzen sein, die auf dem Computer ausgeführt werden.

    • Wenn Ihre Firewall oder Ihr Proxyserver die ausgehende Konnektivität einschränkt, stellen Sie sicher, dass es Azure Arc über TCP-Port 443 für diese URLs zulässt:

      • global.handler.control.monitor.azure.com
      • *.handler.control.monitor.azure.com
      • <log-analytics-workspace-id>.ods.opinsights.azure.com
      • *.ingest.monitor.azure.com

  • Für Ihre SQL Server-Instanz muss TCP/IP aktivieren.

  • Die Best-Practices-Bewertung von SQL Server verwendet Azure Monitor-Agent (AMA), um Daten von Ihren SQL-Servern-Instanzen zu sammeln und zu analysieren. Wenn AMA auf Ihren SQL Server-Instanzen installiert ist, bevor Sie die Best-Practices-Bewertung aktivieren, verwendet die Bewertung dieselben AMA-Agent- und Proxyeinstellungen. Sie müssen nichts weiter tun.

    Wenn AMA nicht auf Ihren SQL Server-Instanzen installiert ist, installiert die Best-Practices-Bewertung sie für Sie. Die Best-Practices-Bewertung richtet keine Proxyeinstellungen für AMA automatisch ein. Sie müssen AMA mit den gewünschten Proxyeinstellungen erneut bereitstellen.

    Weitere Informationen zu den AMA-Netzwerk- und Proxy-Einstellungen finden Sie unter Proxy-Konfiguration.

  • Wenn Sie das Konfigurieren von Servern mit Arc-Unterstützung mit installierter SQL Server-Erweiterung zum Aktivieren oder Deaktivieren der SQL-Best Practices-Bewertung von Azure Policy verwenden, um die Bewertung im großen Stil zu aktivieren, müssen Sie eine Azure Policy-Zuweisung erstellen. Ihr Abonnement erfordert die Rollenzuweisung „Ressourcenrichtlinienmitwirkende*r“ für den Bereich, auf den Sie abzielen. Der Bereich kann entweder ein Abonnement oder eine Ressourcengruppe sein.

    Wenn Sie die Erstellung einer neuen vom Benutzer zugewiesenen verwalteten Identität planen, benötigen Sie auch die Rollenzuweisung „Benutzerzugriffsadministrator*in“ im Abonnement.

Weitere Informationen finden Sie unter Konfigurieren der SQL-Best-Practices-Bewertung – SQL Server mit Azure Arc-Unterstützung.

Automatische Sicherungen

Die Azure-Erweiterung für SQL Server kann System- und Benutzerdatenbanken automatisch in einer Instanz von SQL Server mit Azure Arc-Unterstützung sichern. Der Sicherungsdienst in der Azure-Erweiterung für SQL Server verwendet das NT AUTHORITY\SYSTEM-Konto, um die Sicherungen auszuführen. Wenn Sie SQL Server mit Azure Arc-Unterstützung mit geringsten Rechten ausführen, wird die Sicherung durch das lokale Windows-Konto NT Service\SQLServerExtension ausgeführt.

Wenn Sie die Azure-Erweiterung für SQL Server-Version 1.1.2504.99 oder höher verwenden, werden automatisch die erforderlichen Berechtigungen für NT AUTHORITY\SYSTEM erteilt. Es sind keine zusätzlichen Schritte zum Zuweisen von Berechtigungen erforderlich.

Wenn Sie nicht die Konfiguration gemäß Prinzip der geringsten Rechte verwenden, muss die integrierte SQL Server-Anmeldung NT AUTHORITY\SYSTEM Mitglied sein:

  • dbcreator-Serverrolle auf Serverebene
  • db_backupoperator-Rolle in master, model, msdb und jeder Benutzerdatenbank - ausgenommen tempdb.

Automatisierte Backups sind standardmäßig deaktiviert. Wenn die automatisierten Backups konfiguriert sind, initiiert Azure Extension für SQL Server–Dienst ein Backup an dem Standardsicherungsort. Die Backups sind native SQL Server-Sicherungen, was bedeutet, dass der gesamte Sicherungsverlauf in den sicherungsbezogenen Tabellen in der msdb-Datenbank verfügbar ist.

Microsoft Defender für Cloud

Microsoft Defender für Cloud erfordert, dass Azure Monitoring Agent auf dem Arc-fähigen Server konfiguriert ist.

Ausführliche Informationen erhalten Sie in Microsoft Defender for Cloud.

Automatische Aktualisierungen

Automatische Updates überschreiben alle vorkonfigurierten oder richtlinienbasierten Update-Einstellungen von Microsoft Update, die auf dem Arc-fähigen Server konfiguriert sind.

  • Nur als Wichtig oder Kritisch markierte Windows- und SQL Server-Updates werden installiert. Andere SQL Server Updates (z. B. Service Packs und kumulative Updates oder andere Updates), die nicht als Wichtig oder Kritisch gekennzeichnet sind, müssen manuell oder anderweitig installiert werden. Weitere Informationen zum Bewertungssystem für Sicherheitsupdates finden Sie unter Sicherheitsupdate-Schweregradbewertungssystem (microsoft.com)
  • Funktioniert auf Hostbetriebssystemebene und gilt für alle installierten SQL Server-Instanzen.
  • Funktioniert derzeit nur auf Windows-Hosts. Dabei wird Windows Update/Microsoft Update konfiguriert, der Dienst, der die Aktualisierung der SQL-Server-Instanzen letztlich durchführt.

Für weitere Informationen siehe Automatisierte Updates für SQL Server-Instanzen mit Azure Arc-Unterstützung konfigurieren.

Monitor

Sie können den von Azure Arc aktivierten SQL Server mit einem Performance-Dashboard im Azure-Portal überwachen. Leistungsmetriken werden automatisch aus Datasets mit dynamischer Verwaltungssicht (DMV) auf dem berechtigten SQL Server-Instanzen mit Azure Arc-Unterstützung gesammelt und zur Verarbeitung nahezu in Echtzeit an die Azure-Telemetrie-Pipeline gesendet. Die Überwachung erfolgt automatisch, wenn alle Voraussetzungen erfüllt sind.

Voraussetzungen umfassen:

  • Der Server ist mit telemetry.<region>.arcdataservices.com verbunden (Weitere Informationen dazu finden Sie im Abschnitt Netzwerkverbindungsanforderungen).
  • Der Lizenztyp für die SQL Server-Instanz ist auf License with Software Assurance oder Pay-as-you-go festgelegt.

Um das Leistungsdashboard im Azure-Portal anzuzeigen, müssen Sie einer Azure-Rolle mit der zugewiesenen Aktion Microsoft.AzureArcData/sqlServerInstances/getTelemetry/ zugewiesen sein. Aus Gründen der Einfachheit können Sie die integrierte Rolle Azure Hybrid Database Administrator – schreibgeschützte Dienstrolle verwenden, die diese Aktion enthält. Weitere Informationen dazu finden Sie unter Mehr erfahren zu integrierten Rollen in Azure.

Details zum Leistungsdashboard-Feature, einschließlich der Aktivierung/Deaktivieren der Datensammlung und der für dieses Feature gesammelten Daten finden Sie unter Überwachen in Azure-Portal.

Microsoft Entra ID

Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst, der den Zugang zu externen Ressourcen ermöglicht. Die Microsoft Entra-Authentifizierung bietet deutlich erhöhte Sicherheit gegenüber der herkömmlichen Benutzernamen- und kennwortbasierten Authentifizierung. SQL Server mit Azure Arc-Unterstützung verwendet die Microsoft Entra-ID für die Authentifizierung – eingeführt in SQL Server 2022 (16.x). Dies bietet eine zentrale Identitäts- und Zugriffsverwaltungslösung für SQL Server.

SQL Server mit Azure Arc-Unterstützung speichert das Zertifikat für die Microsoft Entra-ID in Azure Key Vault. Ausführliche Informationen erhalten Sie unter:

Befolgen Sie zum Einrichten der Microsoft Entra-ID die Anweisungen im Lernprogramm: Einrichten der Microsoft Entra-Authentifizierung für SQL Server.

Microsoft Purview

Wichtige Anforderungen für die Verwendung von Purview:

Bewährte Methoden

Implementieren Sie die folgenden Konfigurationen, um die aktuellen bewährten Methoden für den Schutz von Instanzen von SQL Server mit Azure Arc-Unterstützung zu befolgen:

Zugehöriger Inhalt