Erstellen einer Azure SQL-Datenbank-Baseline

  • 5 Minuten

Azure SQL ist eine cloudbasierte relationale Datenbankproduktfamilie, die viele der Features von Microsoft SQL Server unterstützt. Die Azure SQL-Datenbank bietet einen einfachen Übergang von einer lokalen Datenbank zu einer cloudbasierten Datenbank, die über integrierte Diagnosefunktionen, Redundanz, Sicherheit und Skalierbarkeit verfügt.

Azure SQL-Datenbank Sicherheitsempfehlungen

Die folgenden Abschnitte beschreiben die Empfehlungen für die Azure SQL-Datenbank, die in CIS Microsoft Azure Foundations Security Benchmark Version 3.0.0 enthalten sind. Bei den Empfehlungen sind jeweils auch die grundlegenden Schritte angegeben, die im Azure-Portal ausgeführt werden müssen. Führen Sie diese Schritte für Ihr eigenes Abonnement aus, und verwenden Sie Ihre eigenen Ressourcen, um die einzelnen Sicherheitsempfehlungen zu überprüfen.

Aktivieren der Überwachung – Ebene 1

Bei der Überwachung der Azure SQL-Datenbank und Azure Synapse Analytics werden Datenbankereignisse nachverfolgt und in ein Überwachungsprotokoll in Ihrem Azure-Speicherkonto, Azure Log Analytics-Arbeitsbereich oder in Azure Event Hubs geschrieben. Die Überwachung ermöglicht außerdem Folgendes:

  • Hilft Ihnen bei der Einhaltung gesetzlicher Vorschriften, dem Verständnis von Datenbankaktivitäten und der Erkennung von Diskrepanzen und Anomalien, die Sie auf geschäftliche Probleme oder vermutete Sicherheitsverstöße aufmerksam machen könnten.
  • Sie ermöglicht und unterstützt die Einhaltung von Standards, garantiert diese aber nicht.

Um die Überwachung zu aktivieren, führen Sie für jede Datenbank in Ihrem Azure-Abonnement die folgenden Schritte aus.

  1. Melden Sie sich beim Azure-Portal an. Suchen sie nach SQL-Datenbanken, und wählen Sie sie aus.

  2. Wählen Sie im linken Menü unter "Sicherheit" die Option "Überwachung" aus.

  3. Aktivieren Sie im Überwachungsfeld die "Azure SQL-Überwachung aktivieren", und wählen Sie dann mindestens ein Protokollziel für Prüfungen aus.

  4. Wenn Sie Einstellungen ändern, wählen Sie " Speichern " in der Menüleiste aus.

Screenshot, der zeigt, wie Sie die Überwachung für Azure SQL-Datenbanken aktivieren.

Weitere Informationen zur Überwachung finden Sie unter Überwachung für Azure SQL-Datenbank und Azure Synapse Analytics.

Aktivieren des SQL-Schutzes in Microsoft Defender für Cloud: Ebene 1

Microsoft Defender für Cloud erkennt anomale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese zu missbrauchen. Defender für Cloud kann Folgendes ermitteln:

  • Potenzielle SQL-Injektion.
  • Zugriff von einem ungewöhnlichen Standort oder Rechenzentrum aus.
  • Zugriff von einem unbekannten Prinzipal oder von einer potenziell schädlichen Anwendung.
  • Brute-force SQL-Anmeldeinformationen.

Sie können auf SQL-Bedrohungen über das Menü von Defender für Cloud zugreifen und diese verwalten.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach und wählen Sie Microsoft Defender für Cloud aus.

  2. Wählen Sie im linken Menü unter "Verwaltung" die Option "Umgebungseinstellungen" aus.

  3. Wählen Sie Ihr Abonnement aus.

  4. Wählen Sie im Bereich "Defender-Pläne " die Option " Typen auswählen " in der Zeile "Datenbanken " aus, und legen Sie dann Azure SQL-Datenbanken auf "Ein" fest.

  5. Wählen Sie "Weiter" aus.

    Screenshot des Bereichs

  6. Kehren Sie zu Azure Home zurück. Suchen Sie nach SQL-Datenbanken, und wählen Sie sie aus, und wählen Sie dann die Datenbank aus, die Sie anzeigen möchten.

  7. Wählen Sie für jede Datenbankinstanz im linken Menü unter "Sicherheit" die Option "Microsoft Defender für Cloud" aus. Anzeigen von Sicherheitsempfehlungen, Warnungen und Sicherheitsbewertungsergebnissen für Ihre SQL-Datenbankinstanz.

Konfigurieren der Überwachungsaufbewahrung für mehr als 90 Tage – Ebene 1

Überwachungsprotokolle sollten aus Gründen der Sicherheit, der Auffindbarkeit und der Einhaltung gesetzlicher und behördlicher Vorschriften aufbewahrt werden. Führen Sie die folgenden Schritte für jede Azure SQL-Datenbankinstanz in Ihrem Azure-Abonnement aus.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie SQL-Datenbanken, wählen Sie die Option aus, und wählen Sie dann eine Datenbank aus.

  2. Wählen Sie im linken Menü unter "Sicherheit" die Option "Überwachung" aus.

  3. Wählen Sie Ihr Überwachungsprotokollziel aus, und erweitern Sie dann erweiterte Eigenschaften.

  4. Stellen Sie sicher, dass die Aufbewahrung (Tage)länger als 90 Tage ist.

  5. Wenn Sie Einstellungen ändern, wählen Sie " Speichern " in der Menüleiste aus.

Screenshot des Bereichs