Sicherheitsüberlegungen für SQL Server on Azure Virtual Machines

Gilt für:SQL Server auf Azure VM

Dieser Artikel enthält allgemeine Sicherheitsrichtlinien, die den sicheren Zugriff auf SQL Server Instanzen auf einem virtuellen computer (VM) Azure erleichtern.

Azure erfüllt mehrere Branchenvorschriften und -standards, mit denen Sie eine kompatible Lösung mit SQL Server erstellen können, die auf einem virtuellen Computer ausgeführt wird. Informationen zur Einhaltung gesetzlicher Vorschriften mit Azure finden Sie unter Azure Trust Center.

Überprüfen Sie zunächst die bewährten Sicherheitsmethoden für SQL Server und Azure VMs, und lesen Sie dann diesen Artikel für die bewährten Methoden, die für SQL Server speziell für Azure VMs gelten.

Um mehr über die bewährten Methoden für SQL Server-VM zu erfahren, siehe die anderen Artikel in dieser Reihe: Checkliste, VM-Größe, HADR-Konfiguration und Basislinie erfassen.

Checkliste

Die Checkliste in diesem Abschnitt gibt einen kurzen Überblick über die Best Practices für die Sicherheit, die im weiteren Verlauf des Artikels ausführlicher behandelt werden.

SQL Server Features und Funktionen bieten Methoden zum Sichern von Daten auf Datenbankebene, die mit Sicherheitsfeatures auf Infrastrukturebene kombiniert werden können. Gemeinsam bieten diese Features umfassende Verteidigungstiefe auf Infrastrukturebene für cloudbasierte und Hybridlösungen. Darüber hinaus ist es mit Azure Sicherheitsmaßnahmen möglich, Ihre vertraulichen Daten zu verschlüsseln, virtuelle Computer vor Viren und Schadsoftware zu schützen, Netzwerkdatenverkehr zu schützen, Bedrohungen zu identifizieren und zu erkennen, Complianceanforderungen zu erfüllen und eine einzige Methode für die Verwaltung und Berichterstellung für alle Sicherheitsanforderungen in der Hybridcloud zu bieten.

• Verwenden Sie Microsoft Defender for Cloud, um maßnahmen zu bewerten und zu ergreifen, um den Sicherheitsstatus Ihrer Datenumgebung zu verbessern. Funktionen wie Azure Advanced Threat Protection (ATP) können in Ihren Hybridarbeitslasten verwendet werden, um die Sicherheitsbewertung zu verbessern und die Möglichkeit zu bieten, auf Risiken zu reagieren. Wenn Sie Ihre SQL Server VM mit der Erweiterung SQL IaaS Agent registrieren, werden Bewertungen durch Microsoft Defender für Cloud innerhalb der Resource SQL-virtuelle Maschine des Azure-Portals angezeigt.
• Verwenden Sie Microsoft Defender für SQL, um potenzielle Datenbankrisiken zu ermitteln und zu mindern sowie anomale Aktivitäten zu erkennen, die auf eine Bedrohung für Ihre SQL Server Instanz und Datenbankebene hinweisen könnten.
• Vulnerability Assessment ist Teil von Microsoft Defender für SQL, die potenzielle Risiken für Ihre SQL Server Umgebung ermitteln und beheben können. Sie bietet einen Überblick über Ihren Sicherheitsstatus und schlägt Maßnahmen zum Beheben von Sicherheitsproblemen vor.
• Verwenden Sie Azure vertrauliche virtuelle Computer, um den Schutz Ihrer in Nutzung befindlichen Daten und ruhender Daten vor dem Host-Operator-Zugriff zu stärken. Azure vertrauliche VMs ermöglichen Ihnen, Ihre vertraulichen Daten sicher in der Cloud zu speichern und strenge Complianceanforderungen zu erfüllen.
• Wenn Sie SQL Server 2022 verwenden, sollten Sie Microsoft Entra Authentifizierung verwenden, um eine Verbindung mit Ihrer Instanz von SQL Server herzustellen.
• Azure Advisor analysiert Ihre Ressourcenkonfigurations- und Nutzungs telemetrie und empfiehlt dann Lösungen, mit denen Sie die Kosteneffizienz, Leistung, hohe Verfügbarkeit und Sicherheit Ihrer Azure Ressourcen verbessern können. Verwenden Sie Azure Advisor auf virtueller Computer-, Ressourcengruppen- oder Abonnementebene, um bewährte Methoden zu identifizieren und anzuwenden, um Ihre Azure Bereitstellungen zu optimieren.
• Verwenden Sie Azure Disk Encryption, wenn Ihre Compliance- und Sicherheitsanforderungen es erfordern, dass Sie die Daten durchgehend mit Ihren Verschlüsselungsschlüsseln verschlüsseln, einschließlich der Verschlüsselung des ephemeren (lokal angefügten temporären) Datenträgers.
• Managed Disks sind verschlüsselt standardmäßig mit Azure Storage Dienstverschlüsselung, wobei die Verschlüsselungsschlüssel von Microsoft verwaltet werden, die in Azure gespeichert sind.
• Überprüfen Sie das Vergleichsdiagramm für die Verschlüsselungsoptionen verwalteter Datenträger.
• Verwaltungsports sollten auf Ihren VMs geschlossen werden: Offene Ports zur Remoteverwaltung setzen Ihre VMs einem hohen Risiko durch internetbasierte Angriffe aus. Diese Angriffe versuchen, Zugangsdaten mit Brute-Force zu knacken, um Administratorzugriff auf die Maschine zu erhalten.
• Aktivieren Sie Just-in-Time(JIT)-Zugriff für Azure virtuellen Computer.
• Verwenden Sie Azure Bastion über Remote Desktop Protocol (RDP).
• Sperren Sie Ports, und erlauben Sie nur den erforderlichen Anwendungsdatenverkehr mithilfe von Azure Firewall einer verwalteten Firewall als Dienst (FaaS), die den Serverzugriff basierend auf der ursprünglichen IP-Adresse gewährt/verweigert.
• Verwenden Sie Netzwerksicherheitsgruppen (NSGs), um den Netzwerkdatenverkehr zu und von den Azure-Ressourcen in virtuellen Azure-Netzwerken zu filtern.
• Nutzen Sie Anwendungssicherheitsgruppen, um Server mit ähnlichen Anforderungen an die Portfilterung und mit ähnlichen Funktionen (z. B. Webserver und Datenbankserver) in Gruppen zusammenzufassen.
• Verwenden Sie für Webserver Azure Distributed Denial of Service (DDoS)-Schutz. DDoS-Angriffe zielen darauf ab, die Netzwerkressourcen zu überlasten und zu erschöpfen, sodass Apps langsam werden oder nicht mehr reagieren. DDoS-Angriffe zielen in der Regel auf Benutzeroberflächen ab. Azure DDoS-Schutz bereinigung unerwünschten Netzwerkdatenverkehr, bevor er sich auf die Dienstverfügbarkeit auswirkt.
• Verwenden Sie VM-Erweiterungen, um Anti-Malware, gewünschte Konfigurationen, Bedrohungserkennung, Bedrohungsprävention und Bedrohungsbeseitigung zu nutzen, um Bedrohungen auf Betriebssystem-, Computer- und Netzwerkebene zu adressieren.
  • Die Erweiterung „Gastkonfiguration“ führt Überprüfungs- und Konfigurationsvorgänge innerhalb von virtuellen Computern durch.
  • Network Watcher Agent virtual machine extension for Windows and Linux überwacht Netzwerkleistung, Diagnose- und Analysedienste, die es ermöglichen, Azure-Netzwerke zu überwachen.
  • Microsoft Antimalware Extension für Windows, um Viren, Spyware und andere schadhafte Software mit konfigurierbaren Warnungen zu identifizieren und zu entfernen.
  • Evaluieren Sie Erweiterungen von Drittanbietern wie Symantec Endpoint Protection für Windows VM (/azure/virtual-machines/extensions/symantec).
• Verwenden Sie Azure Policy, um Geschäftsregeln zu erstellen, die auf Ihre Umgebung angewendet werden können. Azure Richtlinien werten Azure Ressourcen aus, indem die Eigenschaften dieser Ressourcen mit Regeln verglichen werden, die im JSON-Format definiert sind.
• mit Azure Blueprints können Cloudarchitekten und zentrale Informationstechnologiegruppen einen wiederholbaren Satz von Azure Ressourcen definieren, die die Standards, Muster und Anforderungen einer Organisation implementieren und einhalten. Azure Blueprints sind different als Azure Policies.
• Verwenden Sie Windows Server 2019 oder Windows Server 2022, um FIPS mit SQL Server auf Azure VMs kompatibel zu sein.
• Behandeln Sie das Wiederherstellen von Sicherungen als hochrisikobehafteten Vorgang, und stellen Sie niemals eine Sicherung aus einer nicht vertrauenswürdigen Quelle wieder her.

Weitere Informationen zu bewährten Sicherheitsmethoden finden Sie unter SQL Server bewährte Methoden für die Sicherheit und Securing SQL Server.

Microsoft Defender für SQL auf Computern

Microsoft Defender for Cloud ist ein einheitliches Sicherheitsmanagementsystem, das entwickelt wurde, um die Sicherheitslage Ihrer Datenumgebung zu bewerten und zu verbessern. Microsoft Defender bietet Microsoft Defender für SQL auf Computern Schutz für SQL Server auf Azure VMs. Verwenden Sie Microsoft Defender für SQL, um potenzielle Datenbankrisiken zu ermitteln und zu mindern und anomale Aktivitäten zu erkennen, die auf eine Bedrohung für Ihre SQL Server Instanz und Datenbankebene hinweisen können.

Microsoft Defender für SQL bietet die folgenden Vorteile:

• Vulnerability Assessments können potenzielle Risiken für Ihre SQL Server Umgebung ermitteln und beheben. Sie bieten einen Überblick über Ihren Sicherheitsstatus und schlagen Maßnahmen zum Beheben von Sicherheitsproblemen vor.
• Verwenden Sie Security score in Microsoft Defender for Cloud.
• Überprüfen Sie die Liste der derzeit verfügbaren Compute- und Datenempfehlungen für weitere Einzelheiten.
• Wenn Sie Ihren SQL Server-VM mit der `SQL Server IaaS Agent Extension` registrieren, werden die Empfehlungen von Microsoft Defender for SQL in der Ressource für `SQL-virtuelle Maschinen` im Azure-Portal angezeigt.

Portalverwaltung

Nachdem Sie ihre SQL Server VM mit der SQL IaaS-Agent-Erweiterung registriert haben, können Sie eine Reihe von Sicherheitseinstellungen mithilfe der Ressource SQL virtual machines im Azure-Portal konfigurieren, z. B. Azure Key Vault Integration oder SQL-Authentifizierung aktivieren.

Nachdem Sie Microsoft Defender für SQL auf Computern aktiviert haben können Sie Defender for Cloud-Features direkt in der Ressource SQL virtual machines im Azure-Portal anzeigen, z. B. Sicherheitsrisikobewertungen und Sicherheitswarnungen.

Weitere Informationen finden Sie unter Manage SQL Server VM im Portal.

Vertrauliche virtuelle Computer

Azure vertrauliche VMs bieten eine starke, hardwaregestützte Schutzgrenze, die den Schutz des Gastbetriebssystems gegen den Zugriff von Hostbetreibern verstärkt. Die Auswahl einer vertraulichen VM-Größe für Ihre SQL Server auf Azure VM bietet eine zusätzliche Schutzebene, sodass Sie Ihre vertraulichen Daten sicher in der Cloud speichern und strenge Complianceanforderungen erfüllen können.

Azure vertrauliche VMs verwenden AMD-Prozessoren mit SEV-SNP Technologie, die den Speicher der VM mithilfe von Schlüsseln verschlüsseln, die vom Prozessor generiert werden. Dadurch werden Daten geschützt, während sie verwendet werden (die Daten, die im Speicher des SQL Server Prozesses verarbeitet werden), vor unbefugtem Zugriff vom Hostbetriebssystem. Der Betriebssystemdatenträger einer vertraulichen VM kann ebenfalls mit Schlüsseln verschlüsselt werden, die an den TPM-Chip (Trusted Platform Module) der VM gebunden sind, um den Schutz von Daten im Ruhezustand zu erhöhen.

Ausführliche Bereitstellungsschritte finden Sie im Quickstart: Bereitstellen von SQL Server auf einer vertraulichen VM.

Die Empfehlungen für die Datenträgerverschlüsselung bei vertraulichen VMs unterscheiden sich von denen für andere VM-Größen. Weitere Informationen finden Sie unter Datenträgerverschlüsselung.

Microsoft Entra Authentifizierung

Ab SQL Server 2022 können Sie eine Verbindung mit SQL Server mit einer der folgenden Authentifizierungsmethoden mit Microsoft Entra ID ( früher Azure Active Directory herstellen):

• Password bietet Authentifizierung mit Microsoft Entra Anmeldedaten.
• Universal mit MFA fügt Multi-Faktor-Authentifizierung hinzu
• Integrated verwendet Verbundanbieter wie Active Directory Federation Services (ADFS), um SSO-Erfahrungen (Single Sign-On) zu ermöglichen.
• Service Principal ermöglicht die Authentifizierung von Azure Anwendungen
• Managed Identity ermöglicht die Authentifizierung von Anwendungen, denen Microsoft Entra Identitäten zugewiesen sind.

Lesen Sie zunächst Configure Microsoft Entra Authentifizierung für Ihre SQL Server VM.

Azure Advisor

Azure Advisor ist ein personalisierter Cloudberater, mit dem Sie bewährte Methoden befolgen können, um Ihre Azure Bereitstellungen zu optimieren. Azure Advisor analysiert Ihre Ressourcenkonfigurations- und Nutzungs telemetrie und empfiehlt dann Lösungen, die Ihnen helfen können, die Kosteneffizienz, Leistung, hohe Verfügbarkeit und Sicherheit Ihrer Azure Ressourcen zu verbessern. Azure Advisor kann auf der Ebene der virtuellen Maschine, der Ressourcengruppe oder des Abonnements evaluiert werden.

Die Integration von Azure Key Vault

Es gibt mehrere SQL Server Verschlüsselungsfeatures, z. B. transparente Datenverschlüsselung (TDE), Spaltenebenenverschlüsselung (CLE) und Sicherungsverschlüsselung. Bei diesen Arten der Verschlüsselung müssen Sie die kryptografischen Schlüssel verwalten und speichern, die Sie für die Verschlüsselung verwenden. Der dienst Azure Key Vault wurde entwickelt, um die Sicherheit und Verwaltung dieser Schlüssel an einem sicheren und hoch verfügbaren Standort zu verbessern. Der SQL Server Connector ermöglicht es SQL Server, diese Schlüssel aus Azure Key Vault zu verwenden.

Beachten Sie Folgendes:

• Azure Key Vault speichert geheime Anwendungsschlüssel an einem zentralen Cloudspeicherort, um Zugriffsberechtigungen und separate Zugriffsprotokollierung sicher zu steuern.
• Wenn Sie Ihre eigenen Schlüssel auf Azure bringen, empfiehlt es sich, geheime Schlüssel und Zertifikate im Azure Key Vault zu speichern.
• Azure Disk Encryption verwendet Azure Key Vault zum Steuern und Verwalten von Datenträgerverschlüsselungsschlüsseln und geheimen Schlüsseln.

Zugriffssteuerung

Wenn Sie eine SQL Server-VM mit einem Azure-Galerie-Image erstellen, bietet Ihnen die Option SQL Server-Konnektivität die Wahl zwischen Lokal (innerhalb der VM), Privat (innerhalb des Virtuellen Netzwerks) oder Öffentlich (Internet).

Wählen Sie für Ihr Szenario die Option mit den höchsten Einschränkungen, um die bestmögliche Sicherheit zu erzielen. Wenn Sie beispielsweise eine Anwendung ausführen, die auf SQL Server auf demselben virtuellen Computer zugreift, ist Local die sicherste Wahl. Wenn Sie eine Azure Anwendung ausführen, die Zugriff auf die SQL Server erfordert, sichert Private die Kommunikation mit SQL Server nur innerhalb des angegebenen Azure virtuellen Netzwerks. Wenn Sie Public (Internet)-Zugriff auf die SQL Server VM benötigen, stellen Sie sicher, dass Sie andere bewährte Methoden in diesem Thema befolgen, um Den Angriffsfläche zu verringern.

Für die im Portal ausgewählten Optionen werden eingehende Sicherheitsregeln der Netzwerksicherheitsgruppe (NSG) der VM verwendet, um den Netzwerkverkehr zu Ihrem virtuellen Computer zuzulassen oder zu verweigern. Sie können neue eingehende NSG-Regeln ändern oder erstellen, um Datenverkehr zum SQL Server Port zuzulassen (Standard 1433). Sie können auch IP-Adressen angeben, die über diesen Port kommunizieren dürfen.

Zusätzlich zu NSG-Regeln zum Einschränken des Netzwerkdatenverkehrs können Sie auch die Windows Firewall auf dem virtuellen Computer verwenden.

Wenn Sie Endpunkte mit dem klassischen Bereitstellungsmodell verwenden, entfernen Sie alle Endpunkte auf dem virtuellen Computer, wenn Sie sie nicht verwenden. Weitere Informationen zur Verwendung von ACLs für Endpunkte finden Sie unter Verwalten der ACL für einen Endpunkt Dies ist für VMs, die die Azure Resource Manager verwenden, nicht erforderlich.

Erwägen Sie die Aktivierung von encrypted connections für die Instanz der SQL Server Database Engine in Ihrem Azure virtuellen Computer. Konfigurieren sie SQL Server Instanz mit einem signierten Zertifikat. Weitere Informationen finden Sie unter Enable Encrypted Connections to the Database Engine and Connection String Syntax.

Berücksichtigen Sie beim Schutz der Netzwerkkonnektivität oder des Umkreisnetzwerks Folgendes:

• Azure Firewall: Eine zustandsbehaftete und verwaltete Firewall als Dienst (FaaS), die den Serverzugriff basierend auf der ursprünglichen IP-Adresse gewährt/verweigert, um Netzwerkressourcen zu schützen.
• Azure Distributed Denial of Service (DDoS)-Schutz: DDoS-Angriffe überwältigen und ausschöpfen Netzwerkressourcen, wodurch Apps langsam oder nicht reagiert werden. Azure DDoS-Schutz bereinigung unerwünschten Netzwerkdatenverkehr, bevor er sich auf die Dienstverfügbarkeit auswirkt.
• Network-Sicherheitsgruppen (NSGs): Filtert Netzwerkdatenverkehr zu und von Azure Ressourcen in Azure virtuellen Netzwerken.
• Anwendungssicherheitsgruppen: Stellt die Gruppierung von Servern mit ähnlichen Portfilteranforderungen bereit und gruppiert Server mit ähnlichen Funktionen wie Webservern.

Datenträgerverschlüsselung

Dieser Abschnitt enthält Anleitungen für die Datenträgerverschlüsselung, die Empfehlungen variieren jedoch je nach Bereitstellung einer herkömmlichen SQL Server auf Azure VM oder SQL Server auf einem Azure vertraulichen virtuellen Computer.

Herkömmliche VMs

Verwaltete Datenträger, die auf virtuellen Maschinen bereitgestellt werden, die keine vertraulichen Azure-VMs sind, verwenden serverseitige Verschlüsselung und Azure Disk Encryption. Die serverseitige Verschlüsselung bietet eine Verschlüsselung im Ruhezustand und schützt Ihre Daten, um die Sicherheits- und Compliancevorgaben Ihres Unternehmens zu erfüllen. Azure Disk Encryption verwendet entweder BitLocker oder DM-Crypt Technologie, und es wird in Azure Key Vault integriert, um sowohl das Betriebssystem als auch die Datenträger zu verschlüsseln.

Beachten Sie Folgendes:

• Azure Disk Encryption verschlüsselt virtuelle Computerdatenträger mit Azure Disk Encryption sowohl für virtuelle Windows als auch für virtuelle Linux-Computer.
  • Wenn Ihre Compliance- und Sicherheitsanforderungen erfordern, dass Sie die Daten mit Ihren Verschlüsselungsschlüsseln verschlüsseln müssen, einschließlich der Verschlüsselung des kurzlebigen (lokal angefügten temporären) Datenträgers, verwenden Sie Azure Datenträgerverschlüsselung.
  • Azure Disk Encryption (ADE) nutzt das Branchenstandard-BitLocker-Feature von Windows und das DM-Crypt-Feature von Linux zum Nachweis der Betriebssystem- und Datenträgerverschlüsselung.
• Verschlüsselung von verwalteten Datenträgern
  • Managed Disks sind standardmäßig im Ruhezustand verschlüsselt durch die Azure Storage Service Encryption, wobei die Verschlüsselungsschlüssel Microsoft-verwaltete Schlüssel sind, die in Azure gespeichert werden.
  • Daten in Azure Managed Disks werden transparent mit 256-Bit-AES-Verschlüsselung verschlüsselt, einer der stärksten verfügbaren Blockchiffre und FIPS 140-2 kompatibel.
• Überprüfen Sie das Vergleichsdiagramm für die Verschlüsselungsoptionen verwalteter Datenträger.

Azure vertraulicher VMs

Wenn Sie einen Azure vertraulichen virtuellen Computer verwenden, sollten Sie die folgenden Empfehlungen berücksichtigen, um die Sicherheitsvorteile zu maximieren:

• Konfigurieren Sie die Verschlüsselung vertraulicher Betriebssystemdatenträger, die die Verschlüsselungsschlüssel des Betriebssystemdatenträgers an den TPM-Chip (Trusted Platform Module) des virtuellen Computers bindet. Der geschützte Datenträgerinhalt ist außerdem nur für den virtuellen Computer zugänglich.
• Verschlüsseln Sie Ihre Datenträger (alle Datenträger, die Datenbankdateien, Protokolldateien oder Sicherungsdateien enthalten) mit BitLocker, und aktivieren Sie die automatische Entsperrung. Weitere Informationen finden Sie in manage-bde autounlock oder EnableBitLockerAutoUnlock. Durch die automatische Entsperrung wird sichergestellt, dass die Verschlüsselungsschlüssel auf dem Betriebssystemdatenträger gespeichert werden. In Verbindung mit der Verschlüsselung vertraulicher Betriebssystemdatenträger werden damit auch die ruhenden Daten, die auf den VM-Datenträgern gespeichert sind, vor nicht autorisiertem Hostzugriff geschützt.

Vertrauenswürdiger Start

Wenn Sie eine VM der 2. Generation bereitstellen, haben Sie die Möglichkeit, vertrauenswürdigen Start zu aktivieren, der vor erweiterten und persistenten Angriffstechniken schützt.

Mit vertrauenswürdigem Start ist Folgendes möglich:

• Sicheres Bereitstellen von virtuellen Maschinen mit verifizierten Bootloadern, Betriebssystemkernels und Treibern.
• Sicherer Schutz von Schlüsseln, Zertifikaten und Geheimnissen auf den VMs
• Gewinnen von Einblicken und Vertrauen in die Integrität der gesamten Startkette.
• Sicherstellen der Vertrauenswürdigkeit und Überprüfbarkeit von Workloads

Die folgenden Features werden derzeit nicht unterstützt, wenn Sie den vertrauenswürdigen Start für Ihre SQL Server auf Azure virtuellen Computern aktivieren:

• Azure Site Recovery
• Ultra Disks
• Verwaltete Images
• Geschachtelte Virtualisierung

Konten verwalten

Sie möchten verhindern, dass Angreifer Kontonamen oder Kennwörter leicht erraten können. Verwenden Sie die folgenden Tipps, um zu helfen:

• Erstellen Sie ein eindeutiges lokales Administratorkonto, das nicht " Administrator" heißt.

• Verwenden Sie komplexe, sichere Kennwörter für alle Konten. Weitere Informationen zum Erstellen eines starken Kennworts finden Sie im Artikel " Erstellen eines starken Kennworts" .

• Standardmäßig wählt Azure während der Einrichtung SQL Server virtuellen Computers Windows Authentifizierung aus. Aus diesem Grund wird beim Einrichten die SA -Anmeldung deaktiviert und ein Kennwort zugewiesen. Wir empfehlen, dass die SA-Anmeldung nicht verwendet oder aktiviert werden sollte. Verwenden Sie eine der folgenden Strategien, falls Sie eine SQL-Anmeldung benötigen:

  • Erstellen Sie ein SQL-Konto mit einem eindeutigen Namen, das über eine sysadmin-Mitgliedschaft verfügt. Hierfür können Sie das Portal verwenden, indem Sie während der Bereitstellung die Option SQL-Authentifizierung aktivieren.

    Tipp

    Wenn Sie die SQL-Authentifizierung während der Bereitstellung nicht aktivieren, müssen Sie den Authentifizierungsmodus manuell in SQL Server und Windows Authentifizierungsmodus ändern. Weitere Informationen finden Sie unter Ändern des Serverauthentifizierungsmodus.

  • Falls Sie die SA-Anmeldung verwenden müssen, sollten Sie die Anmeldung nach der Bereitstellung aktivieren und ein neues sicheres Kennwort zuweisen.

Überwachung und Berichterstellung

Auditing mit Log Analytics dokumentiert Ereignisse und führt ein Audit-Logbuch in einem sicheren Azure Blob Storage-Account. Log Analytics können verwendet werden, um die Details der Überwachungsprotokolle zu entschlüsseln. Die Überwachung bietet Ihnen die Möglichkeit, Daten in einem separaten Speicherkonto zu speichern und einen Überwachungspfad für alle von Ihnen ausgewählten Ereignisse zu erstellen. Sie können auch Power BI für das Überwachungsprotokoll verwenden, um schnelle Analysen und Erkenntnisse zu Ihren Daten sowie eine Ansicht für die Einhaltung gesetzlicher Vorschriften bereitzustellen. Weitere Informationen zur Überwachung auf vm- und Azure-Ebenen finden Sie unter Azure Sicherheitsprotokollierung und -überwachung.

Zugriff auf VM-Ebene

Schließen Sie Verwaltungsports auf Ihrem Rechner: Offene Ports für die Remoteverwaltung setzen Ihre VM einem hohen Risiko durch internetbasierte Angriffe aus. Diese Angriffe versuchen, Zugangsdaten mit Brute-Force zu knacken, um Administratorzugriff auf die Maschine zu erhalten.

• Aktivieren Sie Just-in-Time(JIT)-Zugriff für Azure virtuellen Computer.
• Verwenden Sie Azure Bastion über Remote Desktop Protocol (RDP).

VM-Erweiterungen

Azure Erweiterungen virtueller Computer sind vertrauenswürdige Microsoft- oder Drittanbietererweiterungen, die ihnen dabei helfen können, bestimmte Anforderungen und Risiken wie Antivirensoftware, Schadsoftware, Bedrohungsschutz und vieles mehr zu beheben.

• Erweiterung „Gastkonfiguration“
  • Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten.
  • Zu diesen gastsysteminternen Einstellungen gehören beispielsweise die Konfiguration des Betriebssystems, die Anwendungskonfiguration oder das Vorhandensein von Anwendungen und die Umgebungseinstellungen.
  • Nach der Installation stehen Gastrichtlinien zur Verfügung, z. B. "Windows Exploit Guard sollte aktiviert werden".
• Agent für die Erfassung von Daten zum Netzwerkdatenverkehr
  • Microsoft Defender for Cloud verwendet den Microsoft Dependency-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren Azure virtuellen Computern.
  • Dieser Agent ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen.
• Bewerten Sie Erweiterungen von Microsoft und Drittanbietern, um Antimalware, den gewünschten Zustand, Erkennung von Bedrohungen, Prävention und Behebung zu behandeln, um Bedrohungen auf Betriebssystem-, Maschinen- und Netzwerkebene anzugehen.

FIPS-Konformität

FIPS ist ein Standard für US-Bundesbehörden, der Mindestsicherheitsanforderungen für kryptografische Module in IT-Produkten und -Systemen definiert. Einige Compliance-Programme der US-Regierung, wie FedRAMP oder der Sicherheitsanforderungsleitfaden des Verteidigungsministeriums, erfordern die Verwendung von FIPS-validierter Verschlüsselung.

SQL Server ist in SQL Server 2016 und höher oder SQL Server 2014 mit erweiterten Sicherheitsupdates FIPS-konform.

Damit FIPS mit SQL Server auf Azure VMs kompatibel ist, sollten Sie sich auf Windows Server 2022 befinden, für die FIPS standardmäßig aktiviert ist. Windows Server 2019 kann auch FIPS-konform sein, wenn FIPS manuell mithilfe der im Security Technical Implementation Guide (STIG) im Befund V-93511 angegebenen Richtlinie aktiviert wird.

SQL Server ist derzeit nicht FIPS-kompatibel auf Linux-Azure-VMs.

Sicherheitsrisiko beim Wiederherstellen von Sicherungen aus nicht vertrauenswürdigen Quellen

In diesem Abschnitt wird das Sicherheitsrisiko beschrieben, das mit dem Wiederherstellen von Sicherungen aus nicht vertrauenswürdigen Quellen in einer beliebigen SQL Server Umgebung verbunden ist, einschließlich lokaler, Azure SQL Managed Instance, SQL Server on Azure Virtual Machines (VMs) und jeder anderen Umgebung.

Warum ist das wichtig?

Das Wiederherstellen von SQL-Sicherungsdateien (.bak) führt zu einem potenziellen Risiko, wenn die Sicherung von einer nicht vertrauenswürdigen Quelle stammt. Das Sicherheitsrisiko wird weiter verschärft, wenn eine SQL Server Umgebung mehrere Instanzen aufweist, da sie den Bedrohungsbereich verstärkt. Während Sicherungen, die innerhalb einer vertrauenswürdigen Grenze verbleiben, kein Sicherheitsproblem darstellen, kann das Wiederherstellen einer schädlichen Sicherung die Sicherheit der gesamten Umgebung beeinträchtigen.

Eine schädliche .bak Datei kann:

• Übernehmen Sie die gesamte SQL Server Instanz.
• Eskalieren Sie Berechtigungen, und erhalten Sie nicht autorisierten Zugriff auf den zugrunde liegenden Host oder virtuellen Computer.

Dieser Angriff tritt auf, bevor alle Überprüfung von Skripten oder Sicherheitsprüfungen ausgeführt werden können, was diesen Angriff extrem gefährlich macht. Das Wiederherstellen einer nicht vertrauenswürdigen Sicherung entspricht dem Ausführen nicht vertrauenswürdiger Anwendungen auf einem kritischen Server oder virtuellen Computer und der Einführung beliebiger Codeausführung in Ihre Umgebung.

Bewährte Methoden

Befolgen Sie diese bewährten Methoden zur Sicherung der Sicherheit, um die Bedrohung für Ihre SQL Server Umgebungen zu verringern:

• Behandeln Sie das Wiederherstellen von Sicherungen als hochrisikobehafteten Vorgang.
• Reduzieren Sie den Bereich des Bedrohungsdiensts mithilfe von isolierten Instanzen.
• Nur vertrauenswürdige Sicherungen zulassen: Sicherungen von unbekannten oder externen Quellen niemals wiederherstellen.
• Nur Sicherungen zulassen, die innerhalb eines vertrauenswürdigen Bereichs geblieben sind: Stellen Sie sicher, dass Sicherungen aus einem vertrauenswürdigen Bereich stammen.
• Umgehen Sie keine Sicherheitskontrollen aus Bequemlichkeit.
• Aktivieren Sie die Überwachung auf Serverebene , um Sicherungs- und Wiederherstellungsereignisse zu erfassen und Überwachungshinterziehung zu verringern.

Zugehöriger Inhalt

Überprüfen Sie die bewährten Sicherheitsmethoden für SQL Server und Azure VMs und lesen Sie dann diesen Artikel für die bewährten Methoden, die für SQL Server speziell für Azure VMs gelten.

Weitere Themen zum Ausführen von SQL Server in Azure VMs finden Sie unter SQL Server on Azure Virtual Machines Overview. Wenn Sie Fragen zu SQL Server virtuellen Computern haben, lesen Sie die Frequently Asked Questions.

Weitere Informationen finden Sie in auch in anderen Artikeln dieser Reihe zu den bewährten Methoden:

• Kurze Checkliste
• Größe des virtuellen Computers
• Lagerung
• HADR-Einstellungen
• Baseline erfassen