• 4 min read

Behalten des Überblicks über Datenbankbedrohungen mit Microsoft Defender für Azure Cosmos DB

Datenbanken werden ständig weiterentwickelt, um neue Anwendungsfälle zu bewältigen, mehr Informationen zu integrieren und mehr Daten zu speichern. Dadurch steht Entwicklern und Organisationen ein breites Spektrum an Datenbanktypen für unterschiedlichste Anforderungen zur Verfügung. Azure Cosmos DB ist eine vollständig verwaltete NoSQL-Datenbank für eine moderne, schnelle und flexible App-Entwicklung. Wir freuen uns, heute mit der Vorschauversion von Microsoft Defender für Cosmos DB eine neue Ergänzung für unseren Datenbankschutz ankündigen zu können.

Datenbanken werden ständig weiterentwickelt, um neue Anwendungsfälle zu bewältigen, mehr Informationen zu integrieren und mehr Daten zu speichern. Dadurch steht Entwicklern und Organisationen ein breites Spektrum an Datenbanktypen für unterschiedlichste Anforderungen zur Verfügung. Aspekte wie Architektur, Funktionen, Konfigurationsoptionen und Authentifizierungsmethoden sind für jeden Datenbanktyp individuell. Gleiches gilt für die Sicherheitsbedrohungen. Daher werden benutzerdefinierte Sicherheitsmaßnahmen und Schutzfunktionen benötigt, um die häufigsten Bedrohungen für alle Datenbanken abzudecken.

Azure Cosmos DB ist eine vollständig verwaltete NoSQL-Datenbank für eine moderne, schnelle und flexible App-Entwicklung mit Antwortzeiten im einstelligen Millisekundenbereich, automatischer und sofortiger Skalierbarkeit sowie mit mehreren SDKs und APIs zur Unterstützung verschiedener nicht relationaler Datenmodelle.

Wir freuen uns, heute mit der Vorschauversion von Microsoft Defender für Azure Cosmos DB eine neue Ergänzung für unseren Datenbankschutz ankündigen zu können.

Die neuen Funktionen für den Cloudworkloadschutz sind als Azure-native Sicherheitsebene konzipiert, die Missbrauchsversuche für Datenbanken in Ihren Azure Cosmos DB-Konten erkennt. Die Erkennung basiert auf den gängigsten Angriffstechniken und bekannten Angreifern. Dadurch können Sicherheitsteams entsprechende Bedrohungen mithilfe des Toolsets Microsoft Defender für Cloud effektiver erkennen und auf sie reagieren.

Für die Erkennungen werden Microsoft Threat Intelligence sowie die SQL-Abfrageanalyse-Engine und die Verhaltensmodelle von Microsoft Defender herangezogen. 

Erkennen der kritischsten Bedrohungen für Azure Cosmos DB

Defender für Azure Cosmos DB überwacht Ihre Azure Cosmos DB-Konten und schützt sie vor verschiedenen Angriffsvektoren. Hierzu zählen beispielsweise Angriffe über die Anwendungsschicht, Angriffe durch Einschleusung von SQL-Befehlen, verdächtige Zugriffsmuster, kompromittierte Identitäten, böswillige Insider und direkte Angriffe auf die Datenbank. Im Anschluss finden Sie eine Übersicht über die wichtigsten Bedrohungstechniken, die sich auf Azure Cosmos DB auswirken und als Warnungstypen in Microsoft Defender für Cloud unterstützt werden.

  • Einschleusung von SQL-Befehlen: Viele wissen nicht, dass eine der am häufigsten verwendeten Angriffstechniken – die Einschleusung von SQL-Befehlen – für eine Datenbank in einem Azure Cosmos DB eingesetzt werden kann. Diese Technik ermöglicht es dem Angreifer, sich hinter den Anmeldeinformationen und dem Verhalten der Anwendung zu verstecken und einen Angriff durchzuführen, ohne sich eigene Anmeldeinformationen für den Missbrauch der Datenbank beschaffen zu müssen. Mit Techniken zur Einschleusung von SQL-Befehlen können Angreifer die Zugriffssteuerung der Anwendung umgehen und vertrauliche Daten extrahieren. Defender für Azure Cosmos DB erkennt diese Versuche frühzeitig und unterstützt Sie mit Empfehlungen und Richtlinien dabei, Ihre Anwendungen besser zu schützen, um diese Exploits gar nicht erst zuzulassen.

Beispiel einer Warnung für einen Angriff durch Einschleusung von SQL-Befehlen in Microsoft Defender für Cloud

  • Schlüsselextraktion: Dieses Muster deutet darauf hin, dass mithilfe einer kompromittierten Identität versucht wird, auf die Daten Ihrer Organisation zuzugreifen. Kompromittierte Identitäten und böswillige Insider versuchen in der Regel, die Zugriffsschlüssel für das Konto zu extrahieren, um eine Azure Cosmos DB-Datenbank zu missbrauchen. Diese Schlüssel ermöglichen Vollzugriff auf alle Daten im Azure Cosmos DB-Konto. Wenn es einem Angreifer gelingt, sich eine kompromittierte Identität zu verschaffen, ist es entscheidend, die Sicherheitsverletzung frühzeitig zu erkennen und sicherzustellen, dass der Angreifer keine Möglichkeit hat, Ihr Azure Cosmos DB-Konto zu scannen und wichtige Daten zu extrahieren. Defender für Azure Cosmos DB erkennt diese Kompromittierung frühzeitig und ermöglicht die Einrichtung einer Automatisierung, um Angreifer zu blockieren und die Bedrohung abzuwehren.
  • Bekannte Indikatoren für böswillige Akteure: Microsoft Defender für Cloud nutzt die umfassende Threat Intelligence der Sicherheitsplattform von Microsoft, damit Sicherheitsteams böswillige Akteure, die versuchen, auf ihre Datenbanken zuzugreifen, effektiver erkennen und auf sie reagieren können.
  • Verdächtige Verhaltensmuster: Durch Verhaltensmodellierung über einen längeren Zeitraum erkennt Microsoft Defender für Cloud verdächtige Verhaltensweisen in Ihren Azure Cosmos DB-Konten, die auf kompromittierte Identitäten oder Schlüssel oder auf böswillige Insider hindeuten können. 

Eine vollständige Liste der Warnungen von Defender für Azure Cosmos DB finden Sie im Referenzhandbuch für Sicherheitswarnungen unter Warnungen für Azure Cosmos DB (Vorschau).

Übersicht über die Umgebung zur Bedrohungserkennung und -behandlung in Microsoft Defender für Cloud

Einfaches Aktivieren des Schutzes für alle Ihre Datenbanktypen in Microsoft Defender für Cloud

Das neue Bedrohungsschutzangebot für Azure Cosmos DB ist jetzt in Microsoft Defender für Cloud verfügbar – zusammen mit einer neu gestalteten datenbankorientierten Aktivierung.

Um die Aktivierung des Datenbankschutzes für die verschiedenen Datenbanktypen in Ihren Cloud- und Hybridumgebungen zu vereinfachen, haben wir eine zentrale Verwaltungsumgebung für SQL-Datenbanken, MariaDB und Azure Cosmos DB erstellt. Zwar erfordert jeder Datenbanktyp einen speziell angepassten Ansatz mit benutzerdefinierten Sicherheitskontrollen und individuell optimierten Bedrohungserkennungsmodellen, die Sicherheitsfunktionen in Microsoft Defender für Cloud wurden von uns jedoch übergreifend standardisiert.

Sie können den Schutz für Azure Cosmos DB entweder auf Abonnement- oder Ressourcenebene aktivieren oder den Schutz für alle Ihre Datenbanktypen mit einem einfachen Klick aktivieren. Ausführliche Anleitungsschritte finden Sie in unserer Einführung in Microsoft Defender für SQL.

Benutzeroberfläche der neuen Planaktivierungsoberfläche für den Datenbankschutz in Microsoft Defender für Cloud

Mit der zusätzlichen Unterstützung von Azure Cosmos DB bietet Microsoft Defender für Cloud nun eines der umfassendsten Workloadschutzangebote für cloudbasierte Datenbanken. Sicherheitsteams und Datenbankbesitzer erhalten dadurch eine zentrale Umgebung für die Verwaltung der Datenbanksicherheit in ihren Umgebungen.

Microsoft Defender für Cloud ist eine Lösung für die Verwaltung des Cloudsicherheitsstatus (Cloud Security Posture Management, CSPM) sowie für den Cloudworkloadschutz (Cloud Workload Protection, CWP), die Schwachstellen in Ihrer Cloudkonfiguration finden, den allgemeinen Sicherheitsstatus Ihrer Umgebung verbessern und Workloads in Multicloud- und Hybridumgebungen vor neuen Bedrohungen schützen kann.

Weitere Informationen