Was ist Datenbanksicherheit?

• Firewalls dienen als erste Verteidigungslinie in der DiD-Datenbanksicherheit. Eine Firewall trennt oder beschränkt logisch den Netzwerkverkehr und kann zum Verstärken der Datensicherheitsrichtlinie der Organisation konfiguriert werden. Wenn Sie eine Firewall verwenden, wird die Sicherheit auf Betriebssystemebene erhöht, indem ein Punkt zur Verfügung gestellt wird, auf den der Sicherheitsmaßstab ausgerichtet werden kann.

• Authentifizierungs ist der Prozess des Nachweises, dass der Benutzer derjenige ist, der er vorgibt zu sein, indem er die richtige Benutzer-ID und das richtige Kennwort eingibt. Einige Sicherheitslösungen ermöglichen Administratoren die zentrale Verwaltung der Identitäten und Berechtigungen von Datenbankbenutzern an einem zentralen Ort. Dies umfasst auch die Minimierung der Kennwortspeicherung und ermöglicht Richtlinien zur zentralisierten Kennwortrotation.
• Autorisierung ermöglicht es jedem Benutzer, auf bestimmte Datenobjekte zuzugreifen und bestimmte Datenbankoperationen durchzuführen, wie z. B. Daten lesen, aber nicht ändern, Daten ändern, aber nicht löschen oder Daten löschen.
• Zugriffssteuerung wird vom Systemadministrator verwaltet, der einem Benutzer innerhalb einer Datenbank Berechtigungen zuweist. Berechtigungen werden idealerweise verwaltet, indem Benutzerkonten zu Datenbankrollen hinzugefügt und diesen Rollen Berechtigungen auf Datenbankebene zugewiesen werden. Beispielsweise ermöglicht die Sicherheit auf Zeilenebene (RLS) Datenbankadministratoren, den Lese- und Schreibzugriff auf Datenzeilen basierend auf der Identität eines Benutzers, Rollenmitgliedschaften oder dem Abfrageausführungskontext einzuschränken. RLS zentralisiert die Zugriffslogik in der Datenbank selbst, was den Anwendungscode vereinfacht und das Risiko einer versehentlichen Datenpreisgabe verringert.

• Überprüfungen verfolgen Datenbankaktivitäten und helfen bei der Einhaltung von Sicherheitsstandards, indem sie Datenbankereignisse in einem Prüfprotokoll aufzeichnen. Dadurch können Benutzer die fortlaufenden Datenbankaktivitäten überwachen und die Verlaufsaktivität analysieren und untersuchen, um potenzielle Bedrohungen oder vermutete Missbrauchsfälle und Sicherheitsverletzungen zu identifizieren.
• Bedrohungserkennung deckt anomale Datenbankaktivitäten auf, die auf eine potenzielle Sicherheitsbedrohung für die Datenbank hinweisen, und kann Informationen über verdächtige Ereignisse direkt an den Administrator weiterleiten.

• Datenverschlüsselung schützt sensible Daten, indem sie sie in ein alternatives Format umwandelt, so dass nur die vorgesehenen Parteien sie in ihre ursprüngliche Form zurückverwandeln und auf sie zugreifen können. Obwohl die Verschlüsselung die Probleme der Zugangskontrolle nicht löst, erhöht sie die Sicherheit, indem sie den Datenverlust bei Umgehung der Zugangskontrolle begrenzt. Wenn der Datenbankhostcomputer beispielsweise falsch konfiguriert wurde und ein böswilliger Benutzer Zugriff auf sensible Daten wie Kreditkartennummern gewinnt, sind die gestohlenen Informationen nutzlos, wenn sie verschlüsselt wurden.
• Sicherungsdaten und die Wiederherstellung von Datenbanken sind für den Schutz von Informationen von entscheidender Bedeutung. Bei diesem Verfahren werden regelmäßig Sicherungskopien der Datenbank und der Protokolldateien erstellt und an einem sicheren Ort aufbewahrt. Die Sicherungskopie und die Datei stehen zur Verfügung, um die Datenbank im Falle einer Sicherheitsverletzung oder eines Ausfalls wiederherzustellen.
• Die physische Sicherheit beschränkt den Zugriff auf den physischen Server und Hardwarekomponenten. Viele Organisationen mit lokalen Datenbanken verwenden abgeschlossene Räume mit eingeschränktem Zugang für die Datenbankserverhardware und für Netzwerkgeräte. Es ist außerdem wichtig, den Zugriff auf Sicherungsmedien durch Aufbewahren der Medien an einem sicheren, getrennten Ort zu beschränken.

Die Sicherung oder "Härtung" eines Datenbankservers kombiniert physische, Netzwerk- und Betriebssystemsicherheit, um Schwachstellen zu beseitigen und Hackern den Zugriff auf das System zu erschweren. Bewährte Methoden für die Datenbankhärtung variieren je nach Typ der Datenbankplattform. Zu den üblichen Schritten gehören die Verstärkung des Kennwortschutzes und der Zugangskontrollen, die Sicherung des Netzwerkverkehrs und die Verschlüsselung sensibler Felder in der Datenbank.

Durch die Stärkung der Datenverschlüsselung erleichtern diese Funktionen den Unternehmen die Sicherung ihrer Daten und die Einhaltung von Vorschriften:

• Always Encrypted-Daten bieten integrierten Schutz von Daten vor Diebstahl während der Übertragung, im Arbeitsspeicher, auf dem Datenträger und sogar während der Abfrageverarbeitung.
• Transparent Data Encryption schützt vor der Bedrohung durch bösartige Offlineaktivitäten, indem gespeicherte Daten (ruhende Daten) verschlüsselt werden. TDE ver- und entschlüsselt die Datenbank, die zugehörigen Sicherungen und die Transaktionsprotokolldateien im Ruhezustand in Echtzeit, ohne dass Änderungen an der Anwendung erforderlich sind.

In Kombination mit der Unterstützung der stärksten Version des Transport Layer Security (TLS)-Netzwerkprotokolls bieten die stets verschlüsselten Daten und die transparente Datenverschlüsselung eine umfassende Verschlüsselungslösung für Finanz-, Bank- und Gesundheitsorganisationen, die den Payment Card Industry Data Security Standard (PCI DSS) einhalten müssen, der einen starken End-to-End-Schutz von Zahlungsdaten vorschreibt.

Advanced Threat Protection analysiert Protokolle auf ungewöhnliches Verhalten und potenziell schädliche Zugriffs- oder Offenlegungsversuche bei Datenbanken. Warnungen werden für verdächtige Aktivitäten wie SQL-Injektion, potenzielle Dateninfiltration und Brute-Force-Angriffe oder für Anomalien in den Zugriffsmustern erstellt, um Berechtigungserweiterungen und die Verwendung gefährdeter Anmeldeinformationen zu erfassen.

Als bewährte Methode sollten Benutzer und Anwendungen verschiedenen Konten verwenden, um sich zu authentifizieren. Dies kann die Anzahl von an Benutzer und Anwendungen verliehenen Berechtigungen beschränken und das Risiko böswilliger Aktivitäten reduzieren. Es ist besonders wichtig, wenn Anwendungscode anfällig für Angriffe durch Einschleusung von SQL-Befehlen ist.

Zur Erhöhung der Informationssicherheit sollte Benutzern und Anwendungen gemäß dem Prinzip der geringsten Rechtebestätigt nur Zugriff auf Daten und Vorgänge gewährt werden, die sie für die Ausführung ihrer Aufgaben benötigen. Diese bewährte Methode trägt dazu bei, die Angriffsfläche der Anwendung und die Auswirkungen eines Sicherheitsverstoßes (den Explosionsradius) zu verringern, sollte es zu einem solchen kommen.

Bewährte Methoden für die Datenbanksicherheit sollten Teil eines umfassenden Sicherheitsansatzes sein, der plattform- und cloudübergreifend funktioniert, um Ihr gesamtes Unternehmen zu schützen. Ein Zero Trust-Sicherheitsmodell überprüft Identitäten und Gerätekonformität für jede Zugriffsanforderung, um Personen, Geräte, Apps und Daten überall dort zu schützen, wo sie sich befinden. Im Gegensatz zu der Annahme, dass alles hinter der Firewall sicher ist, wird beim Zero Trust-Modell immer von Sicherheitsverletzungen ausgegangen. Jede Anforderung wird so geprüft, als stamme sie aus einem offenen Netzwerk. Unabhängig vom Ursprung einer Anforderung oder der angeforderten Ressource lehrt Zero Trust, "niemals zu vertrauen und immer zu überprüfen".

Aktivieren von „Zero Trust“ mit Microsoft-Sicherheitslösungen. Verfolgen Sie einen End-to-End-Sicherheitsansatz, um Ihre Mitarbeiter, Daten und Infrastruktur zu schützen.

Stärken Sie Ihren Sicherheitsstatus mit Azure. Nutzen Sie die mehrschichtigen, integrierten Sicherheitssteuerungen und die einzigartige Threat Intelligence von Azure, um neue Bedrohungen zu erkennen und sich davor zu schützen. Mehr als 3500 globale Cybersicherheitsexperten arbeiten zusammen, um Ihre Daten in Azure zu schützen.

Nutzen Sie die Vorteile der integrierten Sicherheitstools und -dienste von Azure Database, einschließlich Always Encrypted-Technologie; intelligentem Bedrohungsschutz; Sicherheitskontrollen, Datenbankzugriffs- und Autorisierungskontrollen wie Sicherheit auf Zeilenebene und dynamische Datenmaskierung, Überprüfung, Bedrohungserkennung und Datenüberwachung mit Microsoft Defender for Cloud.

Schützen Sie Ihre NoSQL-Datenbanken mit Azure Cosmos DB, das  umfassende erweiterte Datenbanksicherheitstools enthält, mit denen Sie Datenbankangriffe verhindern, erkennen und darauf reagieren können.