SQL Server-Sicherheitsanalysen

Sicherheit im SQL Server ist weitaus mehr als die Vergabe von Rechten.

Natürlich darf nicht jeder Benutzer alle Rechte an allen Daten haben. Alleine mit Berechtigungsvergaben auf Datenbanken und Daten ist es nun aber auch nicht getan.

Die Sicherheit im SQL Server ist vielschichtig. Es gibt mehrere Ebenen, in den wiederum eine Vielzahl an Möglichkeiten und Funktionen zur Verfügung stehen.

 

Sind Sie sicher?

Die Frage, ob Ihre SQL Server-Installationen dem erforderlichen Grad an Sicherheit entsprechen, lässt sich am besten anhand einer SQL Server-Sicherheitsanalyse beantworten. Dabei gibt es viele Fragen zu klären.

Hier ein kleiner Auszug aus dem Fragenkatalog:

Sicherheit im SQL Server findet nicht nur in sondern auch schon an einer SQL Server-Instanz statt.
Welche Konten werden für die verschiedenen Dienste von SQL Server verwendet?
Welche Ports sind aktiviert?

Innerhalb der SQL Server-Instanz ist zunächst die Instanz selbst zu betrachten.
Welche Mitglieder sind in der Serverrolle sysadmin?
Wie wird das Konto sa verwendet?

Anschließend ist jede Datenbank für sich zu analysieren.
Welche Mitglieder sind in der Datenbankrolle db_owner?
Welche Berechtigungskonzepte regeln den Zugriff auf die Datenbank bzw. die Daten?

Verschlüsselung findet nicht nur in verschiedenen Ebenen statt, es gibt auch eine Vielzahl an Möglichkeiten.
Ist die Kommunikation zwischen Client und SQL Server verschlüsselt?
Welche Methoden zur Verschlüsselung der Daten sind im Einsatz?
Wie werden die Schlüssel und Zertifikate verwaltet?

Auch bei den einzelnen Diensten des SQL Servers gibt es sicherheitsrelevante Fragen.
Wie ist das Rollenkonzept in SQL Server Reporting Services aufgebaut?
Welche Paketsicherheit verwenden Sie in Ihren SQL Server Integration Services-Projekten?

Vertrauen ist gut – Kontrolle ist besser.
Werden unerlaubte Zugriffe erkannt, protokolliert und gemeldet?
Gibt es eine automatisierte Überwachung der Sicherheitseinstellungen?

 

Erfahrungen

Durch viele Beratungen, Fragen und Diskussionen im Bereich SQL Server-Sicherheit hat sich im Laufe der Zeit eine umfangreiche Checkliste ergeben.

Anhand dieser Checkliste habe ich bereits mehrere SQL Server-Installationen auf ihre Sicherheit hin analysiert. Ergebnis der Analysen waren entweder Empfehlungen zur Verbesserung der Sicherheitseinstellungen oder auch einfach nur der Beleg, dass der SQL Server ausreichend abgesichert war.

Ergänzt wurden diese Analysen durch die Konfiguration einer automatisierten Überwachung einiger Sicherheitseinstellungen. Bei Änderungen werden die Administratoren nun direkt informiert und können schnell die notwendigen Maßnahmen ergreifen.

Mit Erlaubnis der Geschäftsleitung und auch nur bei ausreichender Sensibilisierung der Administratoren zeigte ich bei einigen Kunden auch die ein oder andere Möglichkeit, wie sich ein Benutzer unerlaubt Zugang zum SQL Server verschaffen kann.

 

Vorträge und Seminare

Im April 2018 stellte ich bei der SQL Server und .NET Entwickler-Konferenz – kurz SNEK – verschiedene Möglichkeiten von SQL Server vor, mit denen sich die Anforderungen des heutigen Datenschutzes umsetzen lassen. Selbstverständlich hat die SQL Server-Sicherheit hierbei einen großen Anteil. Den Vortrag habe ich seitdem auch in mehreren Regionalgruppen der PASS gehalten.

Einen weiteren Vortrag zu diesem Thema gab es dann im Herbst 2018 bei der Access Entwickler Konferenz – kurz AEK. Dort zeigte ich, wie Access auf verschiedene Berechtigungskonzepte des SQL Servers und auch auf einige seiner Verschlüsselungsmethoden reagiert.

Aus dem ersten Vortrag ist das 2-tägige Seminar Datenschutz mit SQL Server entstanden. Die Anforderungen des heutigen Datenschutzes mögen zwar der Leitfaden dieses Seminars sein, die Umsetzung jedoch ist meist ein Thema der SQL Server-Sicherheit. Anhand vieler Beispiele und Übungsaufgaben zeigt dieses Seminar Möglichkeiten zur Absicherung einer SQL Server-Installation und liefert wie in all meinen Seminaren viele Praxistipps und Hinweise auf Fallstricke.

 

Projektbegleitung und -unterstützung

Gerne analysiere ich die Sicherheitseinstellungen Ihrer SQL Server-Installationen und gebe Ihnen Empfehlungen zu einer besseren Absicherung Ihrer SQL Server-Instanzen und SQL Server-Dienste.

Natürlich stehe ich Ihnen auch bei der Umsetzung dieser Empfehlungen als Berater und Trainer zur Seite und erhöhe mit Ihnen zusammen die Sicherheit Ihrer SQL Server-Umgebung.