SQL-Backups in Azure

Daten gesichert

In relationalen Datenbanken lagern oft geschäftskritische Daten eines Unternehmens. Hersteller von Datenbankprodukten haben deshalb ein Interesse daran, für "data at rest" sowie für die Zugangsprotokolle eine Verschlüsselung anzubieten. Microsofts SQL Server unterstützt diese Verfahren bereits seit einigen Versionen. Wir zeigen, wie Sie dank dieser Verschlüsselung Ihre SQL-Backups sicher in der Azure-Cloud ablegen.
Die Ransomware-Angriffe der vergangenen Monate haben vielen Administratoren die Bedeutung von funktionierenden Backupkonzepten schmerzlich vor Augen geführt. ... (mehr)

Werden die Daten in einer SQL-Datenbank nicht verschlüsselt, so kann der Angreifer eine gestohlene Datenbankdatei in eine fremde Instanz einhängen und so in aller Ruhe die Daten auswerten. Allerdings muss er, wenn er einen konsistenten Zustand dieser Datei mitnehmen möchte, die Datenbankinstanz anhalten oder die Datenbank aushängen. Dafür sind Administratorrechte an der SQL-Instanz erforderlich, und bei einer wichtigen Datenbank wird es in der Regel nicht unbemerkt bleiben, wenn sie offline geht.

Sicherungen von Datenbanken hingegen liegen gerne tage- oder wochenlang auf Speichermedien und sind nicht gegen unerlaubtes Lesen geschützt. Nachlässig vergebene Berechtigungen auf Ordnerfreigaben oder Cloudspeicher können schnell dazu führen, dass eine komplette konsistente Datenbankkopie in Form einer SQL-Sicherung entwendet werden kann, ohne dass dieser Zugriff der Sicherheitsüberwachung auffällt. Nichts liegt also näher, als die Datenbanksicherungen zu verschlüsseln, sodass die entwendeten Dateien für den Angreifer unbrauchbar sind.

Viele Datensicherungsprodukte bieten von sich aus eine Verschlüsselung der Backupmedien. Im SQL-Betrieb bleibt das native Datenbankbackup jedoch ein probates Mittel, um Zwischenstände vor oder nach wichtigen Transformationen zu fixieren, Datenbanken zu migrieren oder das Abschneiden von Transaktionsprotokollen vorzubereiten. Werden solche Sicherungen (normalerweise tragen diese Dateien die Erweiterung "BAK") nicht sofort und vor allem sicher gelöscht, besteht die Gefahr, dass die Daten entwendet werden.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019