https://thedotnetblog.com/nl/tags/sql-server-2025/Articles, tutorials and insights from the .NET community.Hugonl@thedotnetblog (The .NET Blog)@thedotnetblogThu, 04 Jun 2026 00:00:00 +0000https://thedotnetblog.com/nl/news/emiliano-montesdeoca/sql-server-maestro-agentic-ai-security-defense-in-depth/Thu, 04 Jun 2026 00:00:00 +0000Emiliano Montesdeocahttps://thedotnetblog.com/nl/news/emiliano-montesdeoca/sql-server-maestro-agentic-ai-security-defense-in-depth/Agentische AI introduceert bedreigingen waarvoor traditionele STRIDE-modellen niet zijn ontworpen. Zo mappt Microsoft SQL naar het MAESTRO-framework om een beheerde uitvoeringsgrens te bieden.<p>Beveiligingsbedreigingsmodellen worden gebouwd op aannames over wie of wat de verzoeken doet. STRIDE gaat uit van menselijke actoren die via gedefinieerde interfaces met systemen communiceren. AI-agents werken niet op die manier.</p> <h2 id="stride-werd-niet-ontworpen-voor-ai-agents">STRIDE Werd Niet Ontworpen voor AI-Agents</h2> <p>Agentische systemen werken autonoom, koppelen tools via API-aanroepen, nemen beslissingen over welke data op te halen en welke acties uit te voeren, en kunnen instructies ontvangen van meerdere bronnen — gebruikersprompts, toolresultaten, opgehaalde data. Het STRIDE-bedreigingsmodel (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) legt agent-specifieke aanvalsvectoren zoals promptinjectie, contextvergiftiging of toolmisbruik niet adequaat vast.</p> <p>De Cloud Security Alliance publiceerde het MAESTRO-framework specifiek voor het risico van AI-agents.</p> <h2 id="het-maestro-framework">Het MAESTRO-Framework</h2> <p>MAESTRO organiseert agentisch AI-risico in zeven lagen:</p> <ol> <li><strong>Foundation Models</strong> — de onderliggende LLM&rsquo;s en hun trainingskwetsbaarheden</li> <li><strong>Data Operations</strong> — gegevensopvraging, -opslag en -manipulatie</li> <li><strong>Agent Frameworks</strong> — de middleware voor agentorkestratie en -coördinatie</li> <li><strong>Deployment &amp; Infrastructure</strong> — waar agents worden uitgevoerd en hoe ze zijn geconfigureerd</li> <li><strong>Evaluation &amp; Observability</strong> — monitoring van agentgedrag in de loop van de tijd</li> <li><strong>Security &amp; Compliance</strong> — toegangscontroles, audit en regelgevende naleving</li> <li><strong>Agent Ecosystem</strong> — hoe agents met elkaar en externe tools communiceren</li> </ol> <p>Elke laag heeft specifieke aanvalsvectoren die traditionele beveiligingscontroles niet rechtstreeks aanpakken.</p> <h2 id="microsoft-sql-als-beheerde-uitvoeringsgrens">Microsoft SQL als Beheerde Uitvoeringsgrens</h2> <p>SQL Server 2025 mapt op concrete manieren naar MAESTRO-lagen:</p> <p><strong>Data Operations-laag</strong>: <code>AI_GENERATE_EMBEDDINGS</code> ingebouwd in T-SQL houdt vectorbewerkingen binnen de beheerde grens van de database. Data hoeft de database niet te verlaten naar de modelservice voor embeddingverwerking.</p> <p><strong>Security &amp; Compliance-lagen</strong>: Beveiliging op rijniveau (RLS) en dynamische datamaskering (DDM) worden toegepast ongeacht hoe het verzoek aankwam — van een menselijke gebruiker of een AI-agent. De agent kan controles niet omzeilen die door de database zelf worden afgedwongen.</p> <p><strong>Agent Frameworks-laag</strong>: Opgeslagen procedures dienen als toolgrenzen. In plaats van agents willekeurige SQL-toegang te geven, definieert u toegestane bewerkingen als procedures en stelt u ze beschikbaar als agenttools. Geparametriseerde queries voorkomen injectie op uitvoeringsniveau.</p> <p><strong>Evaluation &amp; Observability-laag</strong>: Auditlogboekregistratie en Query Store leggen vast wat elke agent daadwerkelijk uitvoerde — niet alleen wat hem was gevraagd te doen. Deze traceerbaarheid is cruciaal voor incidentonderzoeken in agentische systemen waar attributie complex is.</p> <h2 id="defense-in-depth-voor-agentische-ai">Defense-in-Depth voor Agentische AI</h2> <p>Het principe blijft hetzelfde als bij traditionele beveiliging: geen enkele controle is voldoende. Wat verandert is welke controles het meest tellen voor agents:</p> <p><strong>Explosiestraal verkleinen</strong>: toolbegrenzing via opgeslagen procedures betekent dat een gecompromitteerde agent alleen voorgedefinieerde bewerkingen kan uitvoeren. Het kan niet pivotteren naar willekeurige queries.</p> <p><strong>Observeerbaarheid</strong>: u moet na een incident kunnen antwoorden op &ldquo;wat deed deze agent precies?&rdquo;. Agentische AI-systemen zonder traceerbaarheid op databaseniveau hebben blinde vlekken die applicatielogboekregistratie niet dekt.</p> <p><strong>Beperkte uitvoering</strong>: parametrisering, RLS en DDM zijn beveiligingsactiva ongeacht of de aanroeper menselijk is. Verzwak ze niet om agents te accommoderen.</p> <p><strong>Verantwoording</strong>: SQL Server-auditlogboekregistratie maakt een record van wie (welke agent, met welke credentials) wat op welk moment uitvoerde. Dit telt wanneer agentische systemen acties ondernemen met reële gevolgen in de wereld.</p> <p>SQL Server 2025 werd niet gebouwd om agentisch risico abstract op te lossen — het werd gebouwd om een relationele database te zijn. Maar de governance die een enterprise database betrouwbaar maakt, blijkt precies wat een agent-uitvoeringsgrens veilig maakt.</p> <p>Originele post: <a href="https://devblogs.microsoft.com/azure-sql/microsoft-sql-security-across-the-maestro-stack-building-secure-agentic-ai-with-defense-in-depth/">Microsoft SQL Security Across the MAESTRO Stack</a></p>