مشاركة عبر

تخزين نتائج فحص تقييم الثغرات الأمنية في حساب تخزين يمكن الوصول إليه خلف جدران الحماية ووحدات VNet

  • مقالة

ينطبق على: قاعدة بيانات Azure SQL مثيل Azure SQL المُدار Azure Synapse Analytics

إذا كنت تقيد الوصول إلى حساب التخزين الخاص بك في Azure لبعض وحدات VNet أو الخدمات، فستحتاج إلى تمكين التكوين المناسب بحيث يمكن لفحص تقييم الثغرات الأمنية (VA) لقواعد بيانات SQL أو المثيلات المدارة الوصول إلى حساب التخزين ذلك.

المتطلبات الأساسية

تحتاج خدمة تقييم ثغرات SQL الأمنية إلى إذن إلى حساب التخزين لحفظ الخط الأساسي ونتائج الفحص. توجد ثلاث طرق:

  • استخدام مفتاح حساب التخزين: يقوم Azure بإنشاء مفتاح SAS ويحفظه (على الرغم من أننا لا نحفظ مفتاح الحساب)
  • استخدام مفتاح التخزين SAS: يجب أن يتميز المفتاح SAS بما يلي: أذونات الكتابة | الإدراج | القراءة | الحذف
  • استخدام الهوية المُدارة لـ SQL Server: يجب أن يكون لدى SQL Server هوية مُدارة. يجب أن يشتمل حساب التخزين على تعيين دور لهوية SQL المدارة بوصفه مساهم بيانات كائن ثنائي كبير الحجم للتخزين. عند تطبيق الإعدادات، يجب أن يكون حقلا storageContainerSasKey وstorageAccountAccessKey فارغين. عندما يكون التخزين خلف جدار حماية أو شبكة ظاهرية، فإن هوية SQL المُدارة تكون مطلوبة.

عند استخدام مدخل Microsoft Azure لحفظ إعدادات SQL VA، يتحقق Azure مما إذا كان لديك الإذن لتعيين دور جديد للهوية المُدارة بوصفك مساهم كائن ثنائي كبير الحجم للتخزين في وحدة التخزين. إذا تم تعيين الأذونات، يقوم Azure باستخدام الهوية المدارة لـ SQL Server، وإلا، فسيستخدم Azure أسلوب المفتاح.

تمكين وصول فحص VA لقاعدة بيانات Azure SQL إلى حساب التخزين

إذا كنت قد قمت بتكوين حساب تخزين VA بحيث لا يمكن الوصول إليه إلا بواسطة شبكات أو خدمات معينة، فستحتاج إلى التأكد من أن عمليات فحص VA لقاعدة بيانات Azure SQL قادرة على تخزين عمليات الفحص على حساب التخزين. يمكنك استخدام حساب التخزين الموجود أو إنشاء حساب تخزين جديد لتخزين نتائج فحص VA لجميع قواعد البيانات على خادم SQL المنطقي.

ملاحظة

لا يمكن لخدمة تقييم الثغرة الأمنية الوصول إلى حسابات التخزين المحمية بجدران الحماية أو وحدات VNet إذا كانت تتطلب مفاتيح وصول إلى التخزين.

انتقل إلى مجموعة الموارد التي تحتوي على حساب التخزين وقم بالوصول إلى جزء حساب التخزين. ضمن الإعدادات، قم بتحديد جدار الحماية والشبكات الظاهرية.

تأكد من تحديد السماح بوصول خدمات Microsoft الموثوق بها إلى حساب التخزين هذا.

Screenshot shows Firewall and virtual networks dialog box, with Allow trusted Microsoft services to access this storage account selected.

لمعرفة حساب التخزين الذي يتم استخدامه، انتقل إلى جزء خادم SQL في مدخل Microsoft Azure، ضمن Security، ثم حدد Defender for Cloud.

set up vulnerability assessment

ملاحظة

يمكنك إعداد تنبيهات البريد الإلكتروني لإعلام المستخدمين في مؤسستك بعرض تقارير الفحص أو الوصول إليها. للقيام بذلك، تأكد من أن لديك أذونات SQL Security Manager وقارئ بيانات الكائن الثنائي الكبير الحجم للتخزين.

قم بتخزين نتائج فحص VA لمثيل Azure SQL المُدار في حساب تخزين يمكن الوصول إليه خلف جدار حماية أو VNet

ولأن المثيل المدار ليس خدمة من خدمات Microsoft الموثوق بها ويشتمل على VNet مختلف من حساب التخزين، فإن تنفيذ فحص VA سيؤدي إلى خطأ.

من أجل دعم عمليات فحص VA على المثيلات المدارة، اتبع الخطوات التالية:

  1. في جزء مثيل SQL المدار، ضمن عنوان نظرة عامة، انقر فوق ارتباط الشبكة الظاهرية/الشبكة الفرعية. يأخذ هذا الإجراء إلى جزء الشبكة الظاهرية.

    mi-overview2

  2. ضمن Settings، اختر Subnets. انقر فوق الشبكة الفرعية في الجزء الجديد لإضافة شبكة فرعية، وقم بتفويضها إلى Microsoft.Sql\managedInstance. لمزيد من المعلومات، راجع إدارة الشبكات الفرعية.

    Screenshot shows a subnet that has been delegated Microsoft.sql\managedInstance.

  3. في جزء الشبكة الظاهرية، ضمن الإعدادات، حدد نقاط نهاية الخدمة. انقر فوق إضافة في الجزء الجديد، ثم قم بإضافة خدمة Microsoft.Storage كنقطة نهاية خدمة جديدة. تأكد من تحديد الشبكة الفرعية ManagedInstance. انقر فوق Add.

    Screenshot shows Add service endpoints, where you add the Microsoft.Storage Service as an endpoint.

  4. انتقل إلى حساب التخزين الذي قمت بتحديده لتخزين عمليات فحص VA. ضمن الإعدادات، قم بتحديد جدار الحماية والشبكات الظاهرية. انقر على إضافة شبكة ظاهرية موجودة. حدد الشبكة الظاهرية للمثيل المدار والشبكة الفرعية، وانقر فوق إضافة.

    Screenshot shows the Firewalls and virtual networks pane, which contains the Add existing virtual network link.

ينبغي أن تكون قادرًا الآن على تخزين عمليات فحص VA للمثيلات المدارة في حساب التخزين لديك.

قم باستكشاف المشكلات الشائعة المتعلقة بعمليات فحص الثغرات الأمنية وإصلاحها.

الفشل في حفظ إعدادات تقييم الثغرات الأمنية

قد لا تتمكن من حفظ التغييرات في إعدادات تقييم الثغرات الأمنية إذا لم يفِ حساب التخزين ببعض المتطلبات الأساسية أو إذا كانت لديك أذونات غير كافية.

متطلبات حساب التخزين

يجب أن يفي حساب التخزين الذي يتم حفظ نتائج فحص تقييم الثغرات الأمنية فيه بالمتطلبات التالية:

  • النوع: StorageV2 (الإصدار رقم 2 ذو الغرض العام) أو التخزين (الإصدار رقم 1 ذو الغرض العام)
  • الأداء: قياسي (فقط)
  • المنطقة: يجب أن يكون التخزين في المنطقة نفسها التي يوجد فيها مثيل Azure SQL Server.

إذا لم يتم استيفاء أي من هذه المتطلبات، يفشل حفظ التغييرات في إعدادات تقييم الثغرات الأمنية.

الأذونات

الأذونات التالية مطلوبة لحفظ التغييرات على إعدادات تقييم الثغرات الأمنية:

  • إدارة أمان SQL
  • قارئ بيانات كائن ثنائي كبير الحجم للتخزين
  • دور المالك في حساب التخزين

يتطلب تعيين دور جديد وصول المالك أو المستخدم المسؤول إلى حساب التخزين والأذونات التالية:

  • ⁧⁩مالك بيانات كائن ثنائي كبير الحجم للتخزين⁧⁩

لا يكون حساب التخزين مرئيًّا للاختيار في إعدادات تقييم الثغرات الأمنية

قد لا يظهر حساب التخزين في منتقي حسابات التخزين لعدة أسباب:

  • حساب التخزين الذي تبحث عنه غير موجود في الاشتراك المحدّد.
  • حساب التخزين الذي تبحث عنه ليس في المنطقة نفسها التي يقع بها مثيل Azure SQL Server.
  • ليست لديك أذونات Microsoft.Storage/storageAccounts/القراءة على حساب التخزين.

قد لا تتمكن من فتح رابط في رسالة إعلام إلكترونية حول نتائج الفحص أو عرض نتائج الفحص إذا لم تكن لديك الأذونات المطلوبة أو إذا كنت تستخدم مستعرضًا لا يدعم فتح نتائج الفحص أو عرضها.

الأذونات

تكون الأذونات التالية مطلوبة لفتح الارتباطات في إعلامات البريد الإلكتروني حول نتائج الفحص أو لعرض نتائج الفحص:

  • إدارة أمان SQL
  • قارئ بيانات كائن ثنائي كبير الحجم للتخزين

متطلبات المستعرض

متصفح Firefox لا يدعم فتح نتائج الفحص أو عرضها. نوصي باستخدام مستعرض Chrome أو Microsoft Edge لعرض نتائج فحص تقييم الثغرات الأمنية.

الخطوات التالية