La evaluación de vulnerabilidades de SQL ayuda a identificar los puntos vulnerables de la base de datos
La evaluación de vulnerabilidades de SQL es un servicio fácil de configurar que puede detectar y corregir posibles puntos vulnerables en la base de datos, así como realizar un seguimiento de estos. Úselo para mejorar la seguridad de la base de datos de manera proactiva para:
Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics
La evaluación de vulnerabilidades forma parte de Microsoft Defender para Azure SQL, que es un paquete unificado de funcionalidades de seguridad avanzadas de SQL. Se puede acceder a la evaluación de vulnerabilidades y administrarla desde cada recurso de base de datos SQL en Azure Portal.
Nota:
Se admite la evaluación de vulnerabilidades para Azure SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics. En lo que resta de artículo, se hace referencia a las bases de datos de Azure SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics colectivamente como "bases de datos", y por servidor se entiende el servidor donde se hospedan las bases de datos de Azure SQL Database y Azure Synapse.
¿Qué es la evaluación de vulnerabilidades de SQL?
La evaluación de vulnerabilidades de SQL es un servicio que proporciona visibilidad del estado de seguridad. La evaluación de vulnerabilidades incluye pasos procesables para resolver problemas de seguridad y mejorar la seguridad de la base de datos. Puede ayudarle a supervisar un entorno de base de datos dinámico en el que es difícil realizar un seguimiento de los cambios y mejorar su posición de seguridad de SQL.
La evaluación de vulnerabilidad es un servicio de detección integrado en Azure SQL Database. Este servicio emplea una base de conocimiento de reglas que marcan las vulnerabilidades de seguridad. Se resaltan las desviaciones de los procedimientos recomendados, como configuraciones inadecuadas, permisos excesivos y datos confidenciales desprotegidos.
Las reglas se basan en los procedimientos recomendados de Microsoft y se centran en los problemas de seguridad que presentan mayores riesgos para la base de datos y sus valiosos datos. Tratan los problemas de nivel de base de datos y los problemas de seguridad de nivel de servidor, como la configuración del firewall de servidor y los permisos de nivel de servidor.
Los resultados del examen incluyen pasos que requieren acción para corregir cada uno de los problemas y proporcionan scripts de solución personalizados donde sea aplicable. Para personalizar un informe de evaluación de su entorno, debe establecer una línea de base aceptable de lo siguiente:
- Configuraciones de permisos
- Configuraciones de características
- Configuración de base de datos
¿Qué es la configuración rápida y la configuración clásica?
Puede configurar la evaluación de vulnerabilidades para las bases de datos SQL con:
Configuración rápida: procedimiento predeterminado que permite configurar la evaluación de vulnerabilidades sin depender del almacenamiento externo para almacenar los datos de línea de base y de los resultados del examen.
Configuración clásica: procedimiento heredado que requiere que administre una cuenta de almacenamiento de Azure para almacenar los datos de línea de base y de los resultados del examen.
¿Cuál es la diferencia entre la configuración rápida y clásica?
Comparación de las ventajas y limitaciones de los modos de configuración:
| Parámetro | Configuración rápida | Configuración clásica |
|---|---|---|
| Tipos SQL admitidos | • Base de datos SQL de Azure • Grupos de SQL dedicados de Azure Synapse (antes denominado SQL DW) |
• Base de datos SQL de Azure • Azure SQL Managed Instance • Azure Synapse Analytics |
| Ámbito de directiva admitido | • Suscripción • Servidor |
• Suscripción • Servidor • Base de datos |
| Dependencias | None | Cuenta de almacenamiento de Azure |
| Examen periódico | • Siempre activo • La programación de exámenes es interna y no configurable |
• Activación/desactivación configurable La programación de exámenes es interna y no configurable |
| Examen de bases de datos del sistema | • Examen programado • Examen manual |
• Examen programado solo si hay una base de datos de usuario o más • Examen manual cada vez que se examina una base de datos de usuario |
| Reglas admitidas | Todas las reglas de evaluación de vulnerabilidades para el tipo de recurso admitido | Todas las reglas de evaluación de vulnerabilidades para el tipo de recurso admitido |
| Configuración de línea de base | • Lote: varias reglas en un solo comando • Establecer según los resultados del último examen • Regla única |
• Regla única |
| Aplicar línea de base | Se aplicará sin volver a examinar la base de datos | Se aplicará solo después de volver a examinar la base de datos |
| Tamaño del resultado del examen de una sola regla | Máximo de 1 MB | Sin límite |
| Notificaciones por correo electrónico | • Logic Apps | • Programador interno • Logic Apps |
| Exportación de exámenes | Azure Resource Graph | Formato de Excel, Azure Resource Graph |
| Nubes compatibles | Nubes comerciales Azure Government Microsoft Azure operado por 21Vianet |
Nubes comerciales Azure Government Azure operado por 21Vianet |
Pasos siguientes
- Habilitación de las evaluaciones de vulnerabilidades de SQL
- Preguntas frecuentes y solución de problemas sobre la configuración rápida.
- Más información sobre Microsoft Defender para Azure SQL
- Más información sobre la clasificación y detección de datos
- Más información sobre el Almacenamiento de los resultados del examen de evaluación de vulnerabilidad en una cuenta de almacenamiento accesible detrás de firewalls y redes virtuales