Compartir vía


La evaluación de vulnerabilidades de SQL ayuda a identificar los puntos vulnerables de la base de datos

La evaluación de vulnerabilidades de SQL es un servicio fácil de configurar que puede detectar y corregir posibles puntos vulnerables en la base de datos, así como realizar un seguimiento de estos. Úselo para mejorar la seguridad de la base de datos de manera proactiva para:

Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

La evaluación de vulnerabilidades forma parte de Microsoft Defender para Azure SQL, que es un paquete unificado de funcionalidades de seguridad avanzadas de SQL. Se puede acceder a la evaluación de vulnerabilidades y administrarla desde cada recurso de base de datos SQL en Azure Portal.

Nota:

Se admite la evaluación de vulnerabilidades para Azure SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics. En lo que resta de artículo, se hace referencia a las bases de datos de Azure SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics colectivamente como "bases de datos", y por servidor se entiende el servidor donde se hospedan las bases de datos de Azure SQL Database y Azure Synapse.

¿Qué es la evaluación de vulnerabilidades de SQL?

La evaluación de vulnerabilidades de SQL es un servicio que proporciona visibilidad del estado de seguridad. La evaluación de vulnerabilidades incluye pasos procesables para resolver problemas de seguridad y mejorar la seguridad de la base de datos. Puede ayudarle a supervisar un entorno de base de datos dinámico en el que es difícil realizar un seguimiento de los cambios y mejorar su posición de seguridad de SQL.

La evaluación de vulnerabilidad es un servicio de detección integrado en Azure SQL Database. Este servicio emplea una base de conocimiento de reglas que marcan las vulnerabilidades de seguridad. Se resaltan las desviaciones de los procedimientos recomendados, como configuraciones inadecuadas, permisos excesivos y datos confidenciales desprotegidos.

Las reglas se basan en los procedimientos recomendados de Microsoft y se centran en los problemas de seguridad que presentan mayores riesgos para la base de datos y sus valiosos datos. Tratan los problemas de nivel de base de datos y los problemas de seguridad de nivel de servidor, como la configuración del firewall de servidor y los permisos de nivel de servidor.

Los resultados del examen incluyen pasos que requieren acción para corregir cada uno de los problemas y proporcionan scripts de solución personalizados donde sea aplicable. Para personalizar un informe de evaluación de su entorno, debe establecer una línea de base aceptable de lo siguiente:

  • Configuraciones de permisos
  • Configuraciones de características
  • Configuración de base de datos

¿Qué es la configuración rápida y la configuración clásica?

Puede configurar la evaluación de vulnerabilidades para las bases de datos SQL con:

  • Configuración rápida: procedimiento predeterminado que permite configurar la evaluación de vulnerabilidades sin depender del almacenamiento externo para almacenar los datos de línea de base y de los resultados del examen.

  • Configuración clásica: procedimiento heredado que requiere que administre una cuenta de almacenamiento de Azure para almacenar los datos de línea de base y de los resultados del examen.

¿Cuál es la diferencia entre la configuración rápida y clásica?

Comparación de las ventajas y limitaciones de los modos de configuración:

Parámetro Configuración rápida Configuración clásica
Tipos SQL admitidos • Base de datos SQL de Azure
• Grupos de SQL dedicados de Azure Synapse (antes denominado SQL DW)
• Base de datos SQL de Azure
• Azure SQL Managed Instance
• Azure Synapse Analytics
Ámbito de directiva admitido • Suscripción
• Servidor
• Suscripción
• Servidor
• Base de datos
Dependencias None Cuenta de almacenamiento de Azure
Examen periódico • Siempre activo
• La programación de exámenes es interna y no configurable
• Activación/desactivación configurable
La programación de exámenes es interna y no configurable
Examen de bases de datos del sistema • Examen programado
• Examen manual
• Examen programado solo si hay una base de datos de usuario o más
• Examen manual cada vez que se examina una base de datos de usuario
Reglas admitidas Todas las reglas de evaluación de vulnerabilidades para el tipo de recurso admitido Todas las reglas de evaluación de vulnerabilidades para el tipo de recurso admitido
Configuración de línea de base • Lote: varias reglas en un solo comando
• Establecer según los resultados del último examen
• Regla única
• Regla única
Aplicar línea de base Se aplicará sin volver a examinar la base de datos Se aplicará solo después de volver a examinar la base de datos
Tamaño del resultado del examen de una sola regla Máximo de 1 MB Sin límite
Notificaciones por correo electrónico • Logic Apps • Programador interno
• Logic Apps
Exportación de exámenes Azure Resource Graph Formato de Excel, Azure Resource Graph
Nubes compatibles Nubes comerciales
Azure Government
Microsoft Azure operado por 21Vianet
Nubes comerciales
Azure Government
Azure operado por 21Vianet

Pasos siguientes