Le service d'évaluation des vulnérabilités SQL vous aide à identifier les vulnérabilités des bases de données
Facile à configurer, le service d'évaluation des vulnérabilités SQL permet de détecter, d'assurer le suivi et de corriger les potentielles vulnérabilités des bases de données. Utilisez-le pour améliorer de façon proactive la sécurité de votre base de données pour :
Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics
L’évaluation des vulnérabilités fait partie de l’offre Microsoft Defender pour Azure SQL, qui est un ensemble unifié de fonctionnalités de sécurité SQL avancées. L’évaluation des vulnérabilités est accessible et gérée à partir de chaque ressource de base de données SQL dans le Portail Azure.
Notes
L'évaluation des vulnérabilités est prise en charge pour Azure SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics. Dans cet article, les bases de données d’Azure SQL Database, d’Azure SQL Managed Instance et d’Azure Synapse Analytics sont collectivement désignées sous le nom de « bases de données », et le terme « serveur » fait référence au serveur qui héberge les bases de données d’Azure SQL Database et d’Azure Synapse.
Qu'est-ce que l'évaluation des vulnérabilités SQL ?
L'évaluation des vulnérabilités SQL est un service qui offre une visibilité sur l'état de votre sécurité. L'évaluation des vulnérabilités comprend des étapes actionnables pour résoudre les problèmes de sécurité et renforcer la sécurité de votre base de données. Elle peut vous aider à superviser un environnement de base de données dynamique où les modifications sont difficiles à suivre et à améliorer votre posture de sécurité SQL.
L'évaluation des vulnérabilités est un service d'analyse intégré à Azure SQL Database. Le service utilise une base de connaissances de règles qui signalent les failles de sécurité. Il met en évidence les écarts par rapport aux bonnes pratiques, tels que les configurations incorrectes, les autorisations excessives et les données sensibles non protégées.
Les règles sont basées sur les bonnes pratiques de Microsoft et axées sur les problèmes de sécurité qui présentent des risques majeurs pour votre base de données et ses précieuses données. Elles couvrent les problèmes au niveau de la base de données et les problèmes de sécurité au niveau du serveur, comme les paramètres de pare-feu de serveur et les autorisations au niveau du serveur.
Les résultats de l’analyse sont accompagnés d’étapes actionnables pour résoudre chaque problème et, le cas échéant, de scripts de correction personnalisés. Vous pouvez personnaliser un rapport d’évaluation pour votre environnement en définissant une base de référence acceptable pour :
- Configurations d’autorisations
- Configurations de fonctionnalités
- Paramètres de base de données
Que sont les configurations rapide et classique ?
Vous pouvez configurer l’évaluation des vulnérabilités pour vos bases de données SQL avec :
Configuration express : La procédure par défaut qui vous permet de configurer l’évaluation des vulnérabilités sans dépendance vis-à-vis du stockage externe pour stocker les données de ligne de base et de résultats d’analyse.
Configuration classique : La procédure héritée qui vous oblige à gérer un compte de stockage Azure pour stocker les données de ligne de base et les résultats d’analyse.
Quelle est la différence entre la configuration rapide et la configuration classique ?
Comparaison des avantages et des limitations des modes de configuration :
Paramètre | Configuration rapide | Configuration classique |
---|---|---|
Versions de SQL prises en charge | • Azure SQL Database • Pools SQL dédiés Azure Synapse (anciennement SQL DW) |
• Azure SQL Database • Azure SQL Managed Instance • Azure Synapse Analytics |
Étendue de stratégie prise en charge | • Abonnement • Serveur |
• Abonnement • Serveur • Base de données |
Les dépendances | Aucun | Compte Azure Storage |
Analyse périodique | • Toujours active • La planification de l’analyse est interne et non configurable |
• Activation/désactivation configurable La planification de l’analyse est interne et non configurable |
Analyse de bases de données système | • Analyse planifiée • Analyse manuelle |
• Analyse planifiée uniquement s’il existe une ou plusieurs bases de données utilisateur • Analyse manuelle chaque fois qu’une base de données utilisateur est analysée |
Règles prises en charge | Toutes les règles d’évaluation des vulnérabilités pour le type de ressource pris en charge. | Toutes les règles d’évaluation des vulnérabilités pour le type de ressource pris en charge. |
Paramètres de ligne de base | • Lot : plusieurs règles dans une seule commande • Défini par les derniers résultats d’analyse • Règle unique |
• Règle unique |
Appliquer la ligne de base | Prend effet sans réanalyser la base de données | Prend effet uniquement après la nouvelle analyse de la base de données |
Taille du résultat de l’analyse à règle unique | Maximum de 1 Mo | Illimité |
Notifications par e-mail | • Logic Apps | • Planificateur interne • Logic Apps |
Exportation de l’analyse | Azure Resource Graph | Format Excel, Azure Resource Graph |
Clouds pris en charge | Clouds commerciaux Azure Government Microsoft Azure exploité par 21Vianet |
Clouds commerciaux Azure Government Azure exploité par 21Vianet |
Étapes suivantes
- Activer les évaluations des vulnérabilités SQL
- Questions courantes et résolution des problèmes concernant la configuration Express.
- En savoir sur Microsoft Defender pour Azure SQL.
- Apprenez-en davantage sur la découverte et la classification des données.
- Apprenez-en davantage sur le Stockage des résultats d’une analyse d’évaluation des vulnérabilités sur un compte de stockage accessible derrière des pare-feu et des réseaux virtuels.