Activer Defender pour les bases de données Azure SQL au niveau de l’étendue de l’abonnement
Les organisations disposant de plusieurs ressources Azure SQL ont besoin d’une approche cohérente de la protection de la sécurité qui s’adapte aux ressources existantes et couvre automatiquement les nouveaux déploiements. Contoso Financial Services fait face à ce défi avec plusieurs serveurs SQL entre les abonnements de production et de développement, où l’activation manuelle par ressource crée des lacunes et une surcharge opérationnelle.
| Étape | Action |
|---|---|
| Activer au niveau de l’abonnement | Activer Defender pour les bases de données Azure SQL pour toutes les ressources d’un abonnement |
| Appliquer avec la politique | Affecter Azure Policy à l’étendue du groupe d’administration pour couvrir les abonnements actuels et futurs |
| Vérifier la couverture | Vérifiez Defender for Cloud inventaire pour confirmer que toutes les ressources SQL affichent l’état de protection |
| Gérer les exclusions | Documenter et examiner les ressources intentionnellement exclues de la protection |
Activer la protection au niveau de l’abonnement
La façon la plus efficace de protéger les ressources Azure SQL consiste à activer Defender à l’étendue de l’abonnement, ce qui offre une protection immédiate pour toutes les ressources prises en charge et couvre automatiquement les nouvelles ressources à mesure que les équipes les créent.
Lorsque vous activez Defender pour Azure SQL bases de données au niveau de l’abonnement, la protection s’applique instantanément à toutes les instances sql Database, pools élastiques, instances managées SQL et pools SQL dédiés à Synapse Analytics dans cet abonnement. Cette action unique élimine la nécessité d’une configuration par ressource et garantit une posture de sécurité cohérente dans votre environnement.
Pour activer la protection au niveau de l’abonnement, accédez à Microsoft Defender for Cloud, sélectionnez Paramètres de l’environnement, choisissez l’abonnement cible et recherchez le plan Bases de données. Activez Defender pour Azure SQL Databases avec un simple interrupteur. Cette activation protège immédiatement toutes les ressources SQL existantes et étend la couverture à toutes les ressources créées ultérieurement. Les équipes de développement peuvent déployer de nouvelles bases de données SQL sans nécessiter d’autres étapes de configuration de sécurité.
Le modèle de tarification de Defender pour les bases de données Azure SQL utilise la tarification par serveur plutôt que les frais basés sur les transactions. Vous payez en fonction du nombre de serveurs SQL protégés, ce qui rend les coûts prévisibles, quel que soit le volume de charge de travail. Pour plus d’informations sur la tarification actuelle, consultez la page de tarification Defender for Cloud.
Appliquer la protection sur plusieurs abonnements
Azure Policy assure l'activation automatique de Defender sur plusieurs abonnements, utile lorsque votre organisation utilise des groupes de gestion pour organiser les ressources.
La définition de stratégie intégrée « Configurer Azure Defender pour que Azure SQL base de données soit activée » utilise un effet DeployIfNotExists pour activer automatiquement les Defender sur les abonnements non conformes. Lorsque vous attribuez cette stratégie à l’étendue du groupe d’administration, elle crée des tâches de correction pour les abonnements existants qui n’ont pas de protection et active automatiquement Defender sur les nouveaux abonnements ajoutés au groupe d’administration. Vous pouvez également configurer l’initiative "Configurer Microsoft Defender pour les Bases de Données afin qu'il soit activé", ce qui applique les quatre sous-plans de base de données dans une seule tâche.
Pour affecter la stratégie, accédez à Azure Policy, sélectionnez Definitions et recherchez « Defender SQL » pour localiser la stratégie appropriée. Affectez-le au niveau du groupe de gestion qui contient vos abonnements de production. Cette approche garantit que l’abonnement de production de Contoso conserve la protection même si des modifications de configuration se produisent et applique automatiquement la même norme de protection aux nouveaux abonnements créés pour d’autres unités commerciales ou régions.
Vérifier la couverture et gérer les exclusions
Une fois que l’administrateur a activé Defender, la vérification confirme que toutes les ressources SQL prévues reçoivent la protection et permettent d’identifier les lacunes de couverture.
L’inventaire Defender for Cloud fournit la vue la plus claire de l’état de protection. Accédez à Microsoft Defender for Cloud>Inventory, puis filtrez par type de ressource pour afficher les serveurs SQL et les instances managées SQL. La colonne Defender for Cloud affiche l’état de protection de chaque ressource. Toutes les ressources de production devraient afficher Activé. Vous pouvez également vérifier l’écran Recommendations et rechercher « Azure Defender pour SQL doit être activé sur des serveurs SQL non protégés ». Cette recommandation présente toutes les ressources SQL qui n’ont pas de protection.
Certaines organisations doivent exclure des ressources spécifiques de la couverture de Defender pour réduire le bruit opérationnel. Contoso peut exclure un serveur SQL de développement utilisé exclusivement pour les tests automatisés où les alertes de vulnérabilité créeraient des faux positifs pour l’équipe de sécurité. Pour configurer des exclusions, accédez à Microsoft Defender for Cloud> Paramètres de l’environnement, sélectionnez l’abonnement, choisissez Databases et configurez les exclusions au niveau de la ressource.
Documentez toutes les exclusions avec une justification claire et examinez-les tous les trimestres. Une ressource de production exclue accidentellement crée un écart de sécurité important. Le système ne génère pas d’alertes pour les menaces réelles contre cette ressource. Les exclusions doivent rester limitées aux environnements hors production où les événements de sécurité ne représentent pas de risque réel.
Avec Defender pour les bases de données Azure SQL activées et la couverture vérifiées, vous êtes prêt à étendre la protection aux services de base de données open source dans l'unité suivante.