Az SQL sebezhetőségi felmérése segít azonosítani az adatbázis biztonsági réseit
Az SQL-sebezhetőségi felmérés egy könnyen konfigurálható szolgáltatás, amely képes felderíteni és követni az adatbázisok potenciális biztonsági réseit, és segít orvosolni őket. Ezzel proaktívan javíthatja az adatbázis biztonságát a következő célokra:
Azure SQL Database Felügyelt Azure SQL-példány Azure Synapse Analytics
A sebezhetőségi felmérés az Azure SQL-hez készült Microsoft Defender része, amely a fejlett SQL biztonsági képességek egységes csomagja. A sebezhetőségi felmérés az Azure Portal minden SQL-adatbázis-erőforrásából elérhető és felügyelhető.
Feljegyzés
A sebezhetőségi felmérés az Azure SQL Database, az Azure SQL Managed Instance és az Azure Synapse Analytics esetében támogatott. Az Azure SQL Database-ben, az Azure SQL Managed Instance-ben és az Azure Synapse Analyticsben található adatbázisokra a jelen cikk további részében együttesen adatbázisokként hivatkozunk, a kiszolgáló pedig arra a kiszolgálóra hivatkozik, amely az Azure SQL Database és az Azure Synapse adatbázisait üzemelteti.
Mit jelent az SQL sebezhetőségi felmérés?
Az SQL sebezhetőségi felmérése olyan szolgáltatás, amely betekintést nyújt a biztonsági állapotba. A biztonsági rések felmérése végrehajtható lépéseket tartalmaz a biztonsági problémák megoldásához és az adatbázis biztonságának javításához. Segíthet egy dinamikus adatbázis-környezet monitorozásában, ahol a változások nehezen követhetők nyomon és javíthatók az SQL biztonsági helyzetében.
A biztonságirés-felmérés az Azure SQL Database-be épített ellenőrzési szolgáltatás. A szolgáltatás a biztonsági réseket jelző szabályok tudásbázis alkalmaz. Kiemeli az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat.
A szabályok a Microsoft ajánlott eljárásain alapulnak, és azokra a biztonsági problémákra összpontosítanak, amelyek az adatbázist és értékes adatait érintő legnagyobb kockázatokat mutatják be. Adatbázisszintű problémákat és kiszolgálószintű biztonsági problémákat, például kiszolgálói tűzfalbeállításokat és kiszolgálószintű engedélyeket fednek le.
A vizsgálat eredményei végrehajtható lépéseket tartalmaznak az egyes problémák megoldásához, és adott esetben testreszabott szervizelési szkripteket biztosítanak. Az értékelési jelentést testreszabhatja a környezetéhez egy elfogadható alapkonfiguráció beállításával:
- Engedélykonfigurációk
- Szolgáltatáskonfigurációk
- Adatbázis-beállítások
Mik az expressz és a klasszikus konfigurációk?
Az SQL-adatbázisok sebezhetőségi felmérését a következőkkel konfigurálhatja:
Expressz konfiguráció – Az alapértelmezett eljárás, amely lehetővé teszi a biztonságirés-felmérés külső tárolótól való függőség nélküli konfigurálását az alapkonfiguráció és az eredményadatok vizsgálatához.
Klasszikus konfiguráció – Az örökölt eljárás, amely megköveteli egy Azure Storage-fiók kezelését az alapkonfiguráció tárolásához és az eredményadatok vizsgálatához.
Mi a különbség az expressz és a klasszikus konfiguráció között?
A konfigurációs módok előnyeinek és korlátainak összehasonlítása:
| Paraméter | Expressz konfiguráció | Klasszikus konfiguráció |
|---|---|---|
| Támogatott SQL-ízek | • Azure SQL Database • Dedikált Azure Synapse SQL-készletek (korábban SQL DW) |
• Azure SQL Database • Felügyelt Azure SQL-példány • Azure Synapse Analytics |
| Támogatott szabályzat hatóköre | •Előfizetés •Kiszolgáló |
•Előfizetés •Kiszolgáló •Adatbázis |
| Függőségek | Egyik sem | Azure Storage-fiók |
| Ismétlődő vizsgálat | • Mindig aktív • A vizsgálat ütemezése belső, és nem konfigurálható |
• Konfigurálható be- és kikapcsolható A vizsgálat ütemezése belső, és nem konfigurálható |
| Rendszeradatbázisok vizsgálata | • Ütemezett vizsgálat • Manuális vizsgálat |
• Ütemezett vizsgálat csak akkor, ha egy vagy több felhasználói adatbázis van • Manuális vizsgálat minden alkalommal, amikor egy felhasználói adatbázist beolvasnak |
| Támogatott szabályok | A támogatott erőforrástípus összes sebezhetőségi felmérési szabálya. | A támogatott erőforrástípus összes sebezhetőségi felmérési szabálya. |
| Alapkonfiguráció beállításai | • Batch – több szabály egy parancsban • Beállítás a legújabb vizsgálati eredmények alapján • Egyetlen szabály |
• Egyetlen szabály |
| Alapterv alkalmazása | Az adatbázis újbóli létrehozása nélkül lép érvénybe | Csak az adatbázis újrakontaktálása után lép érvénybe |
| Egyszabályos vizsgálat eredményének mérete | Legfeljebb 1 MB | Korlátlan |
| E-mail-értesítések | • Logic Apps | • Belső ütemező • Logic Apps |
| Exportálás vizsgálata | Azure Resource Graph | Excel formátum, Azure Resource Graph |
| Támogatott felhők | Kereskedelmi felhők Azure Government A 21Vianet által üzemeltetett Microsoft Azure |
Kereskedelmi felhők Azure Government A 21Vianet által üzemeltetett Azure |
Következő lépések
- SQL-sebezhetőségi felmérések engedélyezése
- A konfigurációval kapcsolatos gyakori kérdések és hibaelhárítás.
- További információ az Azure SQL-hez készült Microsoft Defenderről.
- További információ az adatfelderítésről és -besorolásról.
- További információ a biztonságirés-felmérés eredményeinek tűzfalak és virtuális hálózatok mögött elérhető tárfiókban való tárolásáról.