La valutazione della vulnerabilità SQL consente di identificare le vulnerabilità del database
Valutazione della vulnerabilità di SQL è un servizio semplice da configurare che consente di individuare, monitorare e risolvere potenziali vulnerabilità del database. È consigliabile usarlo per migliorare in modo proattivo la sicurezza del database per:
database Azure SQLIstanza gestita di SQL di AzureAzure Synapse Analytics
La valutazione della vulnerabilità fa parte di Microsoft Defender per Azure SQL, ovvero un pacchetto unificato per le funzionalità di sicurezza SQL avanzate. È possibile accedere e gestire la valutazione della vulnerabilità da ogni risorsa del database SQL nel portale di Azure.
Nota
La valutazione delle vulnerabilità è supportata per database Azure SQL, Istanza gestita di SQL di Azure e analisi Azure Synapse. I database nel database Azure SQL, Istanza gestita di SQL di Azure e Azure Synapse Analytics vengono definiti collettivamente nel resto di questo articolo come database e il server fa riferimento al server che ospita i database per Azure SQL Database e Azure Synapse.
Che cos'è la valutazione della vulnerabilità SQL?
La valutazione della vulnerabilità SQL è un servizio che offre visibilità sullo stato di sicurezza. Valutazione della vulnerabilità include procedure operative per risolvere i problemi di sicurezza e migliorare la sicurezza del database. Consente di monitorare un ambiente di database dinamico in cui è difficile tenere traccia delle modifiche e di migliorare la postura di sicurezza di SQL.
Valutazione della vulnerabilità è un servizio di analisi integrato nel database SQL di Azure. Il servizio usa una knowledge base di regole che segnalano le vulnerabilità. Evidenzia le deviazioni dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti.
Le regole si basano sulle procedure consigliate di Microsoft e si concentrano sui problemi di sicurezza che presentano i maggiori rischi per il database e i suoi preziosi dati. Coprono problemi a livello di database e problemi di sicurezza a livello di server, come le impostazioni del firewall del server e le autorizzazioni a livello di server.
I risultati dell'analisi includono le azioni applicabili per risolvere ogni problema, oltre a script di correzione personalizzati, ove applicabile. È possibile personalizzare un report di valutazione per l'ambiente impostando una baseline accettabile per:
- Configurazioni delle autorizzazioni
- Configurazioni delle funzionalità
- Impostazioni database
Quali sono le configurazioni express e classiche?
È possibile configurare la valutazione delle vulnerabilità per i database SQL con:
Configurazione rapida : la procedura predefinita che consente di configurare la valutazione della vulnerabilità senza dipendenza dall'archiviazione esterna per archiviare i dati dei risultati della baseline e dell'analisi.
Configurazione classica : la procedura legacy che richiede di gestire un account di archiviazione di Azure per archiviare i dati di base e analizzare i dati dei risultati.
Qual è la differenza tra la configurazione rapida e classica?
Confronto tra i vantaggi e le limitazioni delle modalità di configurazione:
| Parametro | Configurazione rapida | Configurazione classica |
|---|---|---|
| Sapori SQL supportati | • Database SQL di Azure • Azure Synapse pool SQL dedicati (in precedenza SQL DW) |
• Database SQL di Azure • Istanza gestita di SQL di Azure • analisi Azure Synapse |
| Ambito criteri supportati | •Sottoscrizione •Server |
•Sottoscrizione •Server •Database |
| Dipendenze | Nessuno | Account di archiviazione di Azure |
| Analisi ricorrente | • Sempre attivo • La pianificazione dell'analisi è interna e non configurabile |
• Configurabile on/off La pianificazione dell'analisi è interna e non configurabile |
| Regole supportate | Tutte le regole di valutazione della vulnerabilità per il tipo di risorsa supportato. | Tutte le regole di valutazione della vulnerabilità per il tipo di risorsa supportato. |
| Impostazioni di base | • Batch : diverse regole in un comando • Impostare in base ai risultati dell'analisi più recenti • Regola singola |
• Regola singola |
| Applicare la baseline | Avrà effetto senza eseguire il rescanning del database | Avrà effetto solo dopo la riesecuzione del database |
| Dimensioni dei risultati dell'analisi di regole singole | Massimo di 1 MB | Nessuna limitazione |
| Notifiche di posta elettronica | • App per la logica | • Utilità di pianificazione interna • App per la logica |
| Eseguire l'analisi dell'esportazione | Diagramma delle risorse di Azure | Formato Excel, Resource Graph di Azure |
| Cloud supportati | Cloud commercialiAzure per enti pubblici Microsoft Azure gestito da 21Vianet |
Cloud commercialiAzure per enti pubblici Azure gestito da 21Vianet |
Passaggi successivi
- Abilitare le valutazioni delle vulnerabilità SQL
- Domande frequenti sulla configurazione rapida e risoluzione dei problemi.
- Altre informazioni sulle Microsoft Defender per Azure SQL.
- Altre informazioni sull'individuazione e la classificazione dei dati.
- Altre informazioni sull'archiviazione dell'analisi della valutazione delle vulnerabilità comportano un account di archiviazione accessibile dietro firewall e reti virtuali.