SQL 脆弱性評価は、データベースの脆弱性を特定するのに役立ちます
SQL 脆弱性評価は、データベースの潜在的な脆弱性を検出、追跡、修復するのに役立つ、構成が容易なサービスです。 これは、次のデータベースのセキュリティを事前に強化するために使います。
Azure SQL データベース Azure SQL Managed Instance Azure Synapse Analytics
脆弱性評価は、高度な SQL セキュリティ機能の統合パッケージである Microsoft Defender for Azure SQL の一部です。 脆弱性評価は、Azure portal の各 SQL データベース リソースからアクセスして管理できます。
Note
脆弱性評価は、Azure SQL Database、Azure SQL Managed Instance、Azure Synapse Analytics でサポートされています。 Azure SQL Database、Azure SQL Managed Instance、Azure Synapse Analytics のデータベースは、この記事の残りの部分ではまとめてデータベースと呼ばれています。また、サーバーは、Azure SQL Database と Azure Synapse のデータベースをホストするサーバーを指しています。
SQL 脆弱性評価とは
SQL 脆弱性評価は、セキュリティの状態を可視化するサービスです。 脆弱性評価には、セキュリティの問題を解決し、データベースのセキュリティを強化するために実践できる手順が含まれています。 これは、変更の追跡が困難な動的なデータベース環境を監視し、SQL のセキュリティ態勢を改善するのに役立ちます。
脆弱性評価は、Azure SQL Database に組み込まれているスキャン サービスです。 このサービスでは、セキュリティの脆弱性にフラグを付ける規則のナレッジ ベースが採用されています。 これは、誤った設定、過剰なアクセス許可、保護されていない機密データなど、ベスト プラクティスからの逸脱を明らかにします。
規則は Microsoft のベスト プラクティスに基づき、データベースとその貴重なデータにとって最も大きなリスクとなるセキュリティの問題に注目します。 データベース レベルの問題と、サーバーのファイアウォール設定やサーバー レベルの権限などのサーバー レベルのセキュリティ問題がカバーされます。
スキャンの結果には、各々の問題を解決するために実践できる手順が含まれ、カスタマイズした修復スクリプトが適宜提供されます。 次に対する許容されるベースラインを設定することにより、ご利用環境に合わせて評価レポートをカスタマイズできます。
- アクセス許可の構成
- 機能の構成
- データベース設定
高速構成とクラシック構成とは
次のいずれかを使用して、SQL データベースの脆弱性評価を構成できます。
高速構成 – ベースラインを格納して結果データをスキャンするために外部ストレージに依存せずに脆弱性評価を構成できる既定のプロシージャ。
クラシック構成 – ベースラインを格納して結果データをスキャンするために Azure ストレージ アカウントを管理する必要がある従来のプロシージャ。
高速構成とクラシック構成の違いは何ですか。
構成モードの利点と制限事項の比較:
パラメーター | 高速構成 | クラシック構成 |
---|---|---|
サポートされている SQL フレーバー | • Azure SQL Database • Azure Synapse 専用 SQL プール (以前の SQL DW) |
• Azure SQL Database • Azure SQL Managed Instance • Azure Synapse Analytics |
サポートされているポリシー スコープ | • サブスクリプション • サーバー |
• サブスクリプション • サーバー • データベース |
依存関係 | なし | Azure ストレージ アカウント |
定期的なスキャン | • 常にアクティブ • スキャン スケジューリングは内部的であり構成不可 |
• 構成可能なオン/オフ スキャン スケジューリングは内部的であり構成不可 |
システム データベースのスキャン | • スケジュールされたスキャン • 手動スキャン |
• ユーザー データベースが 1 つ以上ある場合にのみスキャンをスケジュール • ユーザー データベースがスキャンされるたびに手動でスキャン |
サポートされているルール | サポートされているリソースの種類に対するすべての脆弱性評価ルール。 | サポートされているリソースの種類に対するすべての脆弱性評価ルール。 |
ベースラインの設定 | •バッチ - 1 つのコマンド内のいくつかのルール • 最新のスキャン結果で設定される • 単一ルール |
• 単一ルール |
ベースラインの適用 | データベースを再スキャンせずに有効になる | データベースを再スキャンした後にのみ有効になる |
単一ルール スキャンの結果サイズ | 最大 1 MB | 無制限 |
メール通知 | • Logic Apps | • 内部スケジューラ • Logic Apps |
スキャン エクスポート | Azure Resource Graph | Excel 形式、Azure Resource Graph |
サポートされているクラウド | 商用クラウド Azure Government 21Vianet によって運営される Microsoft Azure |
商用クラウド Azure Government 21Vianet によって運営される Azure |
次のステップ
- SQL 脆弱性評価を有効にする
- 高速構成に関する一般的な質問とトラブルシューティング.
- Microsoft Defender for Azure SQL の詳細を確認してください。
- データの検出と分類についてさらに詳しく学習します。
- 「ファイアウォールと VNet の内側のアクセス可能なストレージ アカウントに脆弱性評価スキャンの結果を格納する方法」の詳細を確認してください。