Delen via

Scanresultaten van evaluatie van beveiligingsproblemen opslaan in een opslagaccount dat toegankelijk is achter firewalls en VNets

  • Artikel

Van toepassing op: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Als u de toegang tot uw opslagaccount in Azure beperkt voor bepaalde VNets of services, moet u de juiste configuratie inschakelen, zodat VA-scans (Vulnerability Assessment) voor SQL Databases of Azure SQL Managed Instances toegang hebben tot dat opslagaccount.

Notitie

Deze instellingen zijn niet vereist bij het gebruik van Express-configuratie.

Vereisten

De SQL Vulnerability Assessment-service heeft toestemming nodig voor het opslagaccount om basislijn- en scanresultaten op te slaan.

Beheerde identiteit van SQL Server gebruiken:

  • De SQL Server moet een beheerde identiteit hebben.
  • Het opslagaccount moet een roltoewijzing hebben voor sql Managed Identity als Inzender voor opslagblobgegevens.
  • Wanneer u de instellingen toepast, moeten de VA-velden storageContainerSasKey en storageAccountAccessKey leeg zijn (configuratie met opslagaccountsleutel of SAS-sleutel voor opslag is niet geldig voor dit scenario).

Wanneer u Azure Portal gebruikt om SQL VA-instellingen op te slaan, controleert Azure of u gemachtigd bent om een nieuwe roltoewijzing toe te wijzen voor de beheerde identiteit als Inzender voor opslagblobgegevens in de opslag. Als machtigingen zijn toegewezen, maakt Azure gebruik van beheerde SQL Server-identiteit, anders gebruikt Azure de sleutelmethode (die niet wordt ondersteund voor dit scenario).

Notitie

  1. Door de gebruiker toegewezen beheerde identiteiten worden niet ondersteund voor dit scenario.
  2. Als u beleid voor levenscyclusbeheer van Azure Storage gebruikt, vermijdt u het verplaatsen van bestanden in de container die door VA wordt gebruikt naar de archieftoegangslaag. Het lezen van scanresultaten of basislijnconfiguraties die zijn opgeslagen in de archieftoegangslaag, wordt niet ondersteund.

Azure SQL Database VA-scantoegang tot het opslagaccount inschakelen

Als u uw VA-opslagaccount zo hebt geconfigureerd dat dit alleen toegankelijk is voor bepaalde netwerken of services, moet u ervoor zorgen dat VA-scans voor uw Azure SQL Database de scans in het opslagaccount kunnen opslaan. U kunt het bestaande opslagaccount gebruiken of een nieuw opslagaccount maken om VA-scanresultaten op te slaan voor alle databases op uw logische SQL-server.

Notitie

De evaluatieservice voor beveiligingsproblemen heeft geen toegang tot opslagaccounts die zijn beveiligd met firewalls of VNets als ze opslagtoegangssleutels nodig hebben.

Ga naar uw resourcegroep die het opslagaccount bevat en open het deelvenster Opslagaccount . Selecteer onder Instellingen firewall en virtuele netwerken.

Zorg ervoor dat vertrouwde Microsoft-services toegang tot dit opslagaccount is ingeschakeld.

Screenshot showing Firewall and virtual networks dialog box, with Allow trusted Microsoft services to access this storage account selected.

Als u wilt achterhalen welk opslagaccount wordt gebruikt, voert u de volgende stappen uit:

  1. Ga naar het deelvenster SQL-server in Azure Portal.
  2. Selecteer onder Beveiliging Defender voor Cloud.
  3. Selecteer Configureren.

Screenshot showing setup vulnerability assessment.

Scanresultaten van VA opslaan voor Azure SQL Managed Instance in een opslagaccount dat toegankelijk is achter een firewall of VNet

Omdat Azure SQL Managed Instance geen vertrouwde Microsoft-service is en een ander VNet heeft dan het opslagaccount, resulteert het uitvoeren van een VA-scan in een fout.

Notitie

Het wordt ten zeerste aanbevolen om ervoor te zorgen dat uw azure SQL Managed Instances zijn ingeschreven bij de functiegolf van november 2022, waardoor de configuratie van SQL Vulnerability Assessment veel eenvoudiger kan worden geconfigureerd wanneer het opslagaccount zich achter een firewall of VNET bevindt.

Volg de onderstaande stappen om VA-scans te ondersteunen voor Azure SQL Managed Instances waarop de functiegolf van november 2022 is geïnstalleerd:

  1. Noteer op de overzichtspagina van azure SQL Managed Instance de waarde onder Virtueel netwerk/subnet.

  2. Ga naar de pagina Netwerken in het opslagaccount waar SQL VA is geconfigureerd voor het opslaan van de scanresultaten.

  3. Selecteer op het tabblad Firewalls en virtuele netwerken onder Openbare netwerktoegang ingeschakeld in geselecteerde virtuele netwerken en IP-adressen.

  4. Klik in de sectie Virtuele netwerken op Bestaand virtueel netwerk toevoegen en selecteer het VNET en subnet dat wordt gebruikt door het beheerde exemplaar dat u in de eerste stap hebt genoteerd.

    Screenshot of storage account networking settings for Nov22 feature wave (and up).

Voer de onderstaande stappen uit om VA-scans te ondersteunen voor Azure SQL Managed Instances waarop de functiegolf van november 2022 niet is geïnstalleerd:

  1. Klik in het deelvenster Sql Managed Instance onder de kop Overzicht op de koppeling Virtueel netwerk/subnet . Hiermee gaat u naar het deelvenster Virtueel netwerk .

    Screenshot of the SQL managed instance overview section.

  2. Selecteer onder Instellingen de optie Subnetten. Klik op + Subnet in het nieuwe deelvenster om een subnet toe te voegen. Zie Subnetten beheren voor meer informatie.

    Screenshot shows a list of subnets and the add subnet option.

  3. Het nieuwe subnet moet de volgende configuraties hebben:

    Screenshot shows a subnet called VA and its settings.

    • NAT-gateway: geen
    • Netwerkbeveiligingsgroep: Geen
    • Routetabel: Geen
    • SERVICE-EINDPUNTEN - services: Geen geselecteerd
    • SUBNETDELEGERING - Subnet delegeren aan een service: Geen
    • NETWERKBELEID VOOR PRIVÉ-EINDPUNTEN - Netwerkbeleid voor privé-eindpunten: Geen geselecteerd

  4. Ga naar het opslagaccount waarin SQL VA is geconfigureerd om de scanresultaten op te slaan en klik op het tabblad Privé-eindpuntverbindingen en klik vervolgens op + Privé-eindpunt

    Screenshot shows Firewalls and virtual networks settings.

    Screenshot shows add private endpoint button.

  5. Kies de details voor uw privé-eindpunt (het wordt aanbevolen om het in dezelfde RG en dezelfde regio te plaatsen).

    Screenshot shows private endpoint creation Basics tab.

  6. Blob kiezen voor de subresource Doel

    Screenshot shows private endpoint creation Resource tab.

  7. Selecteer het virtuele netwerk van de SQL MI (uit stap 1) en kies het subnet dat u hebt gemaakt (stap 3):

    Screenshot shows private endpoint creation Virtual Network tab.

  8. Selecteer Integreren met privé-DNS-zone (moet standaard zijn) en kies de andere standaardwaarden

    Screenshot shows private endpoint creation DNS tab.

  9. Ga door naar het tabblad Controleren en maken en klik op Maken. Zodra de implementatie is voltooid, ziet u dit op het tabblad Privé-eindpuntverbindingen onder de sectie Netwerk van het opslagaccount:

    Screenshot shows storage Networking Private endpoint connections post configuration.

U moet nu uw VA-scans kunnen opslaan voor Azure SQL Managed Instances in uw opslagaccount.

Veelvoorkomende problemen met betrekking tot scans voor evaluatie van beveiligingsproblemen oplossen.

Probleem met het opslaan van de instellingen voor beoordeling van beveiligingsproblemen

Mogelijk kunt u geen wijzigingen opslaan in de instellingen voor evaluatie van beveiligingsproblemen als uw opslagaccount niet aan bepaalde vereisten voldoet of als u onvoldoende machtigingen hebt.

Vereisten voor een opslagaccount

Het opslagaccount waarin scanresultaten voor de evaluatie van beveiligingsproblemen worden opgeslagen, moet voldoen aan de volgende vereisten:

  • Type: StorageV2 (Algemeen gebruik V2) of Opslag (Algemeen gebruik V1)
  • Prestaties: Standaard (alleen)
  • Regio: De opslag moet zich in dezelfde regio bevinden als het exemplaar van Azure SQL Server.

Als niet aan een van deze vereisten wordt voldaan, mislukt het opslaan van wijzigingen in de instellingen voor evaluatie van beveiligingsproblemen.

Bevoegdheden

De volgende machtigingen zijn vereist om wijzigingen op te slaan in de instellingen voor de evaluatie van beveiligingsproblemen:

  • SQL-beveiligingsbeheerder
  • Lezer voor opslagblobgegevens
  • Rol van eigenaar voor het opslagaccount

Voor het instellen van een nieuwe roltoewijzing is eigenaars- of gebruikersbeheerdertoegang tot het opslagaccount en de volgende machtigingen vereist:

  • Opslag-blobgegevens eigenaar

Opslagaccount is niet zichtbaar voor selectie in instellingen voor evaluatie van beveiligingsproblemen

Het opslagaccount wordt mogelijk om verschillende redenen niet weergegeven in de opslagaccountkiezer:

  • Het opslagaccount dat u zoekt, bevindt zich niet in het geselecteerde abonnement.
  • Het opslagaccount dat u zoekt, bevindt zich niet in dezelfde regio als het exemplaar van Azure SQL Server.
  • U hebt geen Microsoft.Storage/storageAccounts/-leesmachtigingen voor het opslagaccount.

Mogelijk kunt u geen koppeling openen in een e-mailmelding over scanresultaten of scanresultaten weergeven als u niet over de vereiste machtigingen beschikt, of als u een browser gebruikt die geen ondersteuning biedt voor het openen of weergeven van scanresultaten.

Vereiste machtigingen

De volgende machtigingen zijn vereist om koppelingen te openen in e-mailmeldingen over scanresultaten of om scanresultaten weer te geven:

  • SQL-beveiligingsbeheerder
  • Lezer voor opslagblobgegevens

Browservereisten

De Firefox-browser biedt geen ondersteuning voor het openen of weergeven van de weergave van scanresultaten. U wordt aangeraden Microsoft Edge of Chrome te gebruiken om scanresultaten van de evaluatie van beveiligingsproblemen weer te geven.

Volgende stappen