Ocena luk w zabezpieczeniach SQL pomaga zidentyfikować luki w zabezpieczeniach bazy danych
Ocena luk w zabezpieczeniach w usłudze SQL to łatwa do skonfigurowania usługa umożliwiająca odnajdywanie i śledzenie potencjalnych luk w zabezpieczeniach baz danych oraz pomagająca w ich usuwaniu. Użyj go, aby aktywnie zwiększyć bezpieczeństwo bazy danych dla:
Azure SQL Database
Azure SQL Managed Instance
Azure Synapse Analytics
Ocena luk w zabezpieczeniach jest częścią usługi Microsoft Defender for Azure SQL— ujednoliconego pakietu zaawansowanych funkcji zabezpieczeń SQL. Możesz uzyskać dostęp do oceny luk w zabezpieczeniach i zarządzać nią z każdego zasobu bazy danych SQL w witrynie Azure Portal.
Uwaga
Ocena luk w zabezpieczeniach jest obsługiwana w przypadku usług Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics. Bazy danych w usługach Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics są wspólnie określane jako bazy danych w tym artykule. Serwer odwołuje się do serwera , który hostuje bazy danych dla usług Azure SQL Database i Azure Synapse.
Na czym polega ocena luk w zabezpieczeniach baz danych SQL?
Ocena luk w zabezpieczeniach SQL zapewnia wgląd w stan zabezpieczeń. Zawiera on kroki umożliwiające podjęcie działań w celu rozwiązania problemów z zabezpieczeniami i zwiększenia bezpieczeństwa bazy danych. Ułatwia ona monitorowanie dynamicznego środowiska bazy danych, w którym zmiany są trudne do śledzenia i ulepszania stanu zabezpieczeń SQL.
Ocena luk w zabezpieczeniach to usługa skanowania wbudowana w usługę Azure SQL Database. Stosuje baza wiedzy reguł, które flaguje luki w zabezpieczeniach. Wyróżnia on odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione dane poufne.
Reguły są oparte na najlepszych rozwiązaniach firmy Microsoft i koncentrują się na problemach z zabezpieczeniami, które stanowią największe zagrożenie dla bazy danych i jej cennych danych. Obejmują one problemy na poziomie bazy danych i problemy z zabezpieczeniami na poziomie serwera, takie jak ustawienia zapory serwera i uprawnienia na poziomie serwera.
Wyniki skanowania obejmują kroki umożliwiające podjęcie działań, aby rozwiązać każdy problem i udostępnić dostosowane skrypty korygowania, jeśli ma to zastosowanie. Dostosuj raport oceny dla środowiska, ustawiając akceptowalny punkt odniesienia dla:
- Konfiguracje uprawnień.
- Konfiguracje funkcji.
- Ustawienia bazy danych.
Jakie są konfiguracje ekspresowe i klasyczne?
Skonfiguruj ocenę luk w zabezpieczeniach dla baz danych SQL przy użyciu następujących elementów:
Konfiguracja ekspresowa — domyślna procedura umożliwiająca skonfigurowanie oceny luk w zabezpieczeniach bez polegania na magazynie zewnętrznym do przechowywania danych odniesienia i wyników skanowania.
Konfiguracja klasyczna — starsza procedura, która wymaga zarządzania kontem usługi Azure Storage w celu przechowywania danych odniesienia i wyników skanowania.
Jaka jest różnica między konfiguracją ekspresową i klasyczną?
Porównanie korzyści i ograniczeń trybów konfiguracji:
Parametr | Konfiguracja ekspresowa | Konfiguracja klasyczna |
---|---|---|
Obsługiwane wersje SQL | • Azure SQL Database • Dedykowane pule SQL usługi Azure Synapse (dawniej Azure SQL Data Warehouse) |
• Azure SQL Database • Azure SQL Managed Instance • Azure Synapse Analytics |
Obsługiwany zakres zasad | •Subskrypcja •Serwer |
•Subskrypcja •Serwer •Baza danych |
Zależności | Brak | Konto magazynu Azure |
Skanowanie cykliczne | • Zawsze aktywne • Planowanie skanowania jest wewnętrzne i nie można go skonfigurować |
• Możliwość konfigurowania wł./wył. Planowanie skanowania jest wewnętrzne i nie można go skonfigurować |
Skanowanie systemowych baz danych | • Zaplanowane skanowanie • Skanowanie ręczne |
• Zaplanowane skanowanie tylko wtedy, gdy istnieje jedna baza danych użytkownika lub więcej • Skanowanie ręczne za każdym razem, gdy baza danych użytkownika jest skanowana |
Obsługiwane reguły | Wszystkie reguły oceny luk w zabezpieczeniach dla obsługiwanego typu zasobu. | Wszystkie reguły oceny luk w zabezpieczeniach dla obsługiwanego typu zasobu. |
Ustawienia punktu odniesienia | • Batch — kilka reguł w jednym poleceniu • Ustawianie według najnowszych wyników skanowania • Pojedyncza reguła |
• Pojedyncza reguła |
Stosowanie planu bazowego | Zacznie obowiązywać bez ponownego skanowania bazy danych | Zacznie obowiązywać dopiero po ponownym skanowaniu bazy danych |
Rozmiar wyniku skanowania pojedynczej reguły | Maksymalnie 1 MB | Nieograniczony |
Powiadomienia e-mail | • Logic Apps | • Wewnętrzny harmonogram • Logic Apps |
Skanowanie eksportu | Azure Resource Graph | Format programu Excel, Azure Resource Graph |
Obsługiwane chmury |
![]() ![]() ![]() |
![]() ![]() ![]() |
Powiązana zawartość
- Włączanie ocen luk w zabezpieczeniach SQL
- Typowe pytania dotyczące konfiguracji ekspresowej i rozwiązywanie problemów.
- Dowiedz się więcej o usłudze Microsoft Defender dla usługi Azure SQL.
- Dowiedz się więcej na temat odnajdywania i klasyfikacji danych.
- Dowiedz się więcej o przechowywaniu wyników skanowania oceny luk w zabezpieczeniach na koncie magazynu dostępnym za zaporami i sieciami wirtualnymi.