Ocena luk w zabezpieczeniach SQL pomaga zidentyfikować luki w zabezpieczeniach bazy danych
Ocena luk w zabezpieczeniach w usłudze SQL to łatwa do skonfigurowania usługa umożliwiająca odnajdywanie i śledzenie potencjalnych luk w zabezpieczeniach baz danych oraz pomagająca w ich usuwaniu. Użyj go, aby aktywnie zwiększyć bezpieczeństwo bazy danych dla:
Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics
Ocena luk w zabezpieczeniach jest częścią usługi Microsoft Defender for Azure SQL, która jest ujednoliconym pakietem zaawansowanych funkcji zabezpieczeń SQL. Dostęp do oceny luk w zabezpieczeniach można uzyskać i zarządzać nimi z każdego zasobu bazy danych SQL w witrynie Azure Portal.
Uwaga
Ocena luk w zabezpieczeniach jest obsługiwana w przypadku usług Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics. Bazy danych w usługach Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics są określane zbiorczo w pozostałej części tego artykułu jako bazy danych, a serwer odwołuje się do serwera , który hostuje bazy danych dla usług Azure SQL Database i Azure Synapse.
Na czym polega ocena luk w zabezpieczeniach baz danych SQL?
Ocena luk w zabezpieczeniach SQL to usługa, która zapewnia wgląd w stan zabezpieczeń. Ocena luk w zabezpieczeniach obejmuje kroki umożliwiające podjęcie działań w celu rozwiązania problemów z zabezpieczeniami i zwiększenia bezpieczeństwa bazy danych. Może to ułatwić monitorowanie dynamicznego środowiska bazy danych, w którym zmiany są trudne do śledzenia i ulepszania stanu zabezpieczeń SQL.
Ocena luk w zabezpieczeniach to usługa skanowania wbudowana w usługę Azure SQL Database. Usługa stosuje baza wiedzy reguł, które flaguje luki w zabezpieczeniach. Wyróżnia on odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione dane poufne.
Reguły są oparte na najlepszych rozwiązaniach firmy Microsoft i koncentrują się na problemach z zabezpieczeniami, które stanowią największe zagrożenie dla bazy danych i jej cennych danych. Obejmują one problemy na poziomie bazy danych i problemy z zabezpieczeniami na poziomie serwera, takie jak ustawienia zapory serwera i uprawnienia na poziomie serwera.
Wyniki skanowania obejmują kroki umożliwiające podjęcie działań, aby rozwiązać każdy problem i udostępnić dostosowane skrypty korygowania, jeśli ma to zastosowanie. Raport oceny dla środowiska można dostosować, ustawiając akceptowalny punkt odniesienia dla:
- Konfiguracje uprawnień
- Konfiguracje funkcji
- Ustawienia bazy danych
Jakie są konfiguracje ekspresowe i klasyczne?
Możesz skonfigurować ocenę luk w zabezpieczeniach dla baz danych SQL za pomocą następujących elementów:
Konfiguracja ekspresowa — domyślna procedura umożliwiająca skonfigurowanie oceny luk w zabezpieczeniach bez zależności od magazynu zewnętrznego w celu przechowywania danych punktów odniesienia i wyników skanowania.
Konfiguracja klasyczna — starsza procedura, która wymaga zarządzania kontem usługi Azure Storage w celu przechowywania danych punktów odniesienia i wyników skanowania.
Jaka jest różnica między konfiguracją ekspresową i klasyczną?
Porównanie korzyści i ograniczeń trybów konfiguracji:
Parametr | Konfiguracja ekspresowa | Konfiguracja klasyczna |
---|---|---|
Obsługiwane wersje SQL | • Azure SQL Database • Dedykowane pule SQL usługi Azure Synapse (dawniej SQL DW) |
• Azure SQL Database • Azure SQL Managed Instance • Azure Synapse Analytics |
Obsługiwany zakres zasad | •Subskrypcja •Serwer |
•Subskrypcja •Serwer •Baza danych |
Zależności | Brak | Konto magazynu Azure |
Skanowanie cykliczne | • Zawsze aktywne • Planowanie skanowania jest wewnętrzne i nie można go skonfigurować |
• Możliwość konfigurowania wł./wył. Planowanie skanowania jest wewnętrzne i nie można go skonfigurować |
Skanowanie systemowych baz danych | • Zaplanowane skanowanie • Skanowanie ręczne |
• Zaplanowane skanowanie tylko wtedy, gdy istnieje jedna baza danych użytkownika lub więcej • Skanowanie ręczne za każdym razem, gdy baza danych użytkownika jest skanowana |
Obsługiwane reguły | Wszystkie reguły oceny luk w zabezpieczeniach dla obsługiwanego typu zasobu. | Wszystkie reguły oceny luk w zabezpieczeniach dla obsługiwanego typu zasobu. |
Ustawienia punktu odniesienia | • Batch — kilka reguł w jednym poleceniu • Ustawianie według najnowszych wyników skanowania • Pojedyncza reguła |
• Pojedyncza reguła |
Stosowanie planu bazowego | Zacznie obowiązywać bez ponownego skanowania bazy danych | Zacznie obowiązywać dopiero po ponownym skanowaniu bazy danych |
Rozmiar wyniku skanowania pojedynczej reguły | Maksymalnie 1 MB | Nieograniczony |
Powiadomienia e-mail | • Logic Apps | • Wewnętrzny harmonogram • Logic Apps |
Skanowanie eksportu | Azure Resource Graph | Format programu Excel, Azure Resource Graph |
Obsługiwane chmury | Chmury komercyjne Azure Government Platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Chmury komercyjne Azure Government Platforma Azure obsługiwana przez firmę 21Vianet |
Następne kroki
- Włączanie ocen luk w zabezpieczeniach SQL
- Typowe pytania dotyczące konfiguracji ekspresowej i rozwiązywanie problemów.
- Dowiedz się więcej o usłudze Microsoft Defender dla usługi Azure SQL.
- Dowiedz się więcej na temat odnajdywania i klasyfikacji danych.
- Dowiedz się więcej o przechowywaniu wyników skanowania oceny luk w zabezpieczeniach na koncie magazynu dostępnym za zaporami i sieciami wirtualnymi.