Udostępnij za pośrednictwem


Ocena luk w zabezpieczeniach SQL pomaga zidentyfikować luki w zabezpieczeniach bazy danych

Ocena luk w zabezpieczeniach w usłudze SQL to łatwa do skonfigurowania usługa umożliwiająca odnajdywanie i śledzenie potencjalnych luk w zabezpieczeniach baz danych oraz pomagająca w ich usuwaniu. Użyj go, aby aktywnie zwiększyć bezpieczeństwo bazy danych dla:

Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Ocena luk w zabezpieczeniach jest częścią usługi Microsoft Defender for Azure SQL, która jest ujednoliconym pakietem zaawansowanych funkcji zabezpieczeń SQL. Dostęp do oceny luk w zabezpieczeniach można uzyskać i zarządzać nimi z każdego zasobu bazy danych SQL w witrynie Azure Portal.

Uwaga

Ocena luk w zabezpieczeniach jest obsługiwana w przypadku usług Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics. Bazy danych w usługach Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics są określane zbiorczo w pozostałej części tego artykułu jako bazy danych, a serwer odwołuje się do serwera , który hostuje bazy danych dla usług Azure SQL Database i Azure Synapse.

Na czym polega ocena luk w zabezpieczeniach baz danych SQL?

Ocena luk w zabezpieczeniach SQL to usługa, która zapewnia wgląd w stan zabezpieczeń. Ocena luk w zabezpieczeniach obejmuje kroki umożliwiające podjęcie działań w celu rozwiązania problemów z zabezpieczeniami i zwiększenia bezpieczeństwa bazy danych. Może to ułatwić monitorowanie dynamicznego środowiska bazy danych, w którym zmiany są trudne do śledzenia i ulepszania stanu zabezpieczeń SQL.

Ocena luk w zabezpieczeniach to usługa skanowania wbudowana w usługę Azure SQL Database. Usługa stosuje baza wiedzy reguł, które flaguje luki w zabezpieczeniach. Wyróżnia on odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione dane poufne.

Reguły są oparte na najlepszych rozwiązaniach firmy Microsoft i koncentrują się na problemach z zabezpieczeniami, które stanowią największe zagrożenie dla bazy danych i jej cennych danych. Obejmują one problemy na poziomie bazy danych i problemy z zabezpieczeniami na poziomie serwera, takie jak ustawienia zapory serwera i uprawnienia na poziomie serwera.

Wyniki skanowania obejmują kroki umożliwiające podjęcie działań, aby rozwiązać każdy problem i udostępnić dostosowane skrypty korygowania, jeśli ma to zastosowanie. Raport oceny dla środowiska można dostosować, ustawiając akceptowalny punkt odniesienia dla:

  • Konfiguracje uprawnień
  • Konfiguracje funkcji
  • Ustawienia bazy danych

Jakie są konfiguracje ekspresowe i klasyczne?

Możesz skonfigurować ocenę luk w zabezpieczeniach dla baz danych SQL za pomocą następujących elementów:

  • Konfiguracja ekspresowa — domyślna procedura umożliwiająca skonfigurowanie oceny luk w zabezpieczeniach bez zależności od magazynu zewnętrznego w celu przechowywania danych punktów odniesienia i wyników skanowania.

  • Konfiguracja klasyczna — starsza procedura, która wymaga zarządzania kontem usługi Azure Storage w celu przechowywania danych punktów odniesienia i wyników skanowania.

Jaka jest różnica między konfiguracją ekspresową i klasyczną?

Porównanie korzyści i ograniczeń trybów konfiguracji:

Parametr Konfiguracja ekspresowa Konfiguracja klasyczna
Obsługiwane wersje SQL • Azure SQL Database
• Dedykowane pule SQL usługi Azure Synapse (dawniej SQL DW)
• Azure SQL Database
• Azure SQL Managed Instance
• Azure Synapse Analytics
Obsługiwany zakres zasad •Subskrypcja
•Serwer
•Subskrypcja
•Serwer
•Baza danych
Zależności Brak Konto magazynu Azure
Skanowanie cykliczne • Zawsze aktywne
• Planowanie skanowania jest wewnętrzne i nie można go skonfigurować
• Możliwość konfigurowania wł./wył.
Planowanie skanowania jest wewnętrzne i nie można go skonfigurować
Skanowanie systemowych baz danych • Zaplanowane skanowanie
• Skanowanie ręczne
• Zaplanowane skanowanie tylko wtedy, gdy istnieje jedna baza danych użytkownika lub więcej
• Skanowanie ręczne za każdym razem, gdy baza danych użytkownika jest skanowana
Obsługiwane reguły Wszystkie reguły oceny luk w zabezpieczeniach dla obsługiwanego typu zasobu. Wszystkie reguły oceny luk w zabezpieczeniach dla obsługiwanego typu zasobu.
Ustawienia punktu odniesienia • Batch — kilka reguł w jednym poleceniu
• Ustawianie według najnowszych wyników skanowania
• Pojedyncza reguła
• Pojedyncza reguła
Stosowanie planu bazowego Zacznie obowiązywać bez ponownego skanowania bazy danych Zacznie obowiązywać dopiero po ponownym skanowaniu bazy danych
Rozmiar wyniku skanowania pojedynczej reguły Maksymalnie 1 MB Nieograniczony
Powiadomienia e-mail • Logic Apps • Wewnętrzny harmonogram
• Logic Apps
Skanowanie eksportu Azure Resource Graph Format programu Excel, Azure Resource Graph
Obsługiwane chmury Chmury komercyjne
Azure Government
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet
Chmury komercyjne
Azure Government
Platforma Azure obsługiwana przez firmę 21Vianet

Następne kroki