Udostępnij za pośrednictwem


Ocena luk w zabezpieczeniach SQL pomaga zidentyfikować luki w zabezpieczeniach bazy danych

Ocena luk w zabezpieczeniach w usłudze SQL to łatwa do skonfigurowania usługa umożliwiająca odnajdywanie i śledzenie potencjalnych luk w zabezpieczeniach baz danych oraz pomagająca w ich usuwaniu. Użyj go, aby aktywnie zwiększyć bezpieczeństwo bazy danych dla:

Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Ocena luk w zabezpieczeniach jest częścią usługi Microsoft Defender for Azure SQL— ujednoliconego pakietu zaawansowanych funkcji zabezpieczeń SQL. Możesz uzyskać dostęp do oceny luk w zabezpieczeniach i zarządzać nią z każdego zasobu bazy danych SQL w witrynie Azure Portal.

Uwaga

Ocena luk w zabezpieczeniach jest obsługiwana w przypadku usług Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics. Bazy danych w usługach Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics są wspólnie określane jako bazy danych w tym artykule. Serwer odwołuje się do serwera , który hostuje bazy danych dla usług Azure SQL Database i Azure Synapse.

Na czym polega ocena luk w zabezpieczeniach baz danych SQL?

Ocena luk w zabezpieczeniach SQL zapewnia wgląd w stan zabezpieczeń. Zawiera on kroki umożliwiające podjęcie działań w celu rozwiązania problemów z zabezpieczeniami i zwiększenia bezpieczeństwa bazy danych. Ułatwia ona monitorowanie dynamicznego środowiska bazy danych, w którym zmiany są trudne do śledzenia i ulepszania stanu zabezpieczeń SQL.

Ocena luk w zabezpieczeniach to usługa skanowania wbudowana w usługę Azure SQL Database. Stosuje baza wiedzy reguł, które flaguje luki w zabezpieczeniach. Wyróżnia on odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione dane poufne.

Reguły są oparte na najlepszych rozwiązaniach firmy Microsoft i koncentrują się na problemach z zabezpieczeniami, które stanowią największe zagrożenie dla bazy danych i jej cennych danych. Obejmują one problemy na poziomie bazy danych i problemy z zabezpieczeniami na poziomie serwera, takie jak ustawienia zapory serwera i uprawnienia na poziomie serwera.

Wyniki skanowania obejmują kroki umożliwiające podjęcie działań, aby rozwiązać każdy problem i udostępnić dostosowane skrypty korygowania, jeśli ma to zastosowanie. Dostosuj raport oceny dla środowiska, ustawiając akceptowalny punkt odniesienia dla:

  • Konfiguracje uprawnień.
  • Konfiguracje funkcji.
  • Ustawienia bazy danych.

Jakie są konfiguracje ekspresowe i klasyczne?

Skonfiguruj ocenę luk w zabezpieczeniach dla baz danych SQL przy użyciu następujących elementów:

  • Konfiguracja ekspresowa — domyślna procedura umożliwiająca skonfigurowanie oceny luk w zabezpieczeniach bez polegania na magazynie zewnętrznym do przechowywania danych odniesienia i wyników skanowania.

  • Konfiguracja klasyczna — starsza procedura, która wymaga zarządzania kontem usługi Azure Storage w celu przechowywania danych odniesienia i wyników skanowania.

Jaka jest różnica między konfiguracją ekspresową i klasyczną?

Porównanie korzyści i ograniczeń trybów konfiguracji:

Parametr Konfiguracja ekspresowa Konfiguracja klasyczna
Obsługiwane wersje SQL • Azure SQL Database
• Dedykowane pule SQL usługi Azure Synapse (dawniej Azure SQL Data Warehouse)
• Azure SQL Database
• Azure SQL Managed Instance
• Azure Synapse Analytics
Obsługiwany zakres zasad •Subskrypcja
•Serwer
•Subskrypcja
•Serwer
•Baza danych
Zależności Brak Konto magazynu Azure
Skanowanie cykliczne • Zawsze aktywne
• Planowanie skanowania jest wewnętrzne i nie można go skonfigurować
• Możliwość konfigurowania wł./wył.
Planowanie skanowania jest wewnętrzne i nie można go skonfigurować
Skanowanie systemowych baz danych • Zaplanowane skanowanie
• Skanowanie ręczne
• Zaplanowane skanowanie tylko wtedy, gdy istnieje jedna baza danych użytkownika lub więcej
• Skanowanie ręczne za każdym razem, gdy baza danych użytkownika jest skanowana
Obsługiwane reguły Wszystkie reguły oceny luk w zabezpieczeniach dla obsługiwanego typu zasobu. Wszystkie reguły oceny luk w zabezpieczeniach dla obsługiwanego typu zasobu.
Ustawienia punktu odniesienia • Batch — kilka reguł w jednym poleceniu
• Ustawianie według najnowszych wyników skanowania
• Pojedyncza reguła
• Pojedyncza reguła
Stosowanie planu bazowego Zacznie obowiązywać bez ponownego skanowania bazy danych Zacznie obowiązywać dopiero po ponownym skanowaniu bazy danych
Rozmiar wyniku skanowania pojedynczej reguły Maksymalnie 1 MB Nieograniczony
Powiadomienia e-mail • Logic Apps • Wewnętrzny harmonogram
• Logic Apps
Skanowanie eksportu Azure Resource Graph Format programu Excel, Azure Resource Graph
Obsługiwane chmury Chmury komercyjne
Azure Government
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet
Chmury komercyjne
Azure Government
Platforma Azure obsługiwana przez firmę 21Vianet