Ocena luk w zabezpieczeniach SQL ułatwia identyfikowanie luk w zabezpieczeniach bazy danych

Ocena luk w zabezpieczeniach w usłudze SQL to łatwa do skonfigurowania usługa umożliwiająca odnajdywanie i śledzenie potencjalnych luk w zabezpieczeniach baz danych oraz pomagająca w ich usuwaniu. Użyj go, aby aktywnie poprawić bezpieczeństwo bazy danych dla:

baza danych Azure SQLAzure SQL Managed InstanceAzure Synapse Analytics

Ocena luk w zabezpieczeniach jest częścią Microsoft Defender dla Azure SQL, który jest ujednoliconym pakietem zaawansowanych funkcji zabezpieczeń SQL. Dostęp do oceny luk w zabezpieczeniach można uzyskać i zarządzać nimi z każdego zasobu bazy danych SQL w Azure Portal.

Uwaga

Ocena luk w zabezpieczeniach jest obsługiwana w przypadku Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics. Bazy danych w usłudze Azure SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics są określane zbiorczo w pozostałej części tego artykułu jako bazy danych, a serwer odwołuje się do serwera, który hostuje bazy danych Azure SQL Database i Azure Synapse.

Co to jest ocena luk w zabezpieczeniach SQL?

Ocena luk w zabezpieczeniach SQL to usługa, która zapewnia wgląd w stan zabezpieczeń. Ocena luk w zabezpieczeniach obejmuje kroki umożliwiające podjęcie działań w celu rozwiązania problemów z zabezpieczeniami i zwiększenia bezpieczeństwa bazy danych. Może to pomóc w monitorowaniu dynamicznego środowiska bazy danych, w którym zmiany są trudne do śledzenia i ulepszania stanu zabezpieczeń SQL.

Ocena luk w zabezpieczeniach to usługa skanowania wbudowana w usługę Azure SQL Database. Usługa stosuje baza wiedzy reguł, które flaguje luki w zabezpieczeniach. Wyróżnia odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione dane poufne.

Reguły są oparte na najlepszych rozwiązaniach firmy Microsoft i koncentrują się na problemach z zabezpieczeniami, które stanowią największe ryzyko dla bazy danych i jej cennych danych. Obejmują one problemy na poziomie bazy danych i problemy z zabezpieczeniami na poziomie serwera, takie jak ustawienia zapory serwera i uprawnienia na poziomie serwera.

Wyniki skanowania obejmują kroki umożliwiające podjęcie działań w celu rozwiązania każdego problemu i udostępnienia dostosowanych skryptów korygowania, jeśli ma to zastosowanie. Raport oceny dla środowiska można dostosować, ustawiając akceptowalny punkt odniesienia dla:

  • Konfiguracje uprawnień
  • Konfiguracje funkcji
  • Ustawienia bazy danych

Jakie są konfiguracje ekspresowe i klasyczne?

Ocenę luk w zabezpieczeniach dla baz danych SQL można skonfigurować przy użyciu następujących opcji:

  • Konfiguracja ekspresowa — domyślna procedura umożliwiająca skonfigurowanie oceny luk w zabezpieczeniach bez zależności od magazynu zewnętrznego w celu przechowywania danych odniesienia i skanowania danych wynikowych.

  • Konfiguracja klasyczna — starsza procedura, która wymaga zarządzania kontem usługi Azure Storage w celu przechowywania danych punktu odniesienia i skanowania danych wyników.

Jaka jest różnica między konfiguracją ekspresową i klasyczną?

Porównanie korzyści i ograniczeń trybów konfiguracji:

Parametr Konfiguracja ekspresowa Konfiguracja klasyczna
Obsługiwane odmiany SQL • baza danych Azure SQL
• Azure Synapse dedykowane pule SQL (dawniej SQL DW)
• baza danych Azure SQL
• Azure SQL Managed Instance
• analiza Azure Synapse
Obsługiwany zakres zasad •Subskrypcji
•Serwera
•Subskrypcji
•Serwera
•Bazy danych
Zależności Brak Konto magazynu Azure
Skanowanie cykliczne • Zawsze aktywne
• Planowanie skanowania jest wewnętrzne i nie można go skonfigurować
• Możliwe do skonfigurowania wł./wył.
Planowanie skanowania jest wewnętrzne i nie można go skonfigurować
Obsługiwane reguły Wszystkie reguły oceny luk w zabezpieczeniach dla obsługiwanego typu zasobu. Wszystkie reguły oceny luk w zabezpieczeniach dla obsługiwanego typu zasobu.
Ustawienia punktu odniesienia • Batch — kilka reguł w jednym poleceniu
• Ustaw według najnowszych wyników skanowania
• Pojedyncza reguła
• Pojedyncza reguła
Stosowanie linii bazowej Zacznie obowiązywać bez ponownego skanowania bazy danych Zacznie obowiązywać dopiero po ponownym skanowaniu bazy danych
Rozmiar wyniku skanowania pojedynczej reguły Maksymalnie 1 MB Nieograniczona liczba
Powiadomienia e-mail • Logic Apps • Wewnętrzny harmonogram
• Logic Apps
Skanowanie eksportu Azure Resource Graph Format programu Excel, azure Resource Graph
Obsługiwane chmury Chmury komercyjne
Azure Government
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet
Chmury komercyjne
Azure Government
Platforma Azure obsługiwana przez firmę 21Vianet

Następne kroki