A avaliação de vulnerabilidade do SQL ajuda a identificar vulnerabilidades do banco de dados
A avaliação da vulnerabilidades é um serviço fácil de configurar que pode detetar, controlar e ajudar a corrigir potenciais vulnerabilidades da base de dados. Use-o para melhorar proativamente a segurança do seu banco de dados para:
Banco de Dados SQL do Azure Instância Gerenciada SQL do Azure Azure Synapse Analytics
A avaliação de vulnerabilidade faz parte do Microsoft Defender for Azure SQL, que é um pacote unificado para recursos avançados de segurança SQL. A avaliação de vulnerabilidades pode ser acessada e gerenciada a partir de cada recurso do banco de dados SQL no portal do Azure.
Nota
A avaliação de vulnerabilidades tem suporte para o Banco de Dados SQL do Azure, a Instância Gerenciada SQL do Azure e o Azure Synapse Analytics. Os bancos de dados no Banco de Dados SQL do Azure, na Instância Gerenciada do SQL do Azure e no Azure Synapse Analytics são referidos coletivamente no restante deste artigo como bancos de dados, e o servidor está se referindo ao servidor que hospeda bancos de dados para o Banco de Dados SQL do Azure e o Azure Synapse.
O que é a avaliação de vulnerabilidades do SQL?
A avaliação de vulnerabilidade do SQL é um serviço que fornece visibilidade do seu estado de segurança. A avaliação de vulnerabilidades inclui etapas acionáveis para resolver problemas de segurança e melhorar a segurança do banco de dados. Ele pode ajudá-lo a monitorar um ambiente de banco de dados dinâmico onde as alterações são difíceis de controlar e melhorar sua postura de segurança SQL.
A avaliação de vulnerabilidades é um serviço de análise incorporado na Base de Dados SQL do Azure. O serviço emprega uma base de conhecimento de regras que sinalizam vulnerabilidades de segurança. Ele destaca desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos.
As regras são baseadas nas práticas recomendadas da Microsoft e se concentram nos problemas de segurança que apresentam os maiores riscos para seu banco de dados e seus dados valiosos. Eles abrangem problemas no nível do banco de dados e problemas de segurança no nível do servidor, como configurações de firewall do servidor e permissões no nível do servidor.
Os resultados da verificação incluem etapas acionáveis para resolver cada problema e fornecer scripts de correção personalizados, quando aplicável. Você pode personalizar um relatório de avaliação para seu ambiente definindo uma linha de base aceitável para:
- Configurações de permissão
- Configurações de recursos
- Configurações do banco de dados
Quais são as configurações expressa e clássica?
Você pode configurar a avaliação de vulnerabilidade para seus bancos de dados SQL com:
Configuração expressa – O procedimento padrão que permite configurar a avaliação de vulnerabilidades sem depender de armazenamento externo para armazenar dados de linha de base e de resultados de verificação.
Configuração clássica – O procedimento herdado que exige que você gerencie uma conta de armazenamento do Azure para armazenar dados de linha de base e de resultados de verificação.
Qual é a diferença entre a configuração expressa e clássica?
Comparação de benefícios e limitações dos modos de configuração:
| Parâmetro | Configuração express | Configuração clássica |
|---|---|---|
| Sabores SQL suportados | • Base de Dados SQL do Azure • Azure Synapse Dedicated SQL Pools (anteriormente SQL DW) |
• Base de Dados SQL do Azure • Instância Gerenciada SQL do Azure • Azure Synapse Analytics |
| Âmbito da política suportada | • Subscrição • Servidor |
• Subscrição • Servidor • Base de dados |
| Dependências | Nenhuma | Conta de armazenamento do Azure |
| Análise periódica | • Sempre ativo • O agendamento da verificação é interno e não configurável |
• Configurável on/off O agendamento da verificação é interno e não configurável |
| Verificação de bancos de dados do sistema | • Verificação programada • Varredura manual |
• Verificação agendada somente se houver um banco de dados de usuário ou mais • Verificação manual sempre que um banco de dados de usuários é verificado |
| Regras suportadas | Todas as regras de avaliação de vulnerabilidade para o tipo de recurso suportado. | Todas as regras de avaliação de vulnerabilidade para o tipo de recurso suportado. |
| Configurações de linha de base | • Batch – várias regras em um comando • Definido pelos resultados mais recentes da verificação • Regra única |
• Regra única |
| Aplicar linha de base | Entrará em vigor sem nova varredura do banco de dados | Entrará em vigor somente após a nova varredura do banco de dados |
| Tamanho do resultado da verificação de regra única | Máximo de 1 MB | Ilimitado |
| Notificações por e-mail | • Aplicativos lógicos | • Programador interno • Aplicativos lógicos |
| Exportação de digitalização | Azure Resource Graph | Formato Excel, Azure Resource Graph |
| Nuvens suportadas | Nuvens comerciais Azure Government Microsoft Azure operado pela 21Vianet |
Nuvens comerciais Azure Government Azure operado pela 21Vianet |
Próximos passos
- Habilitar avaliações de vulnerabilidade do SQL
- Expresse a configuração , perguntas comuns e solução de problemas.
- Saiba mais sobre o Microsoft Defender for Azure SQL.
- Saiba mais sobre descoberta e classificação de dados.
- Saiba mais sobre como armazenar os resultados da verificação de avaliação de vulnerabilidades em uma conta de armazenamento acessível por trás de firewalls e redes virtuais.