Habilitar o Defender para bancos de dados relacionais de código aberto
O Defender para a Cloud estende a deteção de ameaças para além do Base de Dados SQL do Azure, incluindo serviços de bases de dados relacionais open-source. A Contoso Financial Services executa o Base de Dados do Azure para PostgreSQL como uma base de dados secundária de portal de clientes, que atualmente está fora da cobertura de deteção de ameaças SQL configurada na unidade anterior.
| Coverage | Included | Não incluído |
|---|---|---|
| Serviços do Azure | PostgreSQL Flexible Server, MySQL Flexible Server | PostgreSQL Single Server (obsoleto), Azure Database for MariaDB, SQL Server em máquinas |
| AWS RDS (Pré-visualização) | Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL, MariaDB | Servidores no local ligados por Arc |
Consulte o Defender para cobertura de bases de dados relacionais de código aberto
O Defender para bases de dados relacionais open-source é um plano separado do Defender para SQL do Azure Databases. Ativa-o de forma independente, e cobre um conjunto diferente de serviços de base de dados.
O plano protege o Base de Dados do Azure para PostgreSQL Flexible Server e o Base de Dados do Azure para MySQL Flexible Server em todos os níveis de preço. O Azure Database for MariaDB não é coberto por este plano. Em pré-visualização, o plano também protege as instâncias RDS da Amazon que executam Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL e MariaDB. Esta cobertura do RDS tem limitações geográficas que deverá verificar antes de depender dela para cargas de trabalho em produção.
O plano não se estende ao SQL Server a correr em máquinas virtuais ou servidores ligados ao Arc. Se precisares de deteção de ameaças para instâncias do SQL Server fora do Base de Dados SQL do Azure, usas o plano Defender for Base de Dados SQL do Azures com ativação do Arc, que já aprendeste na unidade anterior.
Permitir proteção para bases de dados de código aberto
Ativas o Defender para bases de dados relacionais open-source ao nível da subscrição, usando as mesmas definições do plano de bases de dados onde configuraste o Base de Dados SQL do Azure Protection.
No Microsoft Defender para a Cloud, navega até Definições de ambiente e seleciona a tua subscrição. No plano Databases, pode ver uma opção separada para Defender para bases de dados relacionais de código aberto. Ativar esta opção protege automaticamente todos os recursos de base de dados open-source suportados na subscrição, incluindo tanto as bases de dados existentes como as que criar posteriormente.
A habilitação é independente do interruptor do Base de Dados SQL do Azure. Ativar a proteção para bases de dados SQL do Azure não ativa a proteção de bases de dados open-source, e vice-versa. Precisa de ativar ambos os toggles para obter uma deteção abrangente de ameaças na base de dados em toda a sua subscrição.
O plano deteta as mesmas categorias de ameaça que viste para bases de dados SQL do Azure: padrões de acesso anómalos, ataques de força bruta, atividade suspeita de bases de dados e tentativas de acesso potencialmente prejudiciais. Alertas de ameaças de bases de dados open-source aparecem na mesma visualização de alertas de segurança do Defender para a Cloud que usa para alertas SQL do Azure, para que a sua equipa de segurança gere todas as ameaças à base de dados a partir de uma única consola.
Reconhecer as principais diferenças em relação ao Defender for SQL do Azure Databases
Embora ambos os planos partilhem capacidades semelhantes de deteção de ameaças, diferem no âmbito e na estrutura de preços.
| Aspeto | Proteção para Bases de Dados SQL do Azure | Defender para bases de dados relacionais de código aberto |
|---|---|---|
| Suporte ao Azure Arc | Sim (SQL Server 2012–2022) | No |
| Suporte para RDS da Amazon | No | Sim (Pré-visualização) |
| Modelo de preços | Por SQL server | Por servidor de base de dados |
| Serviços preteridos | Abrange bases de dados únicas (nível legado) | Exclui PostgreSQL Single Server |
A diferença mais significativa é o suporte ao Arc. O Defender for SQL do Azure Databases estende-se a instâncias de SQL Server on-premises e multicloud através do Azure Arc, enquanto o plano open-source não suporta conectividade Arc. Se estiver a correr PostgreSQL ou MySQL em servidores on-premises ou noutras clouds, não pode usar o Defender para a Cloud para os proteger. Apenas as instâncias Azure-native e AWS RDS recebem cobertura.
O modelo de preços também difere. O Defender for SQL do Azure Databases cobra por servidor SQL (cobrindo todas as bases de dados desse servidor), enquanto o plano open-source cobra por servidor de base de dados. Esta diferença afeta o planeamento de custos quando executa múltiplos motores de base de dados no seu ambiente.
No cenário da Contoso, ativar o Defender para bases de dados relacionais open-source coloca a sua base de dados do portal de clientes PostgreSQL sob o mesmo guarda-chuva de deteção de ameaças que as suas bases de dados SQL do Azure. A equipa de segurança monitoriza agora ameaças em ambos os tipos de bases de dados a partir de uma perspetiva unificada de alertas, simplificando o seu fluxo de trabalho de resposta a incidentes. Na unidade seguinte, configura a avaliação de vulnerabilidades para identificar configurações incorretas de segurança nas suas bases de dados SQL do Azure.