Оценка уязвимостей SQL помогает выявить уязвимости баз данных
Оценка уязвимостей SQL — это легкая в настройке служба, помогающая обнаруживать, отслеживать и устранять потенциальные уязвимости баз данных. Используйте его для упреждающего повышения безопасности базы данных для:
База данных Azure SQLУправляемый экземпляр SQL AzureAzure Synapse Analytics
Оценка уязвимостей является частью Microsoft Defender для Azure SQL, которая представляет собой единый пакет для расширенных возможностей безопасности SQL. Оценка уязвимостей может осуществляться и управляться из каждого ресурса базы данных SQL в портал Azure.
Примечание
Оценка уязвимостей поддерживается для Базы данных SQL Azure, Управляемого экземпляра SQL Azure и Azure Synapse Analytics. В оставшейся части этой статьи собирательным термином "базы данных" называются базы данных SQL Azure, Управляемого экземпляра SQL Azure и Azure Synapse Analytics, а термином "сервер" — сервер, на котором размещены базы данных SQL Azure и Azure Synapse.
Что представляет собой оценка уязвимостей SQL?
Оценка уязвимостей SQL — это служба, позволяющая получить представление о состоянии вашей защиты. В рамках оценки уязвимостей предлагаются практические действия для устранения выявленных проблем безопасности и повышения защищенности базы данных. Она помогает вести мониторинг динамической среды базы данных, в которой трудно отслеживать изменения, и улучшать состояние безопасности SQL.
Оценка уязвимостей — это служба проверки, встроенная в Базу данных SQL Azure. В этой службе используется база знаний с правилами, согласно которым помечаются уязвимости в системе безопасности. Она выявляет отклонения от рекомендаций, например неправильную конфигурацию, лишние разрешения и незащищенные конфиденциальные данные.
Эти правила основаны на рекомендациях корпорации Майкрософт и направлены на устранение проблем безопасности, представляющих наивысший риск для базы данных и ее ценного содержимого. Сюда входят проблемы безопасности на уровне как самой базы данных, так и сервера, например настройки брандмауэра сервера и установленные для сервера разрешения.
Результаты проверки включают в себя практические действия по устранению каждой проблемы, а также настроенные скрипты исправления, если их можно применить. Вы можете настроить отчет об оценке в соответствии со своим окружением, задав приемлемые базовые показатели для следующих элементов:
- конфигурации разрешений;
- конфигурации функций;
- Параметры базы данных
Каковы экспресс-и классические конфигурации?
Вы можете настроить оценку уязвимостей для баз данных SQL с помощью следующих способов:
Экспресс-конфигурация — процедура по умолчанию, которая позволяет настроить оценку уязвимостей без зависимости от внешнего хранилища для хранения базовых показателей и сканирования результирующих данных.
Классическая конфигурация — устаревшая процедура, требующая управления учетной записью хранения Azure для хранения базовых показателей и сканирования результирующих данных.
В чем разница между экспресс-конфигурацией и классической конфигурацией?
Сравнение преимуществ и ограничений режимов конфигурации:
| Параметр | Экспресс-конфигурация | Классическая конфигурация |
|---|---|---|
| Поддерживаемые варианты SQL | • база данных SQL Azure; • Azure Synapse выделенных пулов SQL (ранее — Хранилище данных SQL) |
• база данных SQL Azure; • Управляемый экземпляр SQL Azure • Azure Synapse Analytics |
| Поддерживаемая область политики | •Подписки •Сервера |
•Подписки •Сервера •Базы данных |
| Зависимости | Нет | Учетная запись хранения Azure. |
| Повторяющаяся проверка | • Всегда активен • Планирование сканирования является внутренним и не настраивается |
• Возможность настройки включения и выключения Планирование сканирования является внутренним и не настраиваемым |
| Поддерживаемые правила | Все правила оценки уязвимостей для поддерживаемого типа ресурса. | Все правила оценки уязвимостей для поддерживаемого типа ресурса. |
| Базовые параметры | • Пакетная служба — несколько правил в одной команде • Настройка по последним результатам сканирования • Одно правило |
• Одно правило |
| Применение базовых показателей | Вступит в силу без повторного сканирования базы данных | Вступит в силу только после повторного сканирования базы данных. |
| Размер результата сканирования одного правила | Максимум 1 МБ | Неограниченно |
| уведомления по электронной почте. | • Logic Apps | • Внутренний планировщик • Logic Apps |
| Экспорт сканирования | Azure Resource Graph | Формат Excel, Azure Resource Graph |
| Поддерживаемые облака | Коммерческие облака Azure для государственных организаций Microsoft Azure под управлением 21Vianet |
Коммерческие облака Azure для государственных организаций Azure под управлением 21Vianet |
Дальнейшие действия
- Включение оценки уязвимостей SQL
- Часто задаваемые вопросы о настройке и устранение неполадок.
- Дополнительные сведения о Microsoft Defender для Azure SQL.
- Дополнительные сведения об обнаружении и классификации данных.
- Узнайте больше о хранении результатов проверки оценки уязвимостей в учетной записи хранения, доступной за брандмауэрами и виртуальными сетями.