Le service d'évaluation des vulnérabilités SQL vous aide à identifier les vulnérabilités des bases de données

Facile à configurer, le service d'évaluation des vulnérabilités SQL permet de détecter, d'assurer le suivi et de corriger les potentielles vulnérabilités des bases de données. Utilisez-le pour améliorer de façon proactive la sécurité de votre base de données pour :

Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

L’évaluation des vulnérabilités fait partie de l’offre Microsoft Defender pour Azure SQL, qui est un ensemble unifié de fonctionnalités de sécurité SQL avancées. L’évaluation des vulnérabilités est accessible et gérée à partir de chaque ressource de base de données SQL dans le Portail Azure.

Notes

L'évaluation des vulnérabilités est prise en charge pour Azure SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics. Dans cet article, les bases de données d’Azure SQL Database, d’Azure SQL Managed Instance et d’Azure Synapse Analytics sont collectivement désignées sous le nom de « bases de données », et le terme « serveur » fait référence au serveur qui héberge les bases de données d’Azure SQL Database et d’Azure Synapse.

Qu'est-ce que l'évaluation des vulnérabilités SQL ?

L'évaluation des vulnérabilités SQL est un service qui offre une visibilité sur l'état de votre sécurité. L'évaluation des vulnérabilités comprend des étapes actionnables pour résoudre les problèmes de sécurité et renforcer la sécurité de votre base de données. Elle peut vous aider à superviser un environnement de base de données dynamique où les modifications sont difficiles à suivre et à améliorer votre posture de sécurité SQL.

L'évaluation des vulnérabilités est un service d'analyse intégré à Azure SQL Database. Le service utilise une base de connaissances de règles qui signalent les failles de sécurité. Il met en évidence les écarts par rapport aux bonnes pratiques, tels que les configurations incorrectes, les autorisations excessives et les données sensibles non protégées.

Les règles sont basées sur les bonnes pratiques de Microsoft et axées sur les problèmes de sécurité qui présentent des risques majeurs pour votre base de données et ses précieuses données. Elles couvrent les problèmes au niveau de la base de données et les problèmes de sécurité au niveau du serveur, comme les paramètres de pare-feu de serveur et les autorisations au niveau du serveur.

Les résultats de l’analyse sont accompagnés d’étapes actionnables pour résoudre chaque problème et, le cas échéant, de scripts de correction personnalisés. Vous pouvez personnaliser un rapport d’évaluation pour votre environnement en définissant une base de référence acceptable pour :

  • Configurations d’autorisations
  • Configurations de fonctionnalités
  • Paramètres de base de données

Que sont les configurations rapide et classique ?

Vous pouvez configurer l’évaluation des vulnérabilités pour vos bases de données SQL avec :

  • Configuration express : La procédure par défaut qui vous permet de configurer l’évaluation des vulnérabilités sans dépendance vis-à-vis du stockage externe pour stocker les données de ligne de base et de résultats d’analyse.

  • Configuration classique : La procédure héritée qui vous oblige à gérer un compte de stockage Azure pour stocker les données de ligne de base et les résultats d’analyse.

Quelle est la différence entre la configuration rapide et la configuration classique ?

Comparaison des avantages et des limitations des modes de configuration :

Paramètre Configuration rapide Configuration classique
Versions de SQL prises en charge • Azure SQL Database
• Pools SQL dédiés Azure Synapse (anciennement SQL DW)
• Azure SQL Database
• Azure SQL Managed Instance
• Azure Synapse Analytics
Étendue de stratégie prise en charge • Abonnement
• Serveur
• Abonnement
• Serveur
• Base de données
Les dépendances Aucun Compte Azure Storage
Analyse périodique • Toujours active
• La planification de l’analyse est interne et non configurable
• Activation/désactivation configurable
La planification de l’analyse est interne et non configurable
Analyse de bases de données système • Analyse planifiée
• Analyse manuelle
• Analyse planifiée uniquement s’il existe une ou plusieurs bases de données utilisateur
• Analyse manuelle chaque fois qu’une base de données utilisateur est analysée
Règles prises en charge Toutes les règles d’évaluation des vulnérabilités pour le type de ressource pris en charge. Toutes les règles d’évaluation des vulnérabilités pour le type de ressource pris en charge.
Paramètres de ligne de base • Lot : plusieurs règles dans une seule commande
• Défini par les derniers résultats d’analyse
• Règle unique
• Règle unique
Appliquer la ligne de base Prend effet sans réanalyser la base de données Prend effet uniquement après la nouvelle analyse de la base de données
Taille du résultat de l’analyse à règle unique Maximum de 1 Mo Illimité
Notifications par e-mail • Logic Apps • Planificateur interne
• Logic Apps
Exportation de l’analyse Azure Resource Graph Format Excel, Azure Resource Graph
Clouds pris en charge Clouds commerciaux
Azure Government
Microsoft Azure exploité par 21Vianet
Clouds commerciaux
Azure Government
Azure exploité par 21Vianet

Étapes suivantes