Сохранение результатов оценки уязвимостей в учетной записи хранения, доступной за межсетевыми экранами и виртуальными сетями

  • Статья

Область применения: База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics

Если вы ограничиваете доступ к учетной записи хранения в Azure для определенных виртуальных сетей или служб, необходимо включить соответствующую конфигурацию, чтобы проверка уязвимостей (VA) для База данных SQL или Управляемый экземпляр SQL Azure имели доступ к этой учетной записи хранения.

Примечание.

Эти параметры не требуются при использовании Express Configuration.

Необходимые компоненты

Службе оценки уязвимостей SQL требуется разрешение на учетную запись хранения для сохранения базовых показателей и результатов сканирования.

Используйте управляемое удостоверение SQL Server:

  • SQL Server должен иметь управляемое удостоверение.
  • Учетной записи хранения должна быть назначена следующая роль для управляемого удостоверения SQL: Участник данных BLOB-объекта хранилища.
  • При применении параметров поля va fields storageContainerSasKey и storageAccountAccessKey должны быть пустыми (конфигурация с использованием ключа учетной записи хранения или ключа SAS хранилища недействительна для этого сценария).

Когда вы используете портал Azure для сохранения параметров оценки уязвимостей SQL, Azure проверяет, есть ли у вас разрешение на назначение новой роли для управляемого удостоверения в качестве Участника данных BLOB-объекта хранилища в хранилище. Если назначены разрешения, Azure использует управляемое удостоверение SQL Server, в противном случае Azure использует метод ключа (который не поддерживается для этого сценария).

Примечание.

  1. Назначенные пользователем управляемые удостоверения не поддерживаются для этого сценария.
  2. При использовании политик управления жизненным циклом служба хранилища Azure избегайте перемещения файлов в контейнере, используемом va на уровень доступа к архиву. Чтение результатов сканирования или базовых конфигураций, хранящихся на уровне архивного доступа, не поддерживается.

Включение доступа к учетной записи хранения для сохранения результатов оценки уязвимостей базы данных SQL Azure

Если вы настроили учетную запись хранения VA только для определенных сетей или служб, необходимо убедиться, что проверки va для База данных SQL Azure могут хранить проверки в учетной записи хранения. Вы можете использовать существующую учетную запись хранения или создать новую для хранения результатов оценки уязвимостей для всех баз данных на вашем логическом сервере SQL.

Примечание.

Служба оценки уязвимостей не может получить доступ к учетным записям хранения, защищенным межсетевыми экранами или виртуальными сетями, если им требуются ключи доступа к хранилищу.

Перейдите в свою группу ресурсов, содержащую учетную запись хранения, и откройте область Учетная запись хранения. В разделе Параметры выберите Брандмауэр и виртуальные сети.

Убедитесь, что установлен флажок Разрешить доверенным службам Майкрософт доступ к этой учетной записи хранения.

Снимок экрана: диалоговое окно брандмауэра и виртуальных сетей с разрешением доверенного службы Майкрософт для доступа к этой учетной записи хранения.

Чтобы узнать, какая учетная запись хранения используется, выполните следующие действия.

  1. Перейдите в область SQL Server в портал Azure.
  2. В разделе "Безопасность" выберите Defender для облака.
  3. Выберите Настроить.

Снимок экрана: оценка уязвимостей установки.

Сохранение результатов оценки уязвимостей для управляемого экземпляра SQL Azure в учетной записи хранения, доступной за межсетевым экраном или виртуальной сетью

Так как Управляемый экземпляр SQL Azure не является доверенной службой Майкрософт и имеет другую виртуальную сеть из учетной записи хранения, выполнение проверки va приведет к ошибке.

Примечание.

Настоятельно рекомендуется убедиться, что Управляемый экземпляр SQL Azure зарегистрированы в волне функций ноября 2022 года, что позволит гораздо проще настроить оценку уязвимостей SQL, когда учетная запись хранения находится за брандмауэром или виртуальной сетью.

Чтобы поддерживать проверку va на Управляемый экземпляр SQL Azure, на которых установлена волна компонентов ноября 2022 г., выполните следующие действия.

  1. На странице обзора Управляемый экземпляр SQL Azure запишите значение в виртуальной сети или подсети.

  2. Перейдите на страницу "Сеть" в учетной записи хранения, в которой sql VA настроена для хранения результатов сканирования.

  3. На вкладке "Брандмауэры и виртуальные сети" в разделе "Доступ к общедоступной сети" выберите "Включено" из выбранных виртуальных сетей и IP-адресов.

  4. В разделе "Виртуальные сети" щелкните "Добавить существующую виртуальную сеть" и выберите виртуальную сеть и подсеть, используемую управляемым экземпляром, который вы указали на первом шаге.

    Снимок экрана: параметры сети учетной записи хранения для волны функций Ноябрь 22 (и вверх).

Чтобы обеспечить поддержку проверок va на Управляемый экземпляр SQL Azure, которые не установлены в ноябре 2022 года, выполните следующие действия.

  1. На панели Управляемый экземпляр SQL под заголовком Обзор щелкните ссылку Виртуальная сеть или подсеть. Вы попадете на панель Виртуальная сеть.

    Снимок экрана: обзор управляемого экземпляра SQL.

  2. В разделе Параметры выберите Подсети. Щелкните + Подсеть в новой области, чтобы добавить подсеть . Для получения дополнительной информации см. статью об управлении подсетями.

    Снимок экрана: список подсетей и параметр добавления подсети.

  3. Трафик из экземпляра в подсети управляемого экземпляра по умолчанию в Azure Resource Manager должен направляться через Интернет. Таким образом, маршрут со следующим прыжком является Интернетом и тегом назначения, который является соответствующим тегом UDR для диапазона адресов Azure Resource Manager, должен быть назначен подсети, где находится управляемый экземпляр. Этот маршрут будет добавлен автоматически в новых развертываниях, но его необходимо добавить еще раз, если он был удален.

    Снимок экрана: обязательный маршрут.

  4. Новая подсеть должна иметь следующие конфигурации:

    Снимок экрана: подсеть с именем VA и ее параметрами.

    • Шлюз NAT: Нет
    • Группа безопасности сети: Нет
    • Таблица маршрутов: Нет
    • КОНЕЧНЫЕ ТОЧКИ СЛУЖБЫ — службы: нет выбранных
    • ДЕЛЕГИРОВАНИЕ ПОДСЕТИ — делегировать подсеть в службу: Нет.
    • NETWORK POLICY FOR PRIVATE ENDPOINTS — политика сети частной конечной точки: не выбрано

  5. Перейдите в учетную запись хранения, в которой настроена служба va SQL для хранения результатов сканирования и перейдите на вкладку "Подключения к частной конечной точке", а затем нажмите кнопку "+ Частная конечная точка"

    Снимок экрана: параметры брандмауэров и виртуальных сетей.

    Снимок экрана: кнопка добавления частной конечной точки.

  6. Выберите сведения для частной конечной точки (рекомендуется поместить его в один и тот же регион RG).

    Снимок экрана: вкладка

  7. Выбор большого двоичного объекта для целевого подресурса

    Снимок экрана: вкладка

  8. Выберите виртуальную сеть SQL MI (на шаге 1) и выберите созданную подсеть (шаг 3).

    Снимок экрана: вкладка создания частной конечной точки виртуальная сеть.

  9. Выберите " Интеграция с частной зоной DNS" (должна быть по умолчанию) и выберите другие значения по умолчанию

    Снимок экрана: вкладка DNS создания частной конечной точки.

  10. Перейдите на вкладку "Рецензирование и создание " и нажмите кнопку "Создать". После завершения развертывания вы увидите это на вкладке "Подключения к частной конечной точке" в разделе "Сеть" учетной записи хранения:

    Снимок экрана: подключение к частной конечной точке хранилища после настройки.

Теперь вы сможете хранить проверки va для Управляемый экземпляр SQL Azure в учетной записи хранения.

Этот раздел посвящен устранению распространенных проблем, связанных со сканированием для оценки уязвимостей.

Не удалось сохранить параметры оценки уязвимостей

Вы не сможете сохранить изменения в параметрах оценки уязвимостей, если ваша учетная запись хранения не соответствует некоторым предварительным требованиям или если у вас недостаточно разрешений.

Требования к учетной записи хранения

Учетная запись хранения, в которой сохраняются результаты оценки уязвимостей, должна соответствовать следующим требованиям:

  • тип: StorageV2 (общего назначения, версия 2) или Storage (общего назначения, версия 1);
  • производительность: стандартная (только);
  • регион: хранилище должно находиться в том же регионе, что и экземпляр Azure SQL Server.

Если какое-либо из этих требований не выполняется, сохранение изменений в параметрах оценки уязвимостей завершается ошибкой.

Разрешения

Для сохранения изменений в параметрах оценки уязвимостей требуются следующие разрешения:

  • Диспетчер безопасности SQL
  • Читатель данных больших двоичных объектов хранилища
  • Роль владельца учетной записи хранения

Для настройки нового назначения ролей требуются доступ владельца или пользователя-администратора к учетной записи хранения и следующие разрешения:

  • Владелец данных BLOB-объектов хранилища

Учетная запись хранения не отображается для выбора в параметрах оценки уязвимости

Учетная запись хранения может не отображаться в средстве выбора учетной записи хранения по нескольким причинам:

  • Учетная запись хранения, которую вы ищете, отсутствует в выбранной подписке.
  • Учетная запись хранения, которую вы ищете, находится не в том же регионе, что и экземпляр Azure SQL Server.
  • У вас нет разрешений Microsoft.Storage/storageAccounts/read для учетной записи хранения.

Возможно, вы не сможете открыть ссылку в сообщении уведомления о результатах сканирования или просмотреть результаты сканирования, если у вас нет необходимых разрешений, или если вы используете браузер, который не поддерживает открытие или отображение результатов сканирования.

Необходимые разрешения

Чтобы открывать ссылки в уведомлениях по электронной почте о результатах сканирования или просматривать эти результаты, необходимы следующие разрешения:

  • Диспетчер безопасности SQL
  • Читатель данных больших двоичных объектов хранилища

Требования к браузерам

Браузер Firefox не позволяет открывать или отображать результаты сканирования. Мы рекомендуем использовать Microsoft Edge или Chrome для просмотра результатов проверки уязвимостей.

Следующие шаги