Оценка уязвимостей SQL помогает выявить уязвимости баз данных

Оценка уязвимостей SQL — это легкая в настройке служба, помогающая обнаруживать, отслеживать и устранять потенциальные уязвимости баз данных. Используйте его для упреждающего улучшения безопасности базы данных для:

База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics

Оценка уязвимостей является частью Microsoft Defender для SQL Azure, который является унифицированным пакетом для расширенных возможностей безопасности SQL. Оценка уязвимостей может быть доступ к каждому ресурсу базы данных SQL и управлять ими в портал Azure.

Примечание.

Оценка уязвимостей поддерживается для Базы данных SQL Azure, Управляемого экземпляра SQL Azure и Azure Synapse Analytics. В оставшейся части этой статьи собирательным термином "базы данных" называются базы данных SQL Azure, Управляемого экземпляра SQL Azure и Azure Synapse Analytics, а термином "сервер" — сервер, на котором размещены базы данных SQL Azure и Azure Synapse.

Что представляет собой оценка уязвимостей SQL?

Оценка уязвимостей SQL — это служба, позволяющая получить представление о состоянии вашей защиты. В рамках оценки уязвимостей предлагаются практические действия для устранения выявленных проблем безопасности и повышения защищенности базы данных. Она помогает вести мониторинг динамической среды базы данных, в которой трудно отслеживать изменения, и улучшать состояние безопасности SQL.

Оценка уязвимостей — это служба проверки, встроенная в Базу данных SQL Azure. Эта служба использует базу знаний с правилами, которые помечают уязвимости в системе безопасности. Она показывает отклонения от лучших методик, например нарушения конфигурации, чрезмерные разрешения и незащищенные конфиденциальные данные.

Эти правила основаны на рекомендациях корпорации Майкрософт и направлены на устранение проблем безопасности, представляющих наивысший риск для базы данных и ее ценного содержимого. Сюда входят проблемы безопасности на уровне как самой базы данных, так и сервера, например настройки брандмауэра сервера и установленные для сервера разрешения.

Результаты проверки включают в себя практические действия по устранению каждой проблемы, а также настроенные скрипты исправления, если их можно применить. Вы можете настроить отчет об оценке в соответствии со своим окружением, задав приемлемые базовые показатели для следующих элементов:

  • конфигурации разрешений;
  • конфигурации функций;
  • Параметры базы данных

Каковы экспресс-и классические конфигурации?

Вы можете настроить оценку уязвимостей для баз данных SQL с помощью следующих компонентов:

  • Экспресс-конфигурация — процедура по умолчанию, которая позволяет настроить оценку уязвимостей без зависимости от внешнего хранилища для хранения базовых показателей и сканирования данных результатов.

  • Классическая конфигурация — устаревшая процедура, требующая управления учетной записью хранения Azure для хранения базовых показателей и сканирования результатов.

Какова разница между экспресс-конфигурацией и классической конфигурацией?

Преимущества и ограничения режимов конфигурации:

Параметр Экспресс-конфигурация Классическая конфигурация
Поддерживаемые вкусы SQL • База данных SQL Azure
• Выделенные пулы SQL Azure Synapse (ранее — хранилище данных SQL)
• База данных SQL Azure
• Управляемый экземпляр SQL Azure
• Azure Synapse Analytics
Поддерживаемая область политики •Подписка
•Сервер
•Подписка
•Сервер
•База данных
Зависимости нет Учетная запись хранения Azure
Повторяющаяся проверка • Всегда активен
• Планирование сканирования является внутренним и не настраиваемым
• Настраиваемая вкл/выкл.
Планирование сканирования является внутренним и не настраиваемым
Проверка системных баз данных • Запланированное сканирование
• Ручное сканирование
• Запланированное сканирование только в том случае, если есть одна пользовательская база данных или несколько
• Ручное сканирование при каждом сканировании пользовательской базы данных
Поддерживаемые правила Все правила оценки уязвимостей для поддерживаемого типа ресурса. Все правила оценки уязвимостей для поддерживаемого типа ресурса.
Базовые параметры • Пакетная служба — несколько правил в одной команде
• Установка последних результатов сканирования
• Одно правило
• Одно правило
Применение базовых показателей Вступит в силу без повторного сканирования базы данных Вступит в силу только после повторного сканирования базы данных
Размер результата проверки одного правила Не более 1 МБ Не ограничено
Уведомления по электронной почте • Logic Apps • Внутренний планировщик
• Logic Apps
Сканирование экспорта Azure Resource Graph Формат Excel, Azure Resource Graph
Поддерживаемые облака Коммерческие облака
Azure для государственных организаций
Microsoft Azure, управляемый 21Vianet
Коммерческие облака
Azure для государственных организаций
Azure, управляемый 21Vianet

Следующие шаги