Almacenamiento de los resultados del examen de evaluación de vulnerabilidad en una cuenta de almacenamiento accesible detrás de firewalls y redes virtuales
Se aplica a: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics
Si está limitando el acceso a su cuenta de almacenamiento en Azure para determinados servicios o redes virtuales, deberá habilitar la configuración adecuada para que los exámenes de evaluación de vulnerabilidad (VA) para SQL Database o instancias de Azure SQL Managed Instance tengan acceso a dicha cuenta de almacenamiento.
Nota:
Esta configuración no es necesaria cuando se usa la configuración rápida.
Requisitos previos
El servicio de evaluación de vulnerabilidades de SQL necesita permiso de acceso a la cuenta de almacenamiento para guardar la línea de base y examinar los resultados.
Use la identidad administrada de SQL Server:
- SQL Server debe tener una identidad administrada.
- La cuenta de almacenamiento debe tener una asignación de roles para la identidad administrada de SQL como Colaborador de datos de blobs de almacenamiento.
- Al aplicar la configuración, los campos storageContainerSasKey y storageAccountAccessKey de VA deben estar vacíos (la configuración con la clave de cuenta de almacenamiento o la clave SAS de almacenamiento no es válida para este escenario).
Cuando se usa Azure Portal para guardar la configuración de evaluación de vulnerabilidades de SQL, Azure comprueba si tiene permiso para realizar una nueva asignación de roles para la identidad administrada como Colaborador de datos de blobs de almacenamiento en el almacenamiento. Si se asignan permisos, Azure usa la identidad administrada de SQL Server; de lo contrario, Azure usa el método de clave (que no se admite en este escenario).
Nota:
- En este escenario no se admiten las identidades administradas asignadas por el usuario.
- Si usa directivas de administración del ciclo de vida de Azure Storage, evite mover archivos en el contenedor usado por VA al nivel de acceso de archivo. No se admite la lectura de los resultados del examen ni las configuraciones de línea base almacenadas en el nivel de acceso de archivo.
Habilitación del acceso de los exámenes de VA de Azure SQL Database a la cuenta de almacenamiento
Si ha configurado la cuenta de almacenamiento de VA para que solo sea accesible mediante determinados servicios o redes, deberá asegurarse de que los exámenes de VA para Azure SQL Database puedan almacenar los exámenes en la cuenta de almacenamiento. Puede usar la cuenta de almacenamiento existente o crear una nueva para almacenar los resultados del examen de VA de todas las bases de datos en su servidor SQL lógico.
Nota:
El servicio de evaluación de vulnerabilidades no puede acceder a las cuentas de almacenamiento protegidas con firewalls o redes virtuales si necesitan claves de acceso de almacenamiento.
Vaya al grupo de recursos que contenga la cuenta de almacenamiento y obtenga acceso al panel Cuenta de almacenamiento. En Configuración, seleccione Firewall y redes virtuales.
Asegúrese de que la opción Permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento está habilitada.
Para averiguar qué cuenta de almacenamiento se está usando, siga estos pasos:
- Vaya al panel de SQL Server en Azure Portal.
- En Seguridad, seleccione Defender for Cloud.
- Seleccione Configurar.
Almacenamiento de los resultados del examen de VA para Instancia administrada de Azure SQL en una cuenta de almacenamiento a la que se puede tener acceso detrás de un firewall o una red virtual
Dado que Azure SQL Managed Instance no es un servicio de Microsoft de confianza y que tiene una red virtual diferente a la cuenta de almacenamiento, la ejecución del examen de VA producirá un error.
Nota:
Se recomienda encarecidamente asegurarse de que las instancias administradas de Azure SQL están inscritas en la oleada de características de noviembre de 2022, lo que permitirá una configuración mucho más sencilla de SQL Vulenrability Assessment cuando la cuenta de almacenamiento esté detrás de un firewall o una red virtual.
Para permitir exámenes de evaluación de vulnerabilidades en instancias de Azure SQL Managed Instance que tengan instalado el conjunto de características de noviembre de 2022, siga estos pasos:
En la página Información general de Azure SQL Managed Instance, anote el valor que aparece en Subred o red virtual.
Vaya a la página Redes en la cuenta de almacenamiento donde está configurada la evaluación de vulnerabilidades de SQL para almacenar los resultados del examen.
En Firewalls y redes virtuales, en Acceso a la red pública, elija Habilitado desde redes virtuales y direcciones IP seleccionadas.
En la sección Redes virtuales, haga clic en Agregar red virtual existente y seleccione la red virtual y la subred usadas por la instancia administrada que anotó en el primer paso.
Para admitir exámenes de evaluación de vulnerabilidades en instancias de Azure SQL Managed Instance que no tienen instalado el conjunto de características de noviembre de 2022, siga estos pasos:
En el panel Instancia administrada de SQL, en el título Información general, haga clic en el vínculo Red virtual o subred. De esta forma, se le dirige al panel Red virtual.
En Configuración, seleccione Subredes. Haga clic en +Subred en el nuevo panel para agregar una subred. Para obtener más información, consulte Administración de subredes.
El tráfico de la instancia de la subred de instancia administrada predeterminada a Azure Resource Manager debe enrutarse a través de Internet. Por lo tanto, una ruta con el próximo salto que es Internet y la etiqueta de destino es la etiqueta UDR adecuada para el intervalo de direcciones de Azure Resource Manager debe asignarse a la subred donde se encuentra la instancia administrada. Esta ruta se agregará automáticamente en nuevas implementaciones, pero debe agregarse de nuevo si se quitó.
La nueva subred debe tener las siguientes configuraciones:
- Puerta de enlace NAT: Ninguna
- Grupo de seguridad de red: Ninguno
- Tabla de rutas: Ninguna
- PUNTOS DE CONEXIÓN DE SERVICIO. Servicios: Ninguno seleccionado
- DELEGACIÓN DE SUBRED. Delegación de una subred en un servicio: Ninguna
- DIRECTIVA DE RED PARA PUNTOS DE CONEXIÓN PRIVADOS. Directiva de red de punto de conexión privado: Ninguna seleccionada
Vaya a la cuenta de almacenamiento donde está configurada la evaluación de vulnerabilidades de SQL para almacenar los resultados del examen y haga clic en la pestaña Conexiones de punto de conexión privado y, luego, en +Punto de conexión privado.
Elija los detalles del punto de conexión privado (se recomienda colocarlo en el mismo grupo de recursos y región).
En Subrecurso objetivo, elija blob.
Seleccione la red virtual de SQL MI (en el paso 1) y elija la subred que creó (paso 3):
Seleccione Integrar con la zona DNS privada (debe ser el valor predeterminado) y elija los demás valores predeterminados.
Continúe con la pestaña Revisar y crear y haga clic en Crear. Una vez finalizada la implementación, debería ver esto en la pestaña Conexiones de punto de conexión privado en la sección "Red" de la cuenta de almacenamiento:
Ahora debería poder almacenar los exámenes de VA para Azure SQL Managed Instance en la cuenta de almacenamiento.
Solución de problemas relacionados con el examen de evaluación de vulnerabilidades
Solución de problemas comunes relacionados con los exámenes de evaluación de vulnerabilidades.
No se pudo guardar la configuración de la evaluación de vulnerabilidad.
Es posible que no pueda guardar los cambios en la configuración de evaluación de vulnerabilidades si la cuenta de almacenamiento no cumple algunos requisitos previos o si no tiene permisos suficientes.
Requisitos de la cuenta de almacenamiento
La cuenta de almacenamiento en la que se guardan los resultados del examen de evaluación de vulnerabilidades debe cumplir los siguientes requisitos:
- Tipo: StorageV2 (de uso general V2) o Storage (de uso general V1)
- Rendimiento: Estándar (solo)
- Región: el almacenamiento debe estar en la misma región que la instancia de Azure SQL Server.
Si no se cumple alguno de estos requisitos, se produce un error al guardar los cambios en la configuración de evaluación de vulnerabilidades.
Permisos
Se requieren los permisos siguientes para guardar los cambios en la configuración de evaluación de vulnerabilidades:
- Administrador de seguridad SQL
- Lector de datos de blobs de almacenamiento
- Rol de propietario en la cuenta de almacenamiento
Para establecer una nueva asignación de roles, hace falta el acceso de propietario o administrador de usuarios a la cuenta de almacenamiento y los permisos siguientes:
- Propietario de datos de blobs de almacenamiento
La cuenta de almacenamiento no está visible para la selección en la configuración de evaluación de vulnerabilidades
Es posible que la cuenta de almacenamiento no aparezca en el selector de cuentas de almacenamiento por varias razones:
- La cuenta de almacenamiento que busca no está en la suscripción seleccionada.
- La cuenta de almacenamiento que busca no se encuentra en la misma región que Azure SQL Server.
- No tiene permisos de Microsoft.Storage/storageAccounts/read en la cuenta de almacenamiento.
Error al abrir el vínculo de correo electrónico de los resultados del examen o no se pueden ver los resultados del examen
Es posible que no pueda abrir un vínculo de un correo electrónico de notificación sobre los resultados del examen o que no pueda ver los resultados del examen si no tiene los permisos necesarios o si usa un explorador que no admite la apertura o visualización de los resultados del examen.
Permisos necesarios
Los siguientes permisos son necesarios para abrir vínculos en notificaciones por correo electrónico sobre los resultados del examen o para ver los resultados del examen:
- Administrador de seguridad SQL
- Lector de datos de blobs de almacenamiento
Requisitos del explorador
El explorador Firefox no admite la apertura o visualización de la vista de resultados del examen. Se recomienda usar Microsoft Edge o Chrome para ver los resultados del examen de evaluación de vulnerabilidades.