A avaliação de vulnerabilidades do SQL ajuda a identificar vulnerabilidades de banco de dados
A avaliação de vulnerabilidade do SQL é um serviço fácil de configurar, que pode descobrir, rastrear e ajudar a corrigir vulnerabilidades potenciais do banco de dados. Use-o para aprimorar de modo proativo a segurança do banco de dados para:
Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure Azure Synapse Analytics
A avaliação de vulnerabilidades faz parte do Microsoft Defender para SQL do Azure, que é um pacote unificado de funcionalidades de segurança avançadas do SQL. A avaliação de vulnerabilidade pode ser acessada e gerenciada de cada recurso de banco de dados SQL no portal do Azure.
Observação
A avaliação de vulnerabilidade é compatível com o Banco de Dados SQL do Azure, a Instância Gerenciada de SQL do Azure e o Azure Synapse Analytics. Bancos de dados no Azure SQL Database, na Instância Gerenciada de SQL do Azure e no Azure Synapse Analytics são mencionados coletivamente no restante deste artigo como bancos de dados, e o servidor está se referindo ao servidor que hospeda os bancos de dados do Azure SQL Database e do Azure Synapse.
O que avaliação de vulnerabilidades do SQL?
A avaliação de vulnerabilidade do SQL é um serviço que fornece visibilidade ao seu estado de segurança. A avaliação de vulnerabilidade inclui etapas acionáveis para resolver problemas de segurança e aprimorar a segurança do banco de dados. Ela pode ajudá-lo a monitorar um ambiente de banco de dados dinâmico, onde as alterações são difíceis de rastrear e a melhorar sua postura de segurança do SQL.
A avaliação de vulnerabilidades é um serviço de verificação incorporado ao serviço Banco de Dados SQL do Azure. O serviço emprega uma base de conhecimento de regras que sinalizam vulnerabilidades de segurança. Ele destaca os desvios das práticas recomendadas, tis como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos.
As regras se baseiam nas práticas recomendadas da Microsoft e enfocam os problemas de segurança que apresentam os maiores riscos para o banco de dados e seus dados valiosos. Elas abordam problemas no nível do banco de dados e problemas de segurança no nível do servidor, como configurações de firewall do servidor e permissões no nível do servidor.
Os resultados da verificação incluem etapas práticas para resolver cada problema e fornecer scripts de correções personalizadas quando aplicável. É possível personalizar um relatório de avaliação para seu ambiente definindo uma linha de base aceitável para:
- Configurações de permissão
- Configurações de recurso
- Configurações de banco de dados
Quais são as configurações expressas e clássicas?
Configure a avaliação de vulnerabilidade para seus bancos de dados SQL com:
Configuração expressa – O procedimento padrão que permite configurar a avaliação de vulnerabilidade sem dependência do armazenamento externo para armazenar dados de resultado de linha de base e verificação.
Configuração clássica – O procedimento herdado que exige que você gerencie uma conta de armazenamento do Azure para armazenar dados de resultado da linha de base e da verificação.
Qual é a diferença entre a configuração expressa e clássica?
Comparação de benefícios e limitações dos modos de configuração:
| Parâmetro | Configuração expressa | Configuração clássica |
|---|---|---|
| Variantes de SQL com suporte | • Banco de dados SQL do Azure Pools de SQL dedicado do Azure Synapse (anteriormente denominado SQL DW) |
• Banco de dados SQL do Azure • Instância gerenciada de SQL do Azure • Azure Synapse Analytics |
| Escopo de política com suporte | • Assinatura • Servidor |
• Assinatura • Servidor • Banco de dados |
| Dependências | Nenhum | Conta de Armazenamento do Azure |
| Verificação recorrente | • Sempre ativo • O agendamento de verificação é interno e não configurável |
• Ativar/desativar configurável O agendamento de verificação é interno e não configurável |
| Verificação de bancos de dados do sistema | • Escaneamento marcado • Verificação manual |
• Verificação agendada somente se houver um banco de dados de usuário ou mais • Verificação manual sempre que um banco de dados do usuário é verificado |
| Regras com suporte | Todas as regras de avaliação de vulnerabilidade para o tipo de recurso com suporte. | Todas as regras de avaliação de vulnerabilidade para o tipo de recurso com suporte. |
| Configurações de Linha de Base | • Lote – várias regras em um comando • Definido pelos últimos resultados da verificação • Regra única |
• Regra única |
| Aplicar linha de base | Entrará em vigor sem examinar novamente o banco de dados | Entrará em vigor somente depois de examinar novamente o banco de dados |
| Tamanho do resultado da verificação de regra única | Máximo de 1 MB | Ilimitado |
| Notificações por email | • Aplicativos Lógicos | • Agendador interno • Aplicativos Lógicos |
| Exportação de verificação | Gráfico de Recursos do Azure | Formato do Excel, Azure Resource Graph |
| Nuvens compatíveis | Nuvens comerciaisAzure Governamental Microsoft Azure operado pela 21Vianet |
Nuvens comerciaisAzure Governamental Azure operado pela 21Vianet |
Próximas etapas
- Habilitar as avaliações de vulnerabilidade do SQL
- Perguntas comuns e Solução de problemas sobre a configuração expressa.
- Saiba mais sobre o Microsoft Defender para SQL do Azure.
- Saiba mais sobre descoberta e classificação de dados.
- Saiba mais sobre em armazenar os resultados da verificação de avaliação de vulnerabilidade em uma conta de armazenamento acessível por trás de firewalls e VNets.