A avaliação de vulnerabilidades do SQL ajuda a identificar vulnerabilidades de banco de dados
A avaliação de vulnerabilidade do SQL é um serviço fácil de configurar, que pode descobrir, rastrear e ajudar a corrigir vulnerabilidades potenciais do banco de dados. Use-o para aprimorar de modo proativo a segurança do banco de dados para:
Banco de Dados SQL do Azure
Instância Gerenciada de SQL do Azure
Azure Synapse Analytics
A avaliação de vulnerabilidades faz parte do Microsoft Defender para SQL do Azure, um pacote unificado de funcionalidades de segurança avançadas do SQL. Você pode acessar e gerenciar a avaliação de vulnerabilidade de cada recurso de banco de dados SQL no portal do Azure.
Observação
A avaliação de vulnerabilidade é compatível com o Banco de Dados SQL do Azure, a Instância Gerenciada de SQL do Azure e o Azure Synapse Analytics. Os bancos de dados no Banco de Dados SQL do Azure, na Instância Gerenciada de SQL do Azure e no Azure Synapse Analytics são chamados coletivamente de bancos de dados neste artigo. O servidor refere-se ao servidor que hospeda bancos de dados do Banco de Dados SQL do Azure e do Azure Synapse.
O que é avaliação de vulnerabilidades do SQL?
A avaliação de vulnerabilidade do SQL fornece visibilidade ao seu estado de segurança. Ela inclui etapas acionáveis para resolver problemas de segurança e aprimorar a segurança do banco de dados. Ela pode ajudar você a monitorar um ambiente de banco de dados dinâmico, onde as alterações são difíceis de rastrear, e a aprimorar sua postura de segurança do SQL.
A avaliação de vulnerabilidades é um serviço de verificação incorporado ao serviço Banco de Dados SQL do Azure. O serviço emprega uma base de conhecimento de regras que sinalizam vulnerabilidades de segurança. Ele destaca os desvios das práticas recomendadas, tis como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos.
As regras se baseiam nas práticas recomendadas da Microsoft e enfocam os problemas de segurança que apresentam os maiores riscos para o banco de dados e seus dados valiosos. Elas abordam problemas no nível do banco de dados e problemas de segurança no nível do servidor, como configurações de firewall do servidor e permissões no nível do servidor.
Os resultados da verificação incluem etapas práticas para resolver cada problema e fornecer scripts de correções personalizadas quando aplicável. Personalize um relatório de avaliação para seu ambiente definindo uma linha de base aceitável para:
- Configurações de permissão.
- Configurações de recursos.
- Configurações do banco de dados.
Quais são as configurações expressas e clássicas?
Configure a avaliação de vulnerabilidade para seus bancos de dados SQL com:
Configuração expressa – o procedimento padrão que permite configurar a avaliação de vulnerabilidade sem dependência do armazenamento externo para armazenar dados de resultado de linha de base e verificação.
Configuração clássica – o procedimento herdado que exige que você gerencie uma conta de armazenamento do Azure para armazenar dados de resultado da linha de base e da verificação.
Qual é a diferença entre a configuração expressa e clássica?
Comparação de benefícios e limitações dos modos de configuração:
| Parâmetro | Configuração expressa | Configuração clássica |
|---|---|---|
| Variantes de SQL com suporte | • Banco de dados SQL do Azure • Pools de SQL dedicados do Azure Synapse (antigo SQL Data Warehouse do Azure) |
• Banco de dados SQL do Azure • Instância gerenciada de SQL do Azure • Azure Synapse Analytics |
| Escopo de política com suporte | • Assinatura • Servidor |
• Assinatura • Servidor • Banco de dados |
| Dependências | Nenhum | Conta de Armazenamento do Azure |
| Verificação recorrente | • Sempre ativo • O agendamento de verificação é interno e não configurável |
• Ativar/desativar configurável O agendamento de verificação é interno e não configurável |
| Verificação de bancos de dados do sistema | • Escaneamento marcado • Verificação manual |
• Verificação agendada somente se houver um banco de dados de usuário ou mais • Verificação manual sempre que um banco de dados do usuário é verificado |
| Regras com suporte | Todas as regras de avaliação de vulnerabilidade para o tipo de recurso com suporte. | Todas as regras de avaliação de vulnerabilidade para o tipo de recurso com suporte. |
| Configurações de Linha de Base | • Lote – várias regras em um comando • Definido pelos últimos resultados da verificação • Regra única |
• Regra única |
| Aplicar linha de base | Entrará em vigor sem examinar novamente o banco de dados | Entrará em vigor somente depois de examinar novamente o banco de dados |
| Tamanho do resultado da verificação de regra única | Máximo de 1 MB | Ilimitado |
| Notificações por email | • Aplicativos Lógicos | • Agendador interno • Aplicativos Lógicos |
| Exportação de verificação | Gráfico de Recursos do Azure | Formato do Excel, Azure Resource Graph |
| Nuvens compatíveis |
Nuvens comerciais
Azure Governamental
Microsoft Azure operado pela 21Vianet |
Nuvens comerciais
Azure Governamental
Azure operado pela 21Vianet |
Conteúdo relacionado
- Habilitar as avaliações de vulnerabilidade do SQL
- Perguntas comuns e Solução de problemas sobre a configuração expressa.
- Saiba mais sobre o Microsoft Defender para SQL do Azure.
- Saiba mais sobre descoberta e classificação de dados.
- Saiba mais sobre em armazenar os resultados da verificação de avaliação de vulnerabilidade em uma conta de armazenamento acessível por trás de firewalls e VNets.