Compartilhar via


A avaliação de vulnerabilidades do SQL ajuda a identificar vulnerabilidades de banco de dados

A avaliação de vulnerabilidade do SQL é um serviço fácil de configurar, que pode descobrir, rastrear e ajudar a corrigir vulnerabilidades potenciais do banco de dados. Use-o para aprimorar de modo proativo a segurança do banco de dados para:

Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure Azure Synapse Analytics

A avaliação de vulnerabilidades faz parte do Microsoft Defender para SQL do Azure, que é um pacote unificado de funcionalidades de segurança avançadas do SQL. A avaliação de vulnerabilidade pode ser acessada e gerenciada de cada recurso de banco de dados SQL no portal do Azure.

Observação

A avaliação de vulnerabilidade é compatível com o Banco de Dados SQL do Azure, a Instância Gerenciada de SQL do Azure e o Azure Synapse Analytics. Bancos de dados no Azure SQL Database, na Instância Gerenciada de SQL do Azure e no Azure Synapse Analytics são mencionados coletivamente no restante deste artigo como bancos de dados, e o servidor está se referindo ao servidor que hospeda os bancos de dados do Azure SQL Database e do Azure Synapse.

O que avaliação de vulnerabilidades do SQL?

A avaliação de vulnerabilidade do SQL é um serviço que fornece visibilidade ao seu estado de segurança. A avaliação de vulnerabilidade inclui etapas acionáveis para resolver problemas de segurança e aprimorar a segurança do banco de dados. Ela pode ajudá-lo a monitorar um ambiente de banco de dados dinâmico, onde as alterações são difíceis de rastrear e a melhorar sua postura de segurança do SQL.

A avaliação de vulnerabilidades é um serviço de verificação incorporado ao serviço Banco de Dados SQL do Azure. O serviço emprega uma base de conhecimento de regras que sinalizam vulnerabilidades de segurança. Ele destaca os desvios das práticas recomendadas, tis como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos.

As regras se baseiam nas práticas recomendadas da Microsoft e enfocam os problemas de segurança que apresentam os maiores riscos para o banco de dados e seus dados valiosos. Elas abordam problemas no nível do banco de dados e problemas de segurança no nível do servidor, como configurações de firewall do servidor e permissões no nível do servidor.

Os resultados da verificação incluem etapas práticas para resolver cada problema e fornecer scripts de correções personalizadas quando aplicável. É possível personalizar um relatório de avaliação para seu ambiente definindo uma linha de base aceitável para:

  • Configurações de permissão
  • Configurações de recurso
  • Configurações de banco de dados

Quais são as configurações expressas e clássicas?

Configure a avaliação de vulnerabilidade para seus bancos de dados SQL com:

  • Configuração expressa – O procedimento padrão que permite configurar a avaliação de vulnerabilidade sem dependência do armazenamento externo para armazenar dados de resultado de linha de base e verificação.

  • Configuração clássica – O procedimento herdado que exige que você gerencie uma conta de armazenamento do Azure para armazenar dados de resultado da linha de base e da verificação.

Qual é a diferença entre a configuração expressa e clássica?

Comparação de benefícios e limitações dos modos de configuração:

Parâmetro Configuração expressa Configuração clássica
Variantes de SQL com suporte • Banco de dados SQL do Azure
Pools de SQL dedicado do Azure Synapse (anteriormente denominado SQL DW)
• Banco de dados SQL do Azure
• Instância gerenciada de SQL do Azure
• Azure Synapse Analytics
Escopo de política com suporte • Assinatura
• Servidor
• Assinatura
• Servidor
• Banco de dados
Dependências Nenhum Conta de Armazenamento do Azure
Verificação recorrente • Sempre ativo
• O agendamento de verificação é interno e não configurável
• Ativar/desativar configurável
O agendamento de verificação é interno e não configurável
Verificação de bancos de dados do sistema • Escaneamento marcado
• Verificação manual
• Verificação agendada somente se houver um banco de dados de usuário ou mais
• Verificação manual sempre que um banco de dados do usuário é verificado
Regras com suporte Todas as regras de avaliação de vulnerabilidade para o tipo de recurso com suporte. Todas as regras de avaliação de vulnerabilidade para o tipo de recurso com suporte.
Configurações de Linha de Base • Lote – várias regras em um comando
• Definido pelos últimos resultados da verificação
• Regra única
• Regra única
Aplicar linha de base Entrará em vigor sem examinar novamente o banco de dados Entrará em vigor somente depois de examinar novamente o banco de dados
Tamanho do resultado da verificação de regra única Máximo de 1 MB Ilimitado
Notificações por email • Aplicativos Lógicos • Agendador interno
• Aplicativos Lógicos
Exportação de verificação Gráfico de Recursos do Azure Formato do Excel, Azure Resource Graph
Nuvens compatíveis Nuvens comerciais
Azure Governamental
Microsoft Azure operado pela 21Vianet
Nuvens comerciais
Azure Governamental
Azure operado pela 21Vianet

Próximas etapas