SQL 弱點評定可協助您識別資料庫弱點
SQL 弱點評量服務可讓您輕鬆設定,以探索、追蹤並協助您補救潛在資料庫弱點。 使用此工具可主動改進資料庫安全性以下項目:
Azure SQL Database Azure SQL 受控執行個體 Azure Synapse Analytics
弱點評量是適用於 Azure SQL 的 Microsoft Defender 的一部份,是進階 SQL 安全性功能的整合套件。 您可以從 Azure 入口網站中的每個 SQL 資料庫資源存取和管理弱點評定。
注意
Azure SQL Database、Azure SQL 受控執行個體,以及 Azure Synapse Analytics 可支援弱點評定。 Azure SQL Database、Azure SQL 受控執行個體,以及 Azure Synapse Analytics 中的資料庫,會在本文的其餘部分統稱為資料庫,而伺服器指的是裝載 Azure SQL Database 和 Azure Synapse 資料庫的伺服器。
什麼是 SQL 弱點評定?
SQL 弱點評定是一項服務,可讓您查看安全性狀態。 弱點評定包含可操作的步驟,可讓您解決安全性問題,並增強資料庫安全性。 可協助您監視難以追蹤變更內容的動態資料庫環境,並改善 SQL 安全性狀態。
弱點評定是 Azure SQL Database 內建的掃描服務。 此服務會採用規則的知識庫,在安全性弱點上加上旗標。 其會反白顯示與最佳作法的偏差情形,例如錯誤的設定、過多的權限,以及未受保護的敏感性資料。
規則是以 Microsoft 的最佳作法為基礎,並著重於顯示資料庫和其珍貴資料的最大安全性問題風險。 其會涵蓋資料庫層級問題,以及伺服器層級的安全性問題,例如伺服器防火牆設定和伺服器層級權限。
掃描結果包含可以解決個別問題的可操作步驟,並於合適的情況下提供自訂的補救指令碼。 您可以為環境自訂評定報告,方法是設定可接受的基準以進行:
- 權限設定
- 功能設定
- 資料庫設定
什麼是快速和傳統設定?
您可以使用下列任一方式來設定 SQL 資料庫的弱點評量:
快速設定 – 這個預設程序可讓您設定弱點評量,不需要相依於外部儲存體以儲存基準和掃描結果資料。
傳統設定 – 此舊版程序需要您管理 Azure 儲存體帳戶以儲存基準和掃描結果資料。
快速和傳統設定之間的差異為何?
設定模式的優點和限制比較:
參數 | 快速設定 | 傳統設定 |
---|---|---|
支援的 SQL 變體 | • Azure SQL Database • Azure Synapse 專用 SQL 集區 (先前稱為 SQL DW) |
• Azure SQL Database • Azure SQL 受控執行個體 • Azure Synapse Analytics |
支援的原則範圍 | • 訂用帳戶 • 伺服器 |
• 訂用帳戶 • 伺服器 • 資料庫 |
相依性 | 無 | Azure 儲存體帳戶 |
週期性掃描 | • 一律為作用中 • 掃描排程是在內部進行且無法設定 |
• 可設定開啟/關閉 掃描排程是在內部進行且無法設定 |
系統資料庫掃描 | • 排定的掃描 • 手動掃描 |
• 只在有一個使用者資料庫以上時,才排程掃描 • 每次掃描使用者資料庫時手動掃描 |
支援的規則 | 支援之資源類型的所有弱點評量規則。 | 支援之資源類型的所有弱點評量規則。 |
基準設定 | • 批次 – 一個命令中數個規則 • 依最新的掃描結果設定 • 單一規則 |
• 單一規則 |
套用基準 | 在未重新掃描資料庫的情況下生效 | 只有在重新掃描資料庫之後才會生效 |
單一規則掃描結果大小 | 最多 1 MB | 不限定 |
電子郵件通知 | • Logic Apps | • 內部排程器 • Logic Apps |
掃描匯出 | Azure Resource Graph | Excel 格式、Azure Resource Graph |
支援的雲端 | 商業雲端 Azure Government 由 21Vianet 營運的 Microsoft Azure |
商業雲端 Azure Government 由 21Vianet 營運的 Azure |
下一步
- 啟用 SQL 弱點評量
- 快速設定常見問題和疑難排解。
- 深入了解適用於 Azure SQL 的 Microsoft Defender。
- 深入瞭解資料探索與分類。
- 深入了解在防火牆和 VNet 後方,將弱點評量掃描結果儲存於可存取的儲存體帳戶。