SQL 漏洞评估可帮助识别数据库漏洞
SQL 漏洞评估是一项易于配置的服务,可发现、跟踪并帮助修正潜在的数据库漏洞。 使用它可主动提高以下项的数据库安全性:
Azure SQL 数据库 Azure SQL 托管实例 Azure Synapse Analytics
漏洞评估是 Microsoft Defender for Azure SQL 的一部分,后者是一个提供高级 SQL 安全功能的统一包。 可以从 Azure 门户中的每个 SQL 数据库资源访问和管理漏洞评估。
注意
Azure SQL 数据库、Azure SQL 托管实例和 Azure Synapse Analytics 支持漏洞评估。 本文其余部分将 Azure SQL 数据库、Azure SQL 托管实例和 Azure Synapse 中的数据库统称为数据库,并且服务器指的是为 Azure SQL 数据库和 Azure Synapse 托管数据库的服务器。
什么是 SQL 漏洞评估?
SQL 漏洞评估是一种提供对于安全状态的可见性的服务。 漏洞评估包括用于解决安全问题和增强数据库安全性的可操作步骤。 它可帮助监视难以跟踪更改的动态数据库环境,并改善 SQL 安全状况。
漏洞评估是一种内置于 Azure SQL 数据库中的扫描服务。 该服务采用一个可以标记安全漏洞的规则知识库。 它会重点列出违背最佳做法的情况,例如配置不当、权限过度分配以及敏感数据未受保护。
这些规则基于 Microsoft 的最佳做法,并专注于对数据库及其重要数据有最大风险的安全问题。 它们涵盖了数据库级别的问题以及服务器级别的安全问题,例如服务器防火墙设置和服务器级别的权限。
扫描结果包括旨在解决每个问题的可操作步骤,并提供自定义修正脚本(若适用)。 可以通过设置以下各项的可接受基线,来为环境自定义评估报告:
- 权限配置
- 功能配置
- 数据库设置
什么是快速配置和经典配置?
可以通过以下任一方式为 SQL 数据库配置漏洞评估:
快速配置 - 使你能够配置漏洞评估,而无需依赖外部存储来存储基线和扫描结果数据的默认过程。
经典配置 - 需要管理 Azure 存储帐户来存储基线和扫描结果数据的旧过程。
快速配置和经典配置有何区别?
配置模式的优点和限制比较:
参数 | 快速配置 | 经典配置 |
---|---|---|
支持的 SQL 风格 | • Azure SQL 数据库 • Azure Synapse 专用 SQL 池(以前称为 SQL DW) |
• Azure SQL 数据库 • Azure SQL 托管实例 • Azure Synapse Analytics |
支持的策略范围 | • 订阅 • 服务器 |
• 订阅 • 服务器 • 数据库 |
依赖项 | 无 | Azure 存储帐户 |
定期扫描 | • 始终处于活动状态 • 扫描计划是内部的,不可配置 |
• 启用/禁用可配置 扫描计划是内部的,不可配置 |
系统数据库扫描 | • 计划扫描 • 手动扫描 |
• 仅当存在一个或多个用户数据库时执行计划扫描 • 每次扫描用户数据库时执行手动扫描 |
支持的规则 | 支持的资源类型的所有漏洞评估规则。 | 支持的资源类型的所有漏洞评估规则。 |
基线设置 | • Batch - 一个命令中的多项规则 • 按最新扫描结果设置 • 单项规则 |
• 单项规则 |
应用基线 | 无需重新扫描数据库即可生效 | 仅在重新扫描数据库后才会生效 |
单规则扫描结果大小 | 最大大小为 1 MB | 无限制 |
电子邮件通知 | • 逻辑应用 | • 内部计划程序 • 逻辑应用 |
扫描导出 | Azure Resource Graph | Excel 格式、Azure Resource Graph |
支持的云 | 由世纪互联运营的 Microsoft Azure | 由世纪互联运营的 Microsoft Azure |
后续步骤
- 启用 SQL 漏洞评估
- 快速配置常见问题。
- 详细了解 Microsoft Defender for Azure SQL。
- 详细了解数据发现和分类。
- 了解关于将漏洞评估扫描结果存储在可从防火墙和 VNet 后面访问的存储帐户中的详细信息。