Partilhar via


A avaliação de vulnerabilidade do SQL ajuda a identificar vulnerabilidades do banco de dados

A avaliação da vulnerabilidades é um serviço fácil de configurar que pode detetar, controlar e ajudar a corrigir potenciais vulnerabilidades da base de dados. Use-o para melhorar proativamente a segurança do seu banco de dados para:

Banco de Dados SQL do Azure Instância Gerenciada SQL do Azure Azure Synapse Analytics

A avaliação de vulnerabilidade faz parte do Microsoft Defender for Azure SQL, que é um pacote unificado para recursos avançados de segurança SQL. A avaliação de vulnerabilidades pode ser acessada e gerenciada a partir de cada recurso do banco de dados SQL no portal do Azure.

Nota

A avaliação de vulnerabilidades tem suporte para o Banco de Dados SQL do Azure, a Instância Gerenciada SQL do Azure e o Azure Synapse Analytics. Os bancos de dados no Banco de Dados SQL do Azure, na Instância Gerenciada do SQL do Azure e no Azure Synapse Analytics são referidos coletivamente no restante deste artigo como bancos de dados, e o servidor está se referindo ao servidor que hospeda bancos de dados para o Banco de Dados SQL do Azure e o Azure Synapse.

O que é a avaliação de vulnerabilidades do SQL?

A avaliação de vulnerabilidade do SQL é um serviço que fornece visibilidade do seu estado de segurança. A avaliação de vulnerabilidades inclui etapas acionáveis para resolver problemas de segurança e melhorar a segurança do banco de dados. Ele pode ajudá-lo a monitorar um ambiente de banco de dados dinâmico onde as alterações são difíceis de controlar e melhorar sua postura de segurança SQL.

A avaliação de vulnerabilidades é um serviço de análise incorporado na Base de Dados SQL do Azure. O serviço emprega uma base de conhecimento de regras que sinalizam vulnerabilidades de segurança. Ele destaca desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos.

As regras são baseadas nas práticas recomendadas da Microsoft e se concentram nos problemas de segurança que apresentam os maiores riscos para seu banco de dados e seus dados valiosos. Eles abrangem problemas no nível do banco de dados e problemas de segurança no nível do servidor, como configurações de firewall do servidor e permissões no nível do servidor.

Os resultados da verificação incluem etapas acionáveis para resolver cada problema e fornecer scripts de correção personalizados, quando aplicável. Você pode personalizar um relatório de avaliação para seu ambiente definindo uma linha de base aceitável para:

  • Configurações de permissão
  • Configurações de recursos
  • Configurações do banco de dados

Quais são as configurações expressa e clássica?

Você pode configurar a avaliação de vulnerabilidade para seus bancos de dados SQL com:

  • Configuração expressa – O procedimento padrão que permite configurar a avaliação de vulnerabilidades sem depender de armazenamento externo para armazenar dados de linha de base e de resultados de verificação.

  • Configuração clássica – O procedimento herdado que exige que você gerencie uma conta de armazenamento do Azure para armazenar dados de linha de base e de resultados de verificação.

Qual é a diferença entre a configuração expressa e clássica?

Comparação de benefícios e limitações dos modos de configuração:

Parâmetro Configuração express Configuração clássica
Sabores SQL suportados • Base de Dados SQL do Azure
• Azure Synapse Dedicated SQL Pools (anteriormente SQL DW)
• Base de Dados SQL do Azure
• Instância Gerenciada SQL do Azure
• Azure Synapse Analytics
Âmbito da política suportada • Subscrição
• Servidor
• Subscrição
• Servidor
• Base de dados
Dependências Nenhuma Conta de armazenamento do Azure
Análise periódica • Sempre ativo
• O agendamento da verificação é interno e não configurável
• Configurável on/off
O agendamento da verificação é interno e não configurável
Verificação de bancos de dados do sistema • Verificação programada
• Varredura manual
• Verificação agendada somente se houver um banco de dados de usuário ou mais
• Verificação manual sempre que um banco de dados de usuários é verificado
Regras suportadas Todas as regras de avaliação de vulnerabilidade para o tipo de recurso suportado. Todas as regras de avaliação de vulnerabilidade para o tipo de recurso suportado.
Configurações de linha de base • Batch – várias regras em um comando
• Definido pelos resultados mais recentes da verificação
• Regra única
• Regra única
Aplicar linha de base Entrará em vigor sem nova varredura do banco de dados Entrará em vigor somente após a nova varredura do banco de dados
Tamanho do resultado da verificação de regra única Máximo de 1 MB Ilimitado
Notificações por e-mail • Aplicativos lógicos • Programador interno
• Aplicativos lógicos
Exportação de digitalização Azure Resource Graph Formato Excel, Azure Resource Graph
Nuvens suportadas Nuvens comerciais
Azure Government
Microsoft Azure operado pela 21Vianet
Nuvens comerciais
Azure Government
Azure operado pela 21Vianet

Próximos passos