Almacenamiento de los resultados del examen de evaluación de vulnerabilidad en una cuenta de almacenamiento accesible detrás de firewalls y redes virtuales

Se aplica a:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Si está limitando el acceso a su cuenta de almacenamiento en Azure para determinados servicios o redes virtuales, deberá habilitar la configuración adecuada para que los exámenes de evaluación de vulnerabilidad (VA) para SQL Database o instancias de Azure SQL Managed Instance tengan acceso a dicha cuenta de almacenamiento.

Nota:

Esta configuración no es necesaria cuando se usa la configuración rápida.

Requisitos previos

El servicio de evaluación de vulnerabilidades de SQL necesita permiso de acceso a la cuenta de almacenamiento para guardar la línea de base y examinar los resultados.

Use la identidad administrada de SQL Server:

• SQL Server debe tener una identidad administrada.
• La cuenta de almacenamiento debe tener una asignación de roles para la identidad administrada de SQL como Colaborador de datos de blobs de almacenamiento.
• Al aplicar la configuración, los campos storageContainerSasKey y storageAccountAccessKey de VA deben estar vacíos (la configuración con la clave de cuenta de almacenamiento o la clave SAS de almacenamiento no es válida para este escenario).

Cuando se usa Azure Portal para guardar la configuración de evaluación de vulnerabilidades de SQL, Azure comprueba si tiene permiso para realizar una nueva asignación de roles para la identidad administrada como Colaborador de datos de blobs de almacenamiento en el almacenamiento. Si se asignan permisos, Azure usa la identidad administrada de SQL Server; de lo contrario, Azure usa el método de clave (que no se admite en este escenario).

Nota:

1. En este escenario no se admiten las identidades administradas asignadas por el usuario.
2. Si usa directivas de administración del ciclo de vida de Azure Storage, evite mover archivos en el contenedor usado por VA al nivel de acceso de archivo. No se admite la lectura de los resultados del examen ni las configuraciones de línea base almacenadas en el nivel de acceso de archivo.

Habilitación del acceso de los exámenes de VA de Azure SQL Database a la cuenta de almacenamiento

Si ha configurado la cuenta de almacenamiento de VA para que solo sea accesible mediante determinados servicios o redes, deberá asegurarse de que los exámenes de VA para Azure SQL Database puedan almacenar los exámenes en la cuenta de almacenamiento. Puede usar la cuenta de almacenamiento existente o crear una nueva para almacenar los resultados del examen de VA de todas las bases de datos en su servidor SQL lógico.

Nota:

El servicio de evaluación de vulnerabilidades no puede acceder a las cuentas de almacenamiento protegidas con firewalls o redes virtuales si necesitan claves de acceso de almacenamiento.

Vaya al grupo de recursos que contenga la cuenta de almacenamiento y obtenga acceso al panel Cuenta de almacenamiento. En Configuración, seleccione Firewall y redes virtuales.

Asegúrese de que la opción Permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento está habilitada.

Para averiguar qué cuenta de almacenamiento se está usando, siga estos pasos:

1. Vaya al panel de SQL Server en Azure Portal.
2. En Seguridad, seleccione Defender for Cloud.
3. Seleccione Configurar.

Almacenamiento de los resultados del examen de VA para Instancia administrada de Azure SQL en una cuenta de almacenamiento a la que se puede tener acceso detrás de un firewall o una red virtual

Dado que Azure SQL Managed Instance no es un servicio de Microsoft de confianza y que tiene una red virtual diferente a la cuenta de almacenamiento, la ejecución del examen de VA producirá un error.

Nota:

Se recomienda encarecidamente asegurarse de que las instancias administradas de Azure SQL están inscritas en la oleada de características de noviembre de 2022, lo que permitirá una configuración mucho más sencilla de SQL Vulenrability Assessment cuando la cuenta de almacenamiento esté detrás de un firewall o una red virtual.

Para permitir exámenes de evaluación de vulnerabilidades en instancias de Azure SQL Managed Instance que tengan instalado el conjunto de características de noviembre de 2022, siga estos pasos:

1. En la página Información general de Azure SQL Managed Instance, anote el valor que aparece en Subred o red virtual.

2. Vaya a la página Redes en la cuenta de almacenamiento donde está configurada la evaluación de vulnerabilidades de SQL para almacenar los resultados del examen.

3. En Firewalls y redes virtuales, en Acceso a la red pública, elija Habilitado desde redes virtuales y direcciones IP seleccionadas.

4. En la sección Virtual Network, haga clic en Agregar red virtual existente y seleccione la VNET y la subred usadas por la instancia administrada que anotó en el primer paso.

   

Para admitir exámenes de VA en Instancias administradas de Azure SQL que no tienen instalada la oleada de características de noviembre de 2022, siga estos pasos:

1. En el panel Instancia administrada de SQL, en el título Información general, haga clic en el vínculo Red virtual o subred. De esta forma, se le dirige al panel Red virtual.

   

2. En Configuración, seleccione Subredes. Haga clic en +Subred en el nuevo panel para agregar una subred. Para obtener más información, consulte Administración de subredes.

   

3. La subred nueva debe tener la configuración siguiente:

   

   • NAT Gateway: Ninguna
   • Grupo de seguridad de red: Ninguno
   • Tabla de rutas: Ninguna
   • PUNTOS DE CONEXIÓN DE SERVICIO. Servicios: Ninguno seleccionado
   • DELEGACIÓN DE SUBRED. Delegación de una subred en un servicio: Ninguna
   • DIRECTIVA DE RED PARA PUNTOS DE CONEXIÓN PRIVADOS. Directiva de red de punto de conexión privado: Ninguna seleccionada

4. Vaya a la cuenta de almacenamiento donde el VA de SQL está configurado para almacenar los resultados del examen y haga clic en la pestaña Conexiones de punto de conexión privado y, después, haga clic en + Punto de conexión privado

   

   

5. Elija los detalles del punto de conexión privado (se recomienda colocarlo en el mismo RG y en la misma región).

   

6. Seleccione BLOb como Subrecurso objetivo

   

7. Seleccione la red virtual de SQL MI (en el paso 1) y elija la subred que creó (paso 3):

   

8. Seleccione Integrar con zona de DNS privado (debe ser predeterminada) y elija los demás valores predeterminados

   

9. Vaya a pestaña Revisar y crear y, después, haga clic en Crear. Una vez finalizada la implementación, debería ver esto en la pestaña Conexiones de punto de conexión privado en la sección Redes de la Cuenta de almacenamiento:

   

Ahora debería poder almacenar los exámenes de VA para Azure SQL Managed Instance en la cuenta de almacenamiento.

Solución de problemas relacionados con el examen de evaluación de vulnerabilidades

Solución de problemas comunes relacionados con los exámenes de evaluación de vulnerabilidades.

No se pudo guardar la configuración de la evaluación de vulnerabilidad.

Es posible que no pueda guardar los cambios en la configuración de evaluación de vulnerabilidades si la cuenta de almacenamiento no cumple algunos requisitos previos o si no tiene permisos suficientes.

Requisitos de la cuenta de almacenamiento

La cuenta de almacenamiento en la que se guardan los resultados del examen de evaluación de vulnerabilidades debe cumplir los siguientes requisitos:

• Tipo: StorageV2 (de uso general V2) o Storage (de uso general V1)
• Rendimiento: Estándar (solo)
• Región: el almacenamiento debe estar en la misma región que la instancia de Azure SQL Server.

Si no se cumple alguno de estos requisitos, se produce un error al guardar los cambios en la configuración de evaluación de vulnerabilidades.

Permisos

Se requieren los permisos siguientes para guardar los cambios en la configuración de evaluación de vulnerabilidades:

• Administrador de seguridad SQL
• Lector de datos de blobs de almacenamiento
• Rol de propietario en la cuenta de almacenamiento

Para establecer una nueva asignación de roles, hace falta el acceso de propietario o administrador de usuarios a la cuenta de almacenamiento y los permisos siguientes:

• Propietario de datos de blobs de almacenamiento

La cuenta de almacenamiento no está visible para la selección en la configuración de evaluación de vulnerabilidades

Es posible que la cuenta de almacenamiento no aparezca en el selector de cuentas de almacenamiento por varias razones:

• La cuenta de almacenamiento que busca no está en la suscripción seleccionada.
• La cuenta de almacenamiento que busca no se encuentra en la misma región que Azure SQL Server.
• No tiene permisos de Microsoft.Storage/storageAccounts/read en la cuenta de almacenamiento.

Error al abrir el vínculo de correo electrónico de los resultados del examen o no se pueden ver los resultados del examen

Es posible que no pueda abrir un vínculo de un correo electrónico de notificación sobre los resultados del examen o que no pueda ver los resultados del examen si no tiene los permisos necesarios o si usa un explorador que no admite la apertura o visualización de los resultados del examen.

Permisos necesarios

Los siguientes permisos son necesarios para abrir vínculos en notificaciones por correo electrónico sobre los resultados del examen o para ver los resultados del examen:

• Administrador de seguridad SQL
• Lector de datos de blobs de almacenamiento

Requisitos del explorador

El explorador Firefox no admite la apertura o visualización de la vista de resultados del examen. Se recomienda usar Microsoft Edge o Chrome para ver los resultados del examen de evaluación de vulnerabilidades.

Pasos siguientes

• Evaluación de vulnerabilidad
• Creación de una cuenta de Azure Storage
• Microsoft Defender para SQL