Le service d'évaluation des vulnérabilités SQL vous aide à identifier les vulnérabilités des bases de données

Facile à configurer, le service d'évaluation des vulnérabilités SQL permet de détecter, d'assurer le suivi et de corriger les potentielles vulnérabilités des bases de données. Utilisez-le pour améliorer de façon proactive la sécurité de votre base de données pour :

Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

L’évaluation des vulnérabilités est intégrée à Microsoft Defender pour Azure SQL, un ensemble unifié de fonctionnalités avancées de sécurité SQL. Dans le Portail Azure, vous pouvez accéder à l’évaluation des vulnérabilités et la gérer à partir de chaque ressource de base de données SQL.

Notes

L'évaluation des vulnérabilités est prise en charge pour Azure SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics. Dans cet article, les bases de données d’Azure SQL Database, d’Azure SQL Managed Instance et d’Azure Synapse Analytics sont collectivement appelées bases de données. Le terme « serveur » fait référence au serveurqui héberge les bases de données d’Azure SQL Database et d’Azure Synapse.

Qu’est-ce que l’évaluation des vulnérabilités SQL ?

L’évaluation des vulnérabilités SQL offre une visibilité sur l’état de votre sécurité. Elle inclut des étapes applicables qui permettent de résoudre les problèmes de sécurité et d’améliorer la sécurité de votre base de données. Elle vous permet de surveiller un environnement de base de données dynamique dans lequel les modifications sont difficiles à suivre afin d’améliorer votre posture de sécurité SQL.

L'évaluation des vulnérabilités est un service d'analyse intégré à Azure SQL Database. Elle utilise une base de connaissances de règles qui signalent les vulnérabilités de sécurité. Il met en évidence les écarts par rapport aux bonnes pratiques, tels que les configurations incorrectes, les autorisations excessives et les données sensibles non protégées.

Les règles sont basées sur les bonnes pratiques de Microsoft et axées sur les problèmes de sécurité qui présentent des risques majeurs pour votre base de données et ses précieuses données. Elles couvrent les problèmes au niveau de la base de données et les problèmes de sécurité au niveau du serveur, comme les paramètres de pare-feu de serveur et les autorisations au niveau du serveur.

Les résultats de l’analyse incluent des mesures applicables pour résoudre chaque problème et fournissent, le cas échéant, des scripts d’écriture de correction personnalisés. Personnalisez un rapport d’évaluation pour votre environnement en définissant une base de référence acceptable pour :

• Les configurations d’autorisations.
• Les configurations de fonctionnalités.
• Les paramètres de base de données.

Que sont les configurations rapide et classique ?

Configurer l’évaluation des vulnérabilités pour vos bases de données SQL avec l’une ou l’autre des options suivantes :

• Configuration express : Cette procédure par défaut vous permet de configurer l’évaluation des vulnérabilités sans avoir recours à un stockage externe pour stocker les données de référence et les résultats de l’analyse.

• Configuration classique : Cette procédure héritée nécessite la gestion d’un compte de stockage Azure pour stocker les données de référence et les résultats de l’analyse.

Quelle est la différence entre la configuration rapide et la configuration classique ?

Comparaison des avantages et des limitations des modes de configuration :

Paramètre	Configuration rapide	Configuration classique
Versions de SQL prises en charge	• Azure SQL Database – Pools SQL dédiés Azure Synapse (anciennement Azure SQL Data Warehouse)	• Azure SQL Database • Azure SQL Managed Instance • Azure Synapse Analytics
Étendue de stratégie prise en charge	• Abonnement • Serveur	• Abonnement • Serveur • Base de données
Les dépendances	Aucun	Compte Azure Storage
Analyse périodique	• Toujours active • La planification de l’analyse est interne et non configurable	• Activation/désactivation configurable La planification de l’analyse est interne et non configurable
Analyse de bases de données système	• Analyse planifiée • Analyse manuelle	• Analyse planifiée uniquement s’il existe une ou plusieurs bases de données utilisateur • Analyse manuelle chaque fois qu’une base de données utilisateur est analysée
Règles prises en charge	Toutes les règles d’évaluation des vulnérabilités pour le type de ressource pris en charge.	Toutes les règles d’évaluation des vulnérabilités pour le type de ressource pris en charge.
Paramètres de ligne de base	• Lot : plusieurs règles dans une seule commande • Défini par les derniers résultats d’analyse • Règle unique	• Règle unique
Appliquer la ligne de base	Prend effet sans réanalyser la base de données	Prend effet uniquement après la nouvelle analyse de la base de données
Taille du résultat de l’analyse à règle unique	Maximum de 1 Mo	Illimité
Notifications par e-mail	• Logic Apps	• Planificateur interne • Logic Apps
Exportation de l’analyse	Azure Resource Graph	Format Excel, Azure Resource Graph
Clouds pris en charge	Clouds commerciaux Azure Government Microsoft Azure exploité par 21Vianet	Clouds commerciaux Azure Government Azure exploité par 21Vianet

Contenu connexe

• Activer les évaluations des vulnérabilités SQL
• Questions courantes et résolution des problèmes concernant la configuration Express.
• En savoir sur Microsoft Defender pour Azure SQL.
• Apprenez-en davantage sur la découverte et la classification des données.
• Apprenez-en davantage sur le Stockage des résultats d’une analyse d’évaluation des vulnérabilités sur un compte de stockage accessible derrière des pare-feu et des réseaux virtuels.