SQL sebezhetőségi felmérés segít azonosítani az adatbázis biztonsági réseit

A KÖVETKEZŐKRE VONATKOZIK: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

SQL sebezhetőségi felmérés egy könnyen konfigurálható szolgáltatás, amely felderítheti, nyomon követheti és elháríthatja az adatbázis esetleges biztonsági réseit. A használatával proaktívan növelhető az adatbázis biztonsága.

A sebezhetőségi felmérés a Microsoft Defender for SQL ajánlat része, amely egy egységes csomag a speciális SQL biztonsági képességekhez. A sebezhetőségi felmérés a központi Microsoft Defender for SQL portálon érhető el és kezelhető.

Megjegyzés

A sebezhetőségi felmérés Azure SQL Database, Azure SQL Managed Instance és Azure Synapse Analytics esetében támogatott. Az Azure SQL Database, Azure SQL Managed Instance és Azure Synapse Analytics adatbázisaira a jelen cikk hátralévő részében együttesen adatbázisokként hivatkozunk, a kiszolgáló pedig arra a kiszolgálóra hivatkozik, amely Azure SQL Database és Azure Synapse.

Mi SQL sebezhetőségi felmérés?

SQL biztonságirés-felmérés egy olyan szolgáltatás, amely betekintést nyújt a biztonsági állapotba. A biztonsági rések felmérése végrehajtható lépéseket tartalmaz a biztonsági problémák megoldásához és az adatbázis biztonságának javításához. Segíthet egy dinamikus adatbázis-környezet monitorozásában, ahol a változások nehezen követhetők nyomon és javíthatók a SQL biztonsági helyzeten.

A sebezhetőségi felmérés egy Azure SQL Database beépített vizsgálati szolgáltatás. A szolgáltatás a biztonsági réseket jelző szabályok tudásbázis alkalmaz. Kiemeli az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat.

A szabályok a Microsoft ajánlott eljárásain alapulnak, és azokra a biztonsági problémákra összpontosítanak, amelyek az adatbázis és értékes adatai legnagyobb kockázatával járnak. Ezek adatbázisszintű és kiszolgálószintű biztonsági problémákat, például kiszolgálói tűzfalbeállításokat és kiszolgálószintű engedélyeket fednek le.

A vizsgálat eredményei végrehajtható lépéseket tartalmaznak az egyes problémák megoldásához, és adott esetben testreszabott javítási szkripteket biztosítanak. Az értékelési jelentést testreszabhatja a környezetéhez, ha egy elfogadható alapkonfigurációt állít be a következőhöz:

• Engedélykonfigurációk
• Funkciókonfigurációk
• Adatbázis-beállítások

Sebezhetőségi felmérés konfigurálása

A biztonságirés-felmérés konfigurálásához kövesse az alábbi lépéseket:

1. A Azure Portal nyissa meg az adott erőforrást Azure SQL Database, SQL Managed Instance Adatbázisban vagy Azure Synapse.

2. A Biztonság fejléc alatt válassza a Felhőhöz készült Defender lehetőséget.

3. A hivatkozáson a Konfigurálás lehetőséget választva nyissa meg a Microsoft Defender for SQL beállítások panelt a teljes kiszolgálóhoz vagy felügyelt példányhoz.

   

   Megjegyzés

   SQL sebezhetőségi felméréshez a Microsoft Defendernek szüksége van SQL tervre a vizsgálatok futtatásához. A Microsoft Defender SQL való engedélyezéséről további információt a Microsoft Defender SQL című témakörben talál.

4. A Kiszolgáló beállításai lapon adja meg a Microsoft Defender SQL beállításait:

   

   1. Konfiguráljon egy tárfiókot, ahol a rendszer a kiszolgálón vagy felügyelt példányon található összes adatbázis vizsgálati eredményeit tárolja. További információ a tárfiókokról: Tudnivalók az Azure Storage-fiókokról.

      Tipp

      A biztonságirés-felmérési vizsgálatok tűzfalak és virtuális hálózatok mögötti tárolásáról további információt az Áruház biztonságirés-felmérési eredményei között talál a tűzfalak és virtuális hálózatok mögött elérhető tárfiókban.

   2. Ha a biztonságirés-felméréseket úgy szeretné konfigurálni, hogy automatikusan heti vizsgálatokat futtasson a biztonsági helytelen konfigurációk észleléséhez, állítsa be az ismétlődő rendszeres vizsgálatokat. Az eredményeket a rendszer a Vizsgálati jelentések küldése jelentésben megadott e-mail-címekre küldi. E-mailes értesítést is küldhet a rendszergazdáknak és az előfizetés-tulajdonosoknak, ha engedélyezi az e-mailes értesítések küldését a rendszergazdáknak és az előfizetés-tulajdonosoknak.

5. SQL biztonságirés-felmérési vizsgálatok igény szerint is futtathatók:

   1. Az erőforrás Felhőhöz készült Defender lapján válassza a Biztonságirés-felmérés további eredményeinek megtekintése lehetőséget a korábbi vizsgálatok vizsgálati eredményeinek eléréséhez.

      

   2. Ha igény szerinti vizsgálatot szeretne futtatni az adatbázis biztonsági réseinek vizsgálatához, válassza az Eszköztár Vizsgálat elemét :

      

Megjegyzés

A vizsgálat könnyű és biztonságos. A futtatás néhány másodpercet vesz igénybe, és teljes mértékben írásvédett. Nem módosítja az adatbázist.

Sebezhetőségek javítása

Ha egy biztonsági rés vizsgálata befejeződött, a jelentés megjelenik a Azure Portal. A jelentés a következőt mutatja be:

• A biztonsági állapot áttekintése
• A talált problémák száma, és
• A kockázatok súlyossága szerinti összegzés
• A további vizsgálatok eredményeinek listája

A felderített biztonsági rések elhárítása:

1. Tekintse át az eredményeket, és állapítsa meg, hogy a jelentés mely megállapításai jelentenek valódi biztonsági problémákat a környezetében.

2. Válassza ki az egyes sikertelen eredményeket, hogy megértse a hatását, és hogy miért hiúsult meg a biztonsági ellenőrzés.

   Tipp

   Az eredmények részleteit tartalmazó lap a probléma megoldását ismertető, végrehajtható szervizelési információkat tartalmaz.

   

3. Az értékelés eredményeinek áttekintésekor az adott eredményeket elfogadható alapkonfigurációként jelölheti meg a környezetben. Az alapkonfiguráció lényegében az eredmények jelentésének testreszabása. A későbbi vizsgálatok során az alapkonfigurációnak megfelelő eredmények sikeresnek minősülnek. Az alapkonfiguráció biztonsági állapotának megállapítása után a biztonságirés-felmérés csak az alapkonfigurációtól való eltérésekről számol be. Ily módon a figyelmet a releváns problémákra összpontosíthatja.

   

4. Ha módosítja az alapterveket, a Vizsgálat gombbal igény szerinti vizsgálatot futtathat, és megtekintheti a testre szabott jelentést. Az alaptervhez hozzáadott eredmények mostantól a Sikeres érték nézetben jelennek meg, jelezve, hogy az alapkonfiguráció változásai miatt mentek át.

   

A biztonságirés-felmérési vizsgálatokkal biztosítható, hogy az adatbázis magas szintű biztonságot nyújtson, és hogy a szervezeti szabályzatok teljesüljenek.

Speciális képességek

Értékelési jelentés exportálása

Válassza a Vizsgálati eredmények exportálása lehetőséget a vizsgálati eredményről letölthető Excel jelentés létrehozásához. Ez a jelentés egy összefoglaló lapot tartalmaz, amely megjeleníti az értékelés összegzését. A jelentés tartalmazza az összes sikertelen ellenőrzést. Emellett tartalmaz egy Találatok lapot is, amely a vizsgálatból származó eredmények teljes készletét tartalmazza. Az eredmények között szerepel az összes futtatott ellenőrzés és az eredmények részletei.

Vizsgálati előzmények megtekintése

A biztonságirés-felmérés panelen válassza a Vizsgálatelőzmények lehetőséget az adatbázisban korábban futtatott összes vizsgálat előzményeinek megtekintéséhez. Válasszon ki egy adott vizsgálatot a listában a vizsgálat részletes eredményeinek megtekintéséhez.

Adott eredmények letiltása a Felhőhöz készült Microsoft Defender -ból (előzetes verzió)

Ha a szervezetnek figyelmen kívül kell hagynia egy megállapítást, és nem kell szervizelnie, letilthatja azt. A letiltott eredmények nem befolyásolják a biztonsági pontszámot, és nem okoznak nemkívánatos zajt.

Ha egy találat megfelel a letiltás szabályaiban meghatározott feltételeknek, az nem jelenik meg a találatok listájában. A tipikus forgatókönyvek a következők:

• A közepesnél kisebb súlyosságú eredmények letiltása
• Nem javítható eredmények letiltása
• A meghatározott hatókör szempontjából nem érdekes teljesítménytesztek eredményeinek letiltása

Fontos

Adott eredmények letiltásához engedélyekre van szüksége egy szabályzat szerkesztéséhez a Azure Policy. További információ az Azure RBAC-engedélyekről a Azure Policy.

Szabály létrehozása:

1. A biztonságirés-felmérés eredményeinek a SQL gépeken lévő kiszolgálóira vonatkozó javaslatok részletes lapján válassza a Szabály letiltása lehetőséget.

2. Válassza ki a megfelelő hatókört.

3. Adja meg a feltételeket. Az alábbi feltételek bármelyikét használhatja:

   • Azonosító keresése
   • Súlyosság
   • Teljesítménytesztek

   

4. Válassza a Szabály alkalmazása lehetőséget. A módosítások érvénybe lépése akár 24 óráig is eltarthat.

5. Szabály megtekintése, felülbírálása vagy törlése:

   1. Válassza a Szabály letiltása lehetőséget.

   2. A hatókörlistában az aktív szabályokkal rendelkező előfizetések szabályként jelennek meg.

      

   3. A szabály megtekintéséhez vagy törléséhez válassza a három pont menüt ("...").

Sebezhetőségi felmérések programozott kezelése

Azure PowerShell

Megjegyzés

Ez a cikk az Azure Az PowerShell-modult használja, amely az Azure-ral való interakcióhoz ajánlott PowerShell-modul. Az Az PowerShell-modul használatának megkezdéséhez lásd az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Fontos

A PowerShell Azure Resource Manager modul továbbra is támogatott, de minden jövőbeli fejlesztés az Az.Sql modulhoz tartozik. Ezekhez a parancsmagokhoz lásd: AzureRM.Sql. Az Az modulban és az AzureRm-modulokban található parancsok argumentumai lényegesen azonosak.

Azure PowerShell parancsmagokkal programozott módon kezelheti a sebezhetőségi felméréseket. A támogatott parancsmagok a következők:

Parancsmag neve hivatkozásként	Description
Clear-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline	Törli a biztonságirés-felmérési szabály alapkonfigurációit. Először állítsa be az alaptervet a parancsmag törlése előtt.
Clear-AzSqlDatabaseVulnerabilityAssessmentSetting	Törli az adatbázis biztonságirés-felmérési beállításait.
Clear-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline	Törli egy felügyelt adatbázis biztonságirés-felmérési szabályának alapkonfigurációját. Először állítsa be az alaptervet a parancsmag törlése előtt.
Clear-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting	Törli egy felügyelt adatbázis biztonságirés-felmérési beállításait.
Clear-AzSqlInstanceVulnerabilityAssessmentSetting	Törli a felügyelt példány biztonságirés-felmérési beállításait.
Convert-AzSqlDatabaseVulnerabilityAssessmentScan	Egy adatbázis biztonságirés-felmérési eredményeit Excel fájllá alakítja.
Convert-AzSqlInstanceDatabaseVulnerabilityAssessmentScan	Egy felügyelt adatbázis biztonságirés-felmérési eredményeit Excel fájllá alakítja.
Get-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline	Lekéri egy adatbázis biztonságirés-felmérési szabályának alapkonfigurációját egy adott szabályhoz.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline	Lekéri egy felügyelt adatbázis biztonságirés-felmérési szabályának alapkonfigurációját egy adott szabályhoz.
Get-AzSqlDatabaseVulnerabilityAssessmentScanRecord	Lekéri az adott adatbázishoz társított biztonságirés-felmérési vizsgálati rekordokat.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentScanRecord	Lekéri az adott felügyelt adatbázishoz társított biztonságirés-felmérési vizsgálati rekordokat.
Get-AzSqlDatabaseVulnerabilityAssessmentSetting	Egy adatbázis biztonságirés-felmérési beállításait adja vissza.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting	Egy felügyelt adatbázis biztonságirés-felmérési beállításait adja vissza.
Set-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline	Beállítja a sebezhetőségi felmérési szabály alapkonfigurációt.
Set-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline	Beállítja a biztonságirés-felmérési szabály alapkonfigurációt egy felügyelt adatbázishoz.
Start-AzSqlDatabaseVulnerabilityAssessmentScan	Elindítja egy adatbázis biztonságirés-felmérési vizsgálatának elindítását.
Start-AzSqlInstanceDatabaseVulnerabilityAssessmentScan	Aktiválja egy felügyelt adatbázis biztonságirés-felmérési vizsgálatának elindítását.
Update-AzSqlDatabaseVulnerabilityAssessmentSetting	Frissíti egy adatbázis biztonságirés-felmérési beállításait.
Update-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting	Frissíti egy felügyelt adatbázis sebezhetőségi felmérési beállításait.
Update-AzSqlInstanceVulnerabilityAssessmentSetting	Frissíti egy felügyelt példány sebezhetőségi felmérési beállításait.

Példaszkript: Azure SQL sebezhetőségi felmérés PowerShell-támogatása.

Azure CLI

Fontos

Az alábbi Azure CLI-parancsok SQL virtuális gépeken vagy helyszíni gépeken üzemeltetett adatbázisokhoz használhatók. A Azure SQL-adatbázisokra vonatkozó vunerability-értékelésekért tekintse meg a Azure Portal vagy a PowerShell szakaszt.

Az Azure CLI-parancsokkal programozott módon kezelheti a sebezhetőségi felméréseket. A támogatott parancsok a következők:

Parancsnév hivatkozásként	Description
az security va sql baseline delete	Törölje az SQL biztonságirés-felmérési szabály alapkonfigurációt.
az security va sql baseline list	Tekintse meg az SQL Biztonságirés-felmérés alapkonfigurációt az összes szabályhoz.
az security va sql baseline set	Beállítja az SQL biztonságirés-felmérés alapkonfigurációt. Lecseréli az aktuális alaptervet.
az security va sql baseline show	Tekintse meg az SQL biztonságirés-felmérési szabály alapkonfigurációt.
az security va sql baseline update	Frissítse az SQL biztonságirés-felmérési szabály alapkonfigurációt. Lecseréli az aktuális szabály alaptervét.
az security va sql results list	Tekintse meg az SQL sebezhetőségi felmérésének összes eredményét.
az security va sql results show	Az SQL sebezhetőségi felmérés vizsgálati eredményeinek megtekintése.
az security va sql scans list	Sorolja fel az SQL-sebezhetőségi felmérés vizsgálatának összes összegzését.
az security va sql scans show	Tekintse meg az SQL-sebezhetőségi felmérés vizsgálatának összefoglalóit.

Resource Manager-sablonok használata

A biztonságirés-felmérési alapkonfigurációk Azure Resource Manager-sablonokkal való konfigurálásához használja a típustMicrosoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines.

Az alaptervek hozzáadása előtt győződjön meg arról, hogy engedélyezve vulnerabilityAssessments van.

Íme egy példa a VA2065 alapkonfigurációs szabály adatbázisba és master VA1143 adatbázisba történő definiálására user Resource Manager sablonban lévő erőforrásokként:

   "resources": [
      {
         "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
         "apiVersion": "2018-06-01-preview",
         "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/master')]",
         "properties": {
            "baselineResults": [
               {
                  "result": [
                     "FirewallRuleName3",
                     "StartIpAddress",
                     "EndIpAddress"
                  ]
               },
               {
                  "result": [
                     "FirewallRuleName4",
                     "62.92.15.68",
                     "62.92.15.68"
                  ]
               }
            ]
         },
         "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
         "apiVersion": "2018-06-01-preview",
         "name": "[concat(parameters('server_name'),'/', parameters('database_name'), '/default/VA2130/Default')]",
         "dependsOn": [
            "[resourceId('Microsoft.Sql/servers/vulnerabilityAssessments', parameters('server_name'), 'Default')]"
         ],
         "properties": {
            "baselineResults": [
               {
                  "result": [
                     "dbo"
                  ]
               }
            ]
         }
      }
   ]

Az adatbázis és user az adatbázis esetében master az erőforrásnevek eltérően vannak definiálva:

• Master adatbázis – "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/master')]",
• Felhasználói adatbázis – "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/default')]",

Ha a logikai típusokat igaz/hamis értékként szeretné kezelni, állítsa be az alapkonfiguráció eredményét olyan bináris bemenettel, mint az "1"/"0".

   {
      "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
      "apiVersion": "2018-06-01-preview",
      "name": "[concat(parameters('server_name'),'/', parameters('database_name'), '/default/VA1143/Default')]",

      "dependsOn": [
         "[resourceId('Microsoft.Sql/servers/vulnerabilityAssessments', parameters('server_name'), 'Default')]"
      ],

      "properties": {
         "baselineResults": [
            {
               "result": [
                  "1"
               ]
            }
         ]
      }

   }

Engedélyek

A sebezhetőségi felmérés eredményeinek megtekintéséhez az alábbi engedélyek egyikére van szükség a Felhőhöz készült Microsoft Defender javaslatban, SQL adatbázisokban meg kell oldani a sebezhetőségi eredményeket:

• Biztonsági rendszergazda
• Biztonsági olvasó

A sebezhetőségi felmérés beállításainak módosításához a következő engedélyek szükségesek:

• SQL-biztonságkezelő
• Storage-blobadatok olvasója
• Tulajdonosi szerepkör a tárfiókban

A következő engedélyek szükségesek a vizsgálati eredményekről szóló e-mail-értesítések hivatkozásainak megnyitásához vagy a vizsgálati eredmények erőforrásszinten történő megtekintéséhez:

• SQL-biztonságkezelő
• Storage-blobadatok olvasója

Adattárolási hely

SQL Sebezhetőségi felmérés nyilvánosan elérhető lekérdezésekkel kérdezi le a SQL-kiszolgálót Felhőhöz készült Defender SQL sebezhetőségi felmérésre vonatkozó javaslatok alapján, és tárolja a lekérdezési eredményeket. Az adatokat a konfigurált felhasználói tárfiók tárolja.

SQL Biztonságirés-felmérés lehetővé teszi az adatok tárolási régiójának megadását a tárfiók helyének kiválasztásával. A felhasználó felelős a tárfiók biztonságáért és adatrugalmasságáért.

Következő lépések

• További információ a SQL-hez készült Microsoft Defenderről.
• További információ az adatfelderítésről és -besorolásról.
• További információ a biztonságirés-felmérés eredményeinek tárolásáról egy tűzfalak és virtuális hálózatok mögött elérhető tárfiókban.