SQL sebezhetőségi felmérés segít azonosítani az adatbázis biztonsági réseit
A KÖVETKEZŐKRE VONATKOZIK: Azure SQL Database Azure SQL Managed Instance
Azure Synapse Analytics
SQL sebezhetőségi felmérés egy könnyen konfigurálható szolgáltatás, amely felderítheti, nyomon követheti és elháríthatja az adatbázis esetleges biztonsági réseit. A használatával proaktívan növelhető az adatbázis biztonsága.
A sebezhetőségi felmérés a Microsoft Defender for SQL ajánlat része, amely egy egységes csomag a speciális SQL biztonsági képességekhez. A sebezhetőségi felmérés a központi Microsoft Defender for SQL portálon érhető el és kezelhető.
Megjegyzés
A sebezhetőségi felmérés Azure SQL Database, Azure SQL Managed Instance és Azure Synapse Analytics esetében támogatott. Az Azure SQL Database, Azure SQL Managed Instance és Azure Synapse Analytics adatbázisaira a jelen cikk hátralévő részében együttesen adatbázisokként hivatkozunk, a kiszolgáló pedig arra a kiszolgálóra hivatkozik, amely Azure SQL Database és Azure Synapse.
Mi SQL sebezhetőségi felmérés?
SQL biztonságirés-felmérés egy olyan szolgáltatás, amely betekintést nyújt a biztonsági állapotba. A biztonsági rések felmérése végrehajtható lépéseket tartalmaz a biztonsági problémák megoldásához és az adatbázis biztonságának javításához. Segíthet egy dinamikus adatbázis-környezet monitorozásában, ahol a változások nehezen követhetők nyomon és javíthatók a SQL biztonsági helyzeten.
A sebezhetőségi felmérés egy Azure SQL Database beépített vizsgálati szolgáltatás. A szolgáltatás a biztonsági réseket jelző szabályok tudásbázis alkalmaz. Kiemeli az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat.
A szabályok a Microsoft ajánlott eljárásain alapulnak, és azokra a biztonsági problémákra összpontosítanak, amelyek az adatbázis és értékes adatai legnagyobb kockázatával járnak. Ezek adatbázisszintű és kiszolgálószintű biztonsági problémákat, például kiszolgálói tűzfalbeállításokat és kiszolgálószintű engedélyeket fednek le.
A vizsgálat eredményei végrehajtható lépéseket tartalmaznak az egyes problémák megoldásához, és adott esetben testreszabott javítási szkripteket biztosítanak. Az értékelési jelentést testreszabhatja a környezetéhez, ha egy elfogadható alapkonfigurációt állít be a következőhöz:
- Engedélykonfigurációk
- Funkciókonfigurációk
- Adatbázis-beállítások
Sebezhetőségi felmérés konfigurálása
A biztonságirés-felmérés konfigurálásához kövesse az alábbi lépéseket:
A Azure Portal nyissa meg az adott erőforrást Azure SQL Database, SQL Managed Instance Adatbázisban vagy Azure Synapse.
A Biztonság fejléc alatt válassza a Felhőhöz készült Defender lehetőséget.
A hivatkozáson a Konfigurálás lehetőséget választva nyissa meg a Microsoft Defender for SQL beállítások panelt a teljes kiszolgálóhoz vagy felügyelt példányhoz.
Megjegyzés
SQL sebezhetőségi felméréshez a Microsoft Defendernek szüksége van SQL tervre a vizsgálatok futtatásához. A Microsoft Defender SQL való engedélyezéséről további információt a Microsoft Defender SQL című témakörben talál.
A Kiszolgáló beállításai lapon adja meg a Microsoft Defender SQL beállításait:
Konfiguráljon egy tárfiókot, ahol a rendszer a kiszolgálón vagy felügyelt példányon található összes adatbázis vizsgálati eredményeit tárolja. További információ a tárfiókokról: Tudnivalók az Azure Storage-fiókokról.
Tipp
A biztonságirés-felmérési vizsgálatok tűzfalak és virtuális hálózatok mögötti tárolásáról további információt az Áruház biztonságirés-felmérési eredményei között talál a tűzfalak és virtuális hálózatok mögött elérhető tárfiókban.
Ha a biztonságirés-felméréseket úgy szeretné konfigurálni, hogy automatikusan heti vizsgálatokat futtasson a biztonsági helytelen konfigurációk észleléséhez, állítsa be az ismétlődő rendszeres vizsgálatokat. Az eredményeket a rendszer a Vizsgálati jelentések küldése jelentésben megadott e-mail-címekre küldi. E-mailes értesítést is küldhet a rendszergazdáknak és az előfizetés-tulajdonosoknak, ha engedélyezi az e-mailes értesítések küldését a rendszergazdáknak és az előfizetés-tulajdonosoknak.
SQL biztonságirés-felmérési vizsgálatok igény szerint is futtathatók:
Az erőforrás Felhőhöz készült Defender lapján válassza a Biztonságirés-felmérés további eredményeinek megtekintése lehetőséget a korábbi vizsgálatok vizsgálati eredményeinek eléréséhez.
Ha igény szerinti vizsgálatot szeretne futtatni az adatbázis biztonsági réseinek vizsgálatához, válassza az Eszköztár Vizsgálat elemét :
Megjegyzés
A vizsgálat könnyű és biztonságos. A futtatás néhány másodpercet vesz igénybe, és teljes mértékben írásvédett. Nem módosítja az adatbázist.
Sebezhetőségek javítása
Ha egy biztonsági rés vizsgálata befejeződött, a jelentés megjelenik a Azure Portal. A jelentés a következőt mutatja be:
- A biztonsági állapot áttekintése
- A talált problémák száma, és
- A kockázatok súlyossága szerinti összegzés
- A további vizsgálatok eredményeinek listája
A felderített biztonsági rések elhárítása:
Tekintse át az eredményeket, és állapítsa meg, hogy a jelentés mely megállapításai jelentenek valódi biztonsági problémákat a környezetében.
Válassza ki az egyes sikertelen eredményeket, hogy megértse a hatását, és hogy miért hiúsult meg a biztonsági ellenőrzés.
Tipp
Az eredmények részleteit tartalmazó lap a probléma megoldását ismertető, végrehajtható szervizelési információkat tartalmaz.
Az értékelés eredményeinek áttekintésekor az adott eredményeket elfogadható alapkonfigurációként jelölheti meg a környezetben. Az alapkonfiguráció lényegében az eredmények jelentésének testreszabása. A későbbi vizsgálatok során az alapkonfigurációnak megfelelő eredmények sikeresnek minősülnek. Az alapkonfiguráció biztonsági állapotának megállapítása után a biztonságirés-felmérés csak az alapkonfigurációtól való eltérésekről számol be. Ily módon a figyelmet a releváns problémákra összpontosíthatja.
Ha módosítja az alapterveket, a Vizsgálat gombbal igény szerinti vizsgálatot futtathat, és megtekintheti a testre szabott jelentést. Az alaptervhez hozzáadott eredmények mostantól a Sikeres érték nézetben jelennek meg, jelezve, hogy az alapkonfiguráció változásai miatt mentek át.
A biztonságirés-felmérési vizsgálatokkal biztosítható, hogy az adatbázis magas szintű biztonságot nyújtson, és hogy a szervezeti szabályzatok teljesüljenek.
Speciális képességek
Értékelési jelentés exportálása
Válassza a Vizsgálati eredmények exportálása lehetőséget a vizsgálati eredményről letölthető Excel jelentés létrehozásához. Ez a jelentés egy összefoglaló lapot tartalmaz, amely megjeleníti az értékelés összegzését. A jelentés tartalmazza az összes sikertelen ellenőrzést. Emellett tartalmaz egy Találatok lapot is, amely a vizsgálatból származó eredmények teljes készletét tartalmazza. Az eredmények között szerepel az összes futtatott ellenőrzés és az eredmények részletei.
Vizsgálati előzmények megtekintése
A biztonságirés-felmérés panelen válassza a Vizsgálatelőzmények lehetőséget az adatbázisban korábban futtatott összes vizsgálat előzményeinek megtekintéséhez. Válasszon ki egy adott vizsgálatot a listában a vizsgálat részletes eredményeinek megtekintéséhez.
Adott eredmények letiltása a Felhőhöz készült Microsoft Defender -ból (előzetes verzió)
Ha a szervezetnek figyelmen kívül kell hagynia egy megállapítást, és nem kell szervizelnie, letilthatja azt. A letiltott eredmények nem befolyásolják a biztonsági pontszámot, és nem okoznak nemkívánatos zajt.
Ha egy találat megfelel a letiltás szabályaiban meghatározott feltételeknek, az nem jelenik meg a találatok listájában. A tipikus forgatókönyvek a következők:
- A közepesnél kisebb súlyosságú eredmények letiltása
- Nem javítható eredmények letiltása
- A meghatározott hatókör szempontjából nem érdekes teljesítménytesztek eredményeinek letiltása
Fontos
Adott eredmények letiltásához engedélyekre van szüksége egy szabályzat szerkesztéséhez a Azure Policy. További információ az Azure RBAC-engedélyekről a Azure Policy.
Szabály létrehozása:
A biztonságirés-felmérés eredményeinek a SQL gépeken lévő kiszolgálóira vonatkozó javaslatok részletes lapján válassza a Szabály letiltása lehetőséget.
Válassza ki a megfelelő hatókört.
Adja meg a feltételeket. Az alábbi feltételek bármelyikét használhatja:
- Azonosító keresése
- Súlyosság
- Teljesítménytesztek
Válassza a Szabály alkalmazása lehetőséget. A módosítások érvénybe lépése akár 24 óráig is eltarthat.
Szabály megtekintése, felülbírálása vagy törlése:
Válassza a Szabály letiltása lehetőséget.
A hatókörlistában az aktív szabályokkal rendelkező előfizetések szabályként jelennek meg.
A szabály megtekintéséhez vagy törléséhez válassza a három pont menüt ("...").
Sebezhetőségi felmérések programozott kezelése
Megjegyzés
Ez a cikk az Azure Az PowerShell-modult használja, amely az Azure-ral való interakcióhoz ajánlott PowerShell-modul. Az Az PowerShell-modul használatának megkezdéséhez lásd az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Fontos
A PowerShell Azure Resource Manager modul továbbra is támogatott, de minden jövőbeli fejlesztés az Az.Sql modulhoz tartozik. Ezekhez a parancsmagokhoz lásd: AzureRM.Sql. Az Az modulban és az AzureRm-modulokban található parancsok argumentumai lényegesen azonosak.
Azure PowerShell parancsmagokkal programozott módon kezelheti a sebezhetőségi felméréseket. A támogatott parancsmagok a következők:
Parancsmag neve hivatkozásként | Description |
---|---|
Clear-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline | Törli a biztonságirés-felmérési szabály alapkonfigurációit. Először állítsa be az alaptervet a parancsmag törlése előtt. |
Clear-AzSqlDatabaseVulnerabilityAssessmentSetting | Törli az adatbázis biztonságirés-felmérési beállításait. |
Clear-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline | Törli egy felügyelt adatbázis biztonságirés-felmérési szabályának alapkonfigurációját. Először állítsa be az alaptervet a parancsmag törlése előtt. |
Clear-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting | Törli egy felügyelt adatbázis biztonságirés-felmérési beállításait. |
Clear-AzSqlInstanceVulnerabilityAssessmentSetting | Törli a felügyelt példány biztonságirés-felmérési beállításait. |
Convert-AzSqlDatabaseVulnerabilityAssessmentScan | Egy adatbázis biztonságirés-felmérési eredményeit Excel fájllá alakítja. |
Convert-AzSqlInstanceDatabaseVulnerabilityAssessmentScan | Egy felügyelt adatbázis biztonságirés-felmérési eredményeit Excel fájllá alakítja. |
Get-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline | Lekéri egy adatbázis biztonságirés-felmérési szabályának alapkonfigurációját egy adott szabályhoz. |
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline | Lekéri egy felügyelt adatbázis biztonságirés-felmérési szabályának alapkonfigurációját egy adott szabályhoz. |
Get-AzSqlDatabaseVulnerabilityAssessmentScanRecord | Lekéri az adott adatbázishoz társított biztonságirés-felmérési vizsgálati rekordokat. |
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentScanRecord | Lekéri az adott felügyelt adatbázishoz társított biztonságirés-felmérési vizsgálati rekordokat. |
Get-AzSqlDatabaseVulnerabilityAssessmentSetting | Egy adatbázis biztonságirés-felmérési beállításait adja vissza. |
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting | Egy felügyelt adatbázis biztonságirés-felmérési beállításait adja vissza. |
Set-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline | Beállítja a sebezhetőségi felmérési szabály alapkonfigurációt. |
Set-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline | Beállítja a biztonságirés-felmérési szabály alapkonfigurációt egy felügyelt adatbázishoz. |
Start-AzSqlDatabaseVulnerabilityAssessmentScan | Elindítja egy adatbázis biztonságirés-felmérési vizsgálatának elindítását. |
Start-AzSqlInstanceDatabaseVulnerabilityAssessmentScan | Aktiválja egy felügyelt adatbázis biztonságirés-felmérési vizsgálatának elindítását. |
Update-AzSqlDatabaseVulnerabilityAssessmentSetting | Frissíti egy adatbázis biztonságirés-felmérési beállításait. |
Update-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting | Frissíti egy felügyelt adatbázis sebezhetőségi felmérési beállításait. |
Update-AzSqlInstanceVulnerabilityAssessmentSetting | Frissíti egy felügyelt példány sebezhetőségi felmérési beállításait. |
Példaszkript: Azure SQL sebezhetőségi felmérés PowerShell-támogatása.
Resource Manager-sablonok használata
A biztonságirés-felmérési alapkonfigurációk Azure Resource Manager-sablonokkal való konfigurálásához használja a típustMicrosoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines
.
Az alaptervek hozzáadása előtt győződjön meg arról, hogy engedélyezve vulnerabilityAssessments
van.
Íme egy példa a VA2065 alapkonfigurációs szabály adatbázisba és master
VA1143 adatbázisba történő definiálására user
Resource Manager sablonban lévő erőforrásokként:
"resources": [
{
"type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
"apiVersion": "2018-06-01-preview",
"name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/master')]",
"properties": {
"baselineResults": [
{
"result": [
"FirewallRuleName3",
"StartIpAddress",
"EndIpAddress"
]
},
{
"result": [
"FirewallRuleName4",
"62.92.15.68",
"62.92.15.68"
]
}
]
},
"type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
"apiVersion": "2018-06-01-preview",
"name": "[concat(parameters('server_name'),'/', parameters('database_name'), '/default/VA2130/Default')]",
"dependsOn": [
"[resourceId('Microsoft.Sql/servers/vulnerabilityAssessments', parameters('server_name'), 'Default')]"
],
"properties": {
"baselineResults": [
{
"result": [
"dbo"
]
}
]
}
}
]
Az adatbázis és user
az adatbázis esetében master
az erőforrásnevek eltérően vannak definiálva:
- Master adatbázis – "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/master')]",
- Felhasználói adatbázis – "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/default')]",
Ha a logikai típusokat igaz/hamis értékként szeretné kezelni, állítsa be az alapkonfiguráció eredményét olyan bináris bemenettel, mint az "1"/"0".
{
"type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
"apiVersion": "2018-06-01-preview",
"name": "[concat(parameters('server_name'),'/', parameters('database_name'), '/default/VA1143/Default')]",
"dependsOn": [
"[resourceId('Microsoft.Sql/servers/vulnerabilityAssessments', parameters('server_name'), 'Default')]"
],
"properties": {
"baselineResults": [
{
"result": [
"1"
]
}
]
}
}
Engedélyek
A sebezhetőségi felmérés eredményeinek megtekintéséhez az alábbi engedélyek egyikére van szükség a Felhőhöz készült Microsoft Defender javaslatban, SQL adatbázisokban meg kell oldani a sebezhetőségi eredményeket:
- Biztonsági rendszergazda
- Biztonsági olvasó
A sebezhetőségi felmérés beállításainak módosításához a következő engedélyek szükségesek:
- SQL-biztonságkezelő
- Storage-blobadatok olvasója
- Tulajdonosi szerepkör a tárfiókban
A következő engedélyek szükségesek a vizsgálati eredményekről szóló e-mail-értesítések hivatkozásainak megnyitásához vagy a vizsgálati eredmények erőforrásszinten történő megtekintéséhez:
- SQL-biztonságkezelő
- Storage-blobadatok olvasója
Adattárolási hely
SQL Sebezhetőségi felmérés nyilvánosan elérhető lekérdezésekkel kérdezi le a SQL-kiszolgálót Felhőhöz készült Defender SQL sebezhetőségi felmérésre vonatkozó javaslatok alapján, és tárolja a lekérdezési eredményeket. Az adatokat a konfigurált felhasználói tárfiók tárolja.
SQL Biztonságirés-felmérés lehetővé teszi az adatok tárolási régiójának megadását a tárfiók helyének kiválasztásával. A felhasználó felelős a tárfiók biztonságáért és adatrugalmasságáért.
Következő lépések
- További információ a SQL-hez készült Microsoft Defenderről.
- További információ az adatfelderítésről és -besorolásról.
- További információ a biztonságirés-felmérés eredményeinek tárolásáról egy tűzfalak és virtuális hálózatok mögött elérhető tárfiókban.