SQL sebezhetőségi felmérés segít azonosítani az adatbázis biztonsági réseit

A KÖVETKEZŐKRE VONATKOZIK: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

SQL sebezhetőségi felmérés egy könnyen konfigurálható szolgáltatás, amely felderítheti, nyomon követheti és elháríthatja az adatbázis esetleges biztonsági réseit. A használatával proaktívan növelhető az adatbázis biztonsága.

A sebezhetőségi felmérés a Microsoft Defender for SQL ajánlat része, amely egy egységes csomag a speciális SQL biztonsági képességekhez. A sebezhetőségi felmérés a központi Microsoft Defender for SQL portálon érhető el és kezelhető.

Megjegyzés

A sebezhetőségi felmérés Azure SQL Database, Azure SQL Managed Instance és Azure Synapse Analytics esetében támogatott. Az Azure SQL Database, Azure SQL Managed Instance és Azure Synapse Analytics adatbázisaira a jelen cikk hátralévő részében együttesen adatbázisokként hivatkozunk, a kiszolgáló pedig arra a kiszolgálóra hivatkozik, amely Azure SQL Database és Azure Synapse.

Mi SQL sebezhetőségi felmérés?

SQL biztonságirés-felmérés egy olyan szolgáltatás, amely betekintést nyújt a biztonsági állapotba. A biztonsági rések felmérése végrehajtható lépéseket tartalmaz a biztonsági problémák megoldásához és az adatbázis biztonságának javításához. Segíthet egy dinamikus adatbázis-környezet monitorozásában, ahol a változások nehezen követhetők nyomon és javíthatók a SQL biztonsági helyzeten.

A sebezhetőségi felmérés egy Azure SQL Database beépített vizsgálati szolgáltatás. A szolgáltatás a biztonsági réseket jelző szabályok tudásbázis alkalmaz. Kiemeli az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat.

A szabályok a Microsoft ajánlott eljárásain alapulnak, és azokra a biztonsági problémákra összpontosítanak, amelyek az adatbázis és értékes adatai legnagyobb kockázatával járnak. Ezek adatbázisszintű és kiszolgálószintű biztonsági problémákat, például kiszolgálói tűzfalbeállításokat és kiszolgálószintű engedélyeket fednek le.

A vizsgálat eredményei végrehajtható lépéseket tartalmaznak az egyes problémák megoldásához, és adott esetben testreszabott javítási szkripteket biztosítanak. Az értékelési jelentést testreszabhatja a környezetéhez, ha egy elfogadható alapkonfigurációt állít be a következőhöz:

  • Engedélykonfigurációk
  • Funkciókonfigurációk
  • Adatbázis-beállítások

Sebezhetőségi felmérés konfigurálása

A biztonságirés-felmérés konfigurálásához kövesse az alábbi lépéseket:

  1. A Azure Portal nyissa meg az adott erőforrást Azure SQL Database, SQL Managed Instance Adatbázisban vagy Azure Synapse.

  2. A Biztonság fejléc alatt válassza a Felhőhöz készült Defender lehetőséget.

  3. A hivatkozáson a Konfigurálás lehetőséget választva nyissa meg a Microsoft Defender for SQL beállítások panelt a teljes kiszolgálóhoz vagy felügyelt példányhoz.

    Opening the Defender for SQL configuration

    Megjegyzés

    SQL sebezhetőségi felméréshez a Microsoft Defendernek szüksége van SQL tervre a vizsgálatok futtatásához. A Microsoft Defender SQL való engedélyezéséről további információt a Microsoft Defender SQL című témakörben talál.

  4. A Kiszolgáló beállításai lapon adja meg a Microsoft Defender SQL beállításait:

    Configuring the SQL vulnerability assessment scans

    1. Konfiguráljon egy tárfiókot, ahol a rendszer a kiszolgálón vagy felügyelt példányon található összes adatbázis vizsgálati eredményeit tárolja. További információ a tárfiókokról: Tudnivalók az Azure Storage-fiókokról.

      Tipp

      A biztonságirés-felmérési vizsgálatok tűzfalak és virtuális hálózatok mögötti tárolásáról további információt az Áruház biztonságirés-felmérési eredményei között talál a tűzfalak és virtuális hálózatok mögött elérhető tárfiókban.

    2. Ha a biztonságirés-felméréseket úgy szeretné konfigurálni, hogy automatikusan heti vizsgálatokat futtasson a biztonsági helytelen konfigurációk észleléséhez, állítsa be az ismétlődő rendszeres vizsgálatokat. Az eredményeket a rendszer a Vizsgálati jelentések küldése jelentésben megadott e-mail-címekre küldi. E-mailes értesítést is küldhet a rendszergazdáknak és az előfizetés-tulajdonosoknak, ha engedélyezi az e-mailes értesítések küldését a rendszergazdáknak és az előfizetés-tulajdonosoknak.

  5. SQL biztonságirés-felmérési vizsgálatok igény szerint is futtathatók:

    1. Az erőforrás Felhőhöz készült Defender lapján válassza a Biztonságirés-felmérés további eredményeinek megtekintése lehetőséget a korábbi vizsgálatok vizsgálati eredményeinek eléréséhez.

      Opening the scan results and manual scan options

    2. Ha igény szerinti vizsgálatot szeretne futtatni az adatbázis biztonsági réseinek vizsgálatához, válassza az Eszköztár Vizsgálat elemét :

      Select scan to run an on-demand vulnerability assessment scan of your SQL resource

Megjegyzés

A vizsgálat könnyű és biztonságos. A futtatás néhány másodpercet vesz igénybe, és teljes mértékben írásvédett. Nem módosítja az adatbázist.

Sebezhetőségek javítása

Ha egy biztonsági rés vizsgálata befejeződött, a jelentés megjelenik a Azure Portal. A jelentés a következőt mutatja be:

  • A biztonsági állapot áttekintése
  • A talált problémák száma, és
  • A kockázatok súlyossága szerinti összegzés
  • A további vizsgálatok eredményeinek listája

Sampl scan report from the SQL vulnerability assessment scanner

A felderített biztonsági rések elhárítása:

  1. Tekintse át az eredményeket, és állapítsa meg, hogy a jelentés mely megállapításai jelentenek valódi biztonsági problémákat a környezetében.

  2. Válassza ki az egyes sikertelen eredményeket, hogy megértse a hatását, és hogy miért hiúsult meg a biztonsági ellenőrzés.

    Tipp

    Az eredmények részleteit tartalmazó lap a probléma megoldását ismertető, végrehajtható szervizelési információkat tartalmaz.

    Examining the findings from a vulnerability scan

  3. Az értékelés eredményeinek áttekintésekor az adott eredményeket elfogadható alapkonfigurációként jelölheti meg a környezetben. Az alapkonfiguráció lényegében az eredmények jelentésének testreszabása. A későbbi vizsgálatok során az alapkonfigurációnak megfelelő eredmények sikeresnek minősülnek. Az alapkonfiguráció biztonsági állapotának megállapítása után a biztonságirés-felmérés csak az alapkonfigurációtól való eltérésekről számol be. Ily módon a figyelmet a releváns problémákra összpontosíthatja.

    Approving a finding as a baseline for future scans

  4. Ha módosítja az alapterveket, a Vizsgálat gombbal igény szerinti vizsgálatot futtathat, és megtekintheti a testre szabott jelentést. Az alaptervhez hozzáadott eredmények mostantól a Sikeres érték nézetben jelennek meg, jelezve, hogy az alapkonfiguráció változásai miatt mentek át.

    Passed assessments indicating they've passed per custom baseline

A biztonságirés-felmérési vizsgálatokkal biztosítható, hogy az adatbázis magas szintű biztonságot nyújtson, és hogy a szervezeti szabályzatok teljesüljenek.

Speciális képességek

Értékelési jelentés exportálása

Válassza a Vizsgálati eredmények exportálása lehetőséget a vizsgálati eredményről letölthető Excel jelentés létrehozásához. Ez a jelentés egy összefoglaló lapot tartalmaz, amely megjeleníti az értékelés összegzését. A jelentés tartalmazza az összes sikertelen ellenőrzést. Emellett tartalmaz egy Találatok lapot is, amely a vizsgálatból származó eredmények teljes készletét tartalmazza. Az eredmények között szerepel az összes futtatott ellenőrzés és az eredmények részletei.

Vizsgálati előzmények megtekintése

A biztonságirés-felmérés panelen válassza a Vizsgálatelőzmények lehetőséget az adatbázisban korábban futtatott összes vizsgálat előzményeinek megtekintéséhez. Válasszon ki egy adott vizsgálatot a listában a vizsgálat részletes eredményeinek megtekintéséhez.

Adott eredmények letiltása a Felhőhöz készült Microsoft Defender -ból (előzetes verzió)

Ha a szervezetnek figyelmen kívül kell hagynia egy megállapítást, és nem kell szervizelnie, letilthatja azt. A letiltott eredmények nem befolyásolják a biztonsági pontszámot, és nem okoznak nemkívánatos zajt.

Ha egy találat megfelel a letiltás szabályaiban meghatározott feltételeknek, az nem jelenik meg a találatok listájában. A tipikus forgatókönyvek a következők:

  • A közepesnél kisebb súlyosságú eredmények letiltása
  • Nem javítható eredmények letiltása
  • A meghatározott hatókör szempontjából nem érdekes teljesítménytesztek eredményeinek letiltása

Fontos

Adott eredmények letiltásához engedélyekre van szüksége egy szabályzat szerkesztéséhez a Azure Policy. További információ az Azure RBAC-engedélyekről a Azure Policy.

Szabály létrehozása:

  1. A biztonságirés-felmérés eredményeinek a SQL gépeken lévő kiszolgálóira vonatkozó javaslatok részletes lapján válassza a Szabály letiltása lehetőséget.

  2. Válassza ki a megfelelő hatókört.

  3. Adja meg a feltételeket. Az alábbi feltételek bármelyikét használhatja:

    • Azonosító keresése
    • Súlyosság
    • Teljesítménytesztek

    Create a disable rule for VA findings on SQL servers on machines

  4. Válassza a Szabály alkalmazása lehetőséget. A módosítások érvénybe lépése akár 24 óráig is eltarthat.

  5. Szabály megtekintése, felülbírálása vagy törlése:

    1. Válassza a Szabály letiltása lehetőséget.

    2. A hatókörlistában az aktív szabályokkal rendelkező előfizetések szabályként jelennek meg.

      Modify or delete an existing rule

    3. A szabály megtekintéséhez vagy törléséhez válassza a három pont menüt ("...").

Sebezhetőségi felmérések programozott kezelése

Megjegyzés

Ez a cikk az Azure Az PowerShell-modult használja, amely az Azure-ral való interakcióhoz ajánlott PowerShell-modul. Az Az PowerShell-modul használatának megkezdéséhez lásd az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Fontos

A PowerShell Azure Resource Manager modul továbbra is támogatott, de minden jövőbeli fejlesztés az Az.Sql modulhoz tartozik. Ezekhez a parancsmagokhoz lásd: AzureRM.Sql. Az Az modulban és az AzureRm-modulokban található parancsok argumentumai lényegesen azonosak.

Azure PowerShell parancsmagokkal programozott módon kezelheti a sebezhetőségi felméréseket. A támogatott parancsmagok a következők:

Parancsmag neve hivatkozásként Description
Clear-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline Törli a biztonságirés-felmérési szabály alapkonfigurációit.
Először állítsa be az alaptervet a parancsmag törlése előtt.
Clear-AzSqlDatabaseVulnerabilityAssessmentSetting Törli az adatbázis biztonságirés-felmérési beállításait.
Clear-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline Törli egy felügyelt adatbázis biztonságirés-felmérési szabályának alapkonfigurációját.
Először állítsa be az alaptervet a parancsmag törlése előtt.
Clear-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting Törli egy felügyelt adatbázis biztonságirés-felmérési beállításait.
Clear-AzSqlInstanceVulnerabilityAssessmentSetting Törli a felügyelt példány biztonságirés-felmérési beállításait.
Convert-AzSqlDatabaseVulnerabilityAssessmentScan Egy adatbázis biztonságirés-felmérési eredményeit Excel fájllá alakítja.
Convert-AzSqlInstanceDatabaseVulnerabilityAssessmentScan Egy felügyelt adatbázis biztonságirés-felmérési eredményeit Excel fájllá alakítja.
Get-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline Lekéri egy adatbázis biztonságirés-felmérési szabályának alapkonfigurációját egy adott szabályhoz.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline Lekéri egy felügyelt adatbázis biztonságirés-felmérési szabályának alapkonfigurációját egy adott szabályhoz.
Get-AzSqlDatabaseVulnerabilityAssessmentScanRecord Lekéri az adott adatbázishoz társított biztonságirés-felmérési vizsgálati rekordokat.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentScanRecord Lekéri az adott felügyelt adatbázishoz társított biztonságirés-felmérési vizsgálati rekordokat.
Get-AzSqlDatabaseVulnerabilityAssessmentSetting Egy adatbázis biztonságirés-felmérési beállításait adja vissza.
Get-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting Egy felügyelt adatbázis biztonságirés-felmérési beállításait adja vissza.
Set-AzSqlDatabaseVulnerabilityAssessmentRuleBaseline Beállítja a sebezhetőségi felmérési szabály alapkonfigurációt.
Set-AzSqlInstanceDatabaseVulnerabilityAssessmentRuleBaseline Beállítja a biztonságirés-felmérési szabály alapkonfigurációt egy felügyelt adatbázishoz.
Start-AzSqlDatabaseVulnerabilityAssessmentScan Elindítja egy adatbázis biztonságirés-felmérési vizsgálatának elindítását.
Start-AzSqlInstanceDatabaseVulnerabilityAssessmentScan Aktiválja egy felügyelt adatbázis biztonságirés-felmérési vizsgálatának elindítását.
Update-AzSqlDatabaseVulnerabilityAssessmentSetting Frissíti egy adatbázis biztonságirés-felmérési beállításait.
Update-AzSqlInstanceDatabaseVulnerabilityAssessmentSetting Frissíti egy felügyelt adatbázis sebezhetőségi felmérési beállításait.
Update-AzSqlInstanceVulnerabilityAssessmentSetting Frissíti egy felügyelt példány sebezhetőségi felmérési beállításait.

Példaszkript: Azure SQL sebezhetőségi felmérés PowerShell-támogatása.

Resource Manager-sablonok használata

A biztonságirés-felmérési alapkonfigurációk Azure Resource Manager-sablonokkal való konfigurálásához használja a típustMicrosoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines.

Az alaptervek hozzáadása előtt győződjön meg arról, hogy engedélyezve vulnerabilityAssessments van.

Íme egy példa a VA2065 alapkonfigurációs szabály adatbázisba és master VA1143 adatbázisba történő definiálására user Resource Manager sablonban lévő erőforrásokként:

   "resources": [
      {
         "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
         "apiVersion": "2018-06-01-preview",
         "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/master')]",
         "properties": {
            "baselineResults": [
               {
                  "result": [
                     "FirewallRuleName3",
                     "StartIpAddress",
                     "EndIpAddress"
                  ]
               },
               {
                  "result": [
                     "FirewallRuleName4",
                     "62.92.15.68",
                     "62.92.15.68"
                  ]
               }
            ]
         },
         "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
         "apiVersion": "2018-06-01-preview",
         "name": "[concat(parameters('server_name'),'/', parameters('database_name'), '/default/VA2130/Default')]",
         "dependsOn": [
            "[resourceId('Microsoft.Sql/servers/vulnerabilityAssessments', parameters('server_name'), 'Default')]"
         ],
         "properties": {
            "baselineResults": [
               {
                  "result": [
                     "dbo"
                  ]
               }
            ]
         }
      }
   ]

Az adatbázis és user az adatbázis esetében master az erőforrásnevek eltérően vannak definiálva:

  • Master adatbázis – "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/master')]",
  • Felhasználói adatbázis – "name": "[concat(parameters('server_name'),'/', parameters('database_name') , '/default/VA2065/default')]",

Ha a logikai típusokat igaz/hamis értékként szeretné kezelni, állítsa be az alapkonfiguráció eredményét olyan bináris bemenettel, mint az "1"/"0".

   {
      "type": "Microsoft.Sql/servers/databases/vulnerabilityAssessments/rules/baselines",
      "apiVersion": "2018-06-01-preview",
      "name": "[concat(parameters('server_name'),'/', parameters('database_name'), '/default/VA1143/Default')]",

      "dependsOn": [
         "[resourceId('Microsoft.Sql/servers/vulnerabilityAssessments', parameters('server_name'), 'Default')]"
      ],

      "properties": {
         "baselineResults": [
            {
               "result": [
                  "1"
               ]
            }
         ]
      }

   }

Engedélyek

A sebezhetőségi felmérés eredményeinek megtekintéséhez az alábbi engedélyek egyikére van szükség a Felhőhöz készült Microsoft Defender javaslatban, SQL adatbázisokban meg kell oldani a sebezhetőségi eredményeket:

  • Biztonsági rendszergazda
  • Biztonsági olvasó

A sebezhetőségi felmérés beállításainak módosításához a következő engedélyek szükségesek:

  • SQL-biztonságkezelő
  • Storage-blobadatok olvasója
  • Tulajdonosi szerepkör a tárfiókban

A következő engedélyek szükségesek a vizsgálati eredményekről szóló e-mail-értesítések hivatkozásainak megnyitásához vagy a vizsgálati eredmények erőforrásszinten történő megtekintéséhez:

  • SQL-biztonságkezelő
  • Storage-blobadatok olvasója

Adattárolási hely

SQL Sebezhetőségi felmérés nyilvánosan elérhető lekérdezésekkel kérdezi le a SQL-kiszolgálót Felhőhöz készült Defender SQL sebezhetőségi felmérésre vonatkozó javaslatok alapján, és tárolja a lekérdezési eredményeket. Az adatokat a konfigurált felhasználói tárfiók tárolja.

SQL Biztonságirés-felmérés lehetővé teszi az adatok tárolási régiójának megadását a tárfiók helyének kiválasztásával. A felhasználó felelős a tárfiók biztonságáért és adatrugalmasságáért.

Következő lépések