A verificação de Avaliação de Vulnerabilidade da Loja resulta em uma conta de armazenamento acessível por trás de firewalls e redes virtuais

  • Artigo

Aplica-se a:Banco de Dados SQL do Azure Azure SQLManaged InstanceAzure Synapse Analytics

Se você estiver limitando o acesso à sua conta de armazenamento no Azure para determinadas redes virtuais ou serviços, precisará habilitar a configuração apropriada para que a verificação de Avaliação de Vulnerabilidade (VA) para Bancos de Dados SQL ou Instâncias Gerenciadas SQL do Azure tenha acesso a essa conta de armazenamento.

Nota

Essas configurações não são necessárias ao usar a Configuração Expressa.

Pré-requisitos

O serviço de Avaliação de Vulnerabilidade do SQL precisa de permissão para a conta de armazenamento para salvar a linha de base e os resultados da verificação.

Use a identidade gerenciada do SQL Server:

  • O SQL Server deve ter uma identidade gerenciada.
  • A conta de armazenamento deve ter uma atribuição de função para a Identidade Gerenciada SQL como Colaborador de Dados de Blob de Armazenamento.
  • Quando você aplica as configurações, os campos VA storageContainerSasKey e storageAccountAccessKey devem estar vazios (a configuração usando chave de conta de armazenamento ou chave SAS de armazenamento não é válida para este cenário).

Quando você usa o portal do Azure para salvar as configurações do SQL VA, o Azure verifica se você tem permissão para atribuir uma nova atribuição de função para a identidade gerenciada como Colaborador de Dados de Blob de Armazenamento no armazenamento. Se as permissões forem atribuídas, o Azure usará a identidade gerenciada do SQL Server, caso contrário, o Azure usará o método de chave (que não é suportado para este cenário).

Nota

  1. Não há suporte para identidades gerenciadas atribuídas pelo usuário para esse cenário.
  2. Se estiver usando políticas de gerenciamento do ciclo de vida do Armazenamento do Azure, evite mover arquivos no contêiner usado pelo VA para a camada de acesso ao arquivamento. Não há suporte para a leitura de resultados de varredura ou configurações de linha de base armazenadas na camada de acesso ao arquivamento.

Habilitar o acesso de varredura VA do Banco de Dados SQL do Azure à conta de armazenamento

Se você configurou sua conta de armazenamento VA para ser acessível apenas por determinadas redes ou serviços, precisará garantir que as verificações VA para seu Banco de Dados SQL do Azure possam armazenar as verificações na conta de armazenamento. Você pode usar a conta de armazenamento existente ou criar uma nova conta de armazenamento para armazenar os resultados da verificação VA para todos os bancos de dados em seu servidor SQL lógico.

Nota

O serviço de avaliação de vulnerabilidades não pode acessar contas de armazenamento protegidas com firewalls ou redes virtuais se elas exigirem chaves de acesso de armazenamento.

Vá para o grupo de recursos que contém a conta de armazenamento e acesse o painel Conta de armazenamento . Em Configurações, selecione Firewall e redes virtuais.

Verifique se a opção Permitir acesso de serviços confiáveis da Microsoft a essa conta de armazenamento está marcada.

Screenshot showing Firewall and virtual networks dialog box, with Allow trusted Microsoft services to access this storage account selected.

Para descobrir qual conta de armazenamento está sendo usada, execute as seguintes etapas:

  1. Vá para o painel do servidor SQL no portal do Azure.
  2. Em Segurança, selecione Defender for Cloud.
  3. Selecione Configurar.

Screenshot showing setup vulnerability assessment.

Armazene os resultados da verificação VA para a Instância Gerenciada SQL do Azure em uma conta de armazenamento que pode ser acessada por trás de um firewall ou VNet

Como a Instância Gerenciada SQL do Azure não é um Serviço Microsoft confiável e tem uma VNet diferente da conta de armazenamento, a execução de uma verificação VA resultará em um erro.

Nota

É altamente recomendável garantir que suas Instâncias Gerenciadas SQL do Azure estejam inscritas na onda de recursos de novembro de 2022, o que permitirá uma configuração muito mais simples da Avaliação de Vulnerabilidade do SQL quando a conta de armazenamento estiver atrás de um firewall ou VNET.

Para dar suporte a verificações VA em Instâncias Gerenciadas SQL do Azure que têm a onda de recursos de novembro de 2022 instalada, siga as etapas abaixo:

  1. Na página Visão Geral da Instância Gerenciada SQL do Azure, observe o valor em Rede virtual / sub-rede.

  2. Vá para a página Rede na conta de armazenamento onde o SQL VA está configurado para armazenar os resultados da verificação.

  3. Na guia Firewalls e redes virtuais, em Acesso à rede pública, selecione Habilitado a partir de redes virtuais e endereços IP selecionados.

  4. Na seção Redes virtuais, clique em Adicionar rede virtual existente e selecione a VNET e a sub-rede usadas pela instância gerenciada que você anotou na primeira etapa.

    Screenshot of storage account networking settings for Nov22 feature wave (and up).

Para dar suporte a verificações VA em Instâncias Gerenciadas SQL do Azure que não têm a onda de recursos de novembro de 2022 instalada, siga as etapas abaixo:

  1. No painel Instância gerenciada SQL, sob o título Visão geral, clique no link Rede virtual/sub-rede. Isso leva você ao painel Rede virtual.

    Screenshot of the SQL managed instance overview section.

  2. Em Definições, selecione Sub-redes. Clique em + Sub-rede no novo painel para adicionar uma sub-rede . Para obter mais informações, consulte Gerenciar sub-redes.

    Screenshot shows a list of subnets and the add subnet option.

  3. A nova sub-rede deve ter as seguintes configurações:

    Screenshot shows a subnet called VA and its settings.

    • Gateway NAT: Nenhum
    • Grupo de segurança de rede: Nenhum
    • Tabela de rotas: Nenhum
    • PONTOS DE EXTREMIDADE DE SERVIÇO - serviços: Nenhum selecionado
    • DELEGAÇÃO DE SUB-REDE - Delegar sub-rede a um serviço: Nenhum
    • POLÍTICA DE REDE PARA PONTOS DE EXTREMIDADE PRIVADOS - Política de rede de ponto de extremidade privado: Nenhum selecionado

  4. Vá para a conta de armazenamento onde o SQL VA está configurado para armazenar os resultados da verificação e clique na guia Conexões de ponto de extremidade privado e, em seguida, clique em + Ponto de extremidade privado

    Screenshot shows Firewalls and virtual networks settings.

    Screenshot shows add private endpoint button.

  5. Escolha os detalhes para o seu endpoint privado (é sugerido colocá-lo no mesmo RG e na mesma região).

    Screenshot shows private endpoint creation Basics tab.

  6. Escolha blob para o subrecurso Destino

    Screenshot shows private endpoint creation Resource tab.

  7. Selecione a rede virtual do SQL MI (da etapa 1) e escolha a sub-rede que você criou (etapa 3):

    Screenshot shows private endpoint creation Virtual Network tab.

  8. Selecione Integrar com zona DNS privada (deve ser padrão) e escolha os outros valores padrão

    Screenshot shows private endpoint creation DNS tab.

  9. Continue para a guia Revisar + Criar e clique em Criar. Quando a implantação estiver concluída, você verá isso na guia Conexões de ponto de extremidade privado na seção Rede da conta de armazenamento:

    Screenshot shows storage Networking Private endpoint connections post configuration.

Agora você deve ser capaz de armazenar suas verificações VA para Instâncias Gerenciadas SQL do Azure em sua conta de armazenamento.

Solucione problemas comuns relacionados a verificações de avaliação de vulnerabilidade.

Falha ao guardar as definições de avaliação de vulnerabilidades

Talvez não seja possível salvar as alterações nas configurações de avaliação de vulnerabilidade se sua conta de armazenamento não atender a alguns pré-requisitos ou se você tiver permissões insuficientes.

Requisitos da conta de armazenamento

A conta de armazenamento na qual os resultados da verificação de avaliação de vulnerabilidade são salvos deve atender aos seguintes requisitos:

  • Tipo: StorageV2 (General Purpose V2) ou Storage (General Purpose V1)
  • Desempenho: Standard (apenas)
  • Região: o armazenamento deve estar na mesma região que a instância do SQL Server do Azure.

Se algum desses requisitos não for atendido, o salvamento das alterações nas configurações de avaliação de vulnerabilidade falhará.

Permissões

As seguintes permissões são necessárias para salvar as alterações nas configurações de avaliação de vulnerabilidade:

  • Gestor de Segurança SQL
  • Leitor de Dados do Armazenamento de Blobs
  • Função de proprietário na conta de armazenamento

A definição de uma nova atribuição de função requer acesso de proprietário ou administrador de usuário à conta de armazenamento e as seguintes permissões:

  • Proprietário de Dados de Blobs de Armazenamento

A conta de armazenamento não está visível para seleção nas configurações de avaliação de vulnerabilidade

A conta de armazenamento pode não aparecer no seletor de contas de armazenamento por vários motivos:

  • A conta de armazenamento que procura não está na subscrição selecionada.
  • A conta de armazenamento que você está procurando não está na mesma região que a instância do SQL Server do Azure.
  • Não tem as permissões Microsoft.Storage/storageAccounts/Read na conta de armazenamento.

Talvez você não consiga abrir um link em um e-mail de notificação sobre os resultados da verificação ou visualizar os resultados da verificação se não tiver as permissões necessárias ou se usar um navegador que não ofereça suporte para abrir ou exibir os resultados da verificação.

Permissões obrigatórias

São necessárias as seguintes permissões para abrir ligações em notificações por e-mail sobre os resultados da análise ou para ver os resultados da análise:

  • Gestor de Segurança SQL
  • Leitor de Dados do Armazenamento de Blobs

Requisitos de browsers

O navegador Firefox não suporta abrir ou exibir a visualização dos resultados da verificação. Recomendamos que utilize o Microsoft Edge ou o Chrome para ver os resultados da análise da avaliação de vulnerabilidades.

Próximos passos