Сохранение результатов оценки уязвимостей в учетной записи хранения, доступной за межсетевыми экранами и виртуальными сетями

ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics

Если вы ограничиваете доступ к своей учетной записи хранения в Azure для определенных виртуальных сетей или служб, вам необходимо включить соответствующую конфигурацию, чтобы предоставить доступ к этой учетной записи хранения при сканировании с целью оценки уязвимостей для баз данных SQL или управляемых экземпляров.

Предварительные требования

Службе оценки уязвимостей SQL требуется разрешение на учетную запись хранения для сохранения базовых показателей и результатов сканирования. Предусмотрено три метода:

  • Использование ключа учетной записи хранения: Azure создает ключ SAS и сохраняет его (хотя мы не сохраняем ключ учетной записи).
  • Использование ключа SAS хранилища: ключ SAS должен включать следующие разрешения: Запись | Список | Чтение | Удаление.
  • Использование управляемых удостоверений SQL Server: SQL Server должен иметь управляемое удостоверение. Учетной записи хранения должна быть назначена следующая роль для управляемого удостоверения SQL: StorageBlobContributor. При применении этих параметров поля службы оценки уязвимостей storageContainerSasKey и storageAccountAccessKey должны быть пустыми. Если хранилище находится за межсетевым экраном или виртуальной сетью, требуется управляемое удостоверение SQL.

Когда вы используете портал Azure для сохранения параметров оценки уязвимостей SQL, Azure проверяет, есть ли у вас разрешение на назначение новой роли для управляемого удостоверения как StorageBlobContributor в хранилище. Если разрешения назначены, Azure использует управляемое удостоверение SQL Server. В противном случае Azure использует метод ключей.

Включение доступа к учетной записи хранения для сохранения результатов оценки уязвимостей базы данных SQL Azure

Если вы настроили свою учетную запись хранения для оценки уязвимостей так, чтобы она была доступна только определенным сетям или службам, вам необходимо убедиться, что в ней могут сохраняться результаты оценки уязвимостей для вашей базы данных SQL Microsoft Azure. Вы можете использовать существующую учетную запись хранения или создать новую для хранения результатов оценки уязвимостей для всех баз данных на вашем логическом сервере SQL.

Примечание

Служба оценки уязвимостей не может получить доступ к учетным записям хранения, защищенным межсетевыми экранами или виртуальными сетями, если им требуются ключи доступа к хранилищу.

Перейдите в свою группу ресурсов, содержащую учетную запись хранения, и откройте область Учетная запись хранения. В разделе Параметры выберите Брандмауэр и виртуальные сети.

Убедитесь, что установлен флажок Разрешить доверенным службам Майкрософт доступ к этой учетной записи хранения.

На снимке экрана показано диалоговое окно "Брандмауэр и виртуальные сети" с выбранным параметром "Разрешить доверенным службам Майкрософт доступ к этой учетной записи хранения".

Чтобы узнать, какая учетная запись хранения используется, перейдите в область SQL Server на портале Microsoft Azure и в разделе Безопасность выберите Центр безопасности.

Настройка оценки уязвимостей

Примечание

Вы можете настроить оповещения по электронной почте, чтобы уведомлять пользователей в организации о возможности просмотра отчетов о сканировании. Для этого убедитесь, что у вас есть разрешения "Диспетчер безопасности SQL" и "Читатель данных BLOB-объектов хранилища".

Сохранение результатов оценки уязвимостей для управляемого экземпляра SQL Azure в учетной записи хранения, доступной за межсетевым экраном или виртуальной сетью

Поскольку управляемый экземпляр не является доверенной службой Майкрософт и использует виртуальную сеть, отличную от виртуальной сети учетной записи хранения, выполнение оценки уязвимостей приведет к ошибке.

Чтобы обеспечить поддержку оценки уязвимостей для управляемых экземпляров, выполните следующие действия:

  1. На панели Управляемый экземпляр SQL под заголовком Обзор щелкните ссылку Виртуальная сеть или подсеть. Вы попадете на панель Виртуальная сеть.

    mi-overview2

  2. В разделе Параметры выберите Подсети. Нажмите Подсеть на новой панели, чтобы добавить подсеть, и делегируйте ее Microsoft.Sql\managedInstance. Для получения дополнительной информации см. статью об управлении подсетями.

    На снимке экрана показана подсеть, делегированная Microsoft.sql\managedInstance.

  3. На панели Виртуальная сеть в разделе Параметры выберите Конечные точки службы. Нажмите Добавить на новой панели и добавьте службу Microsoft.Storage в качестве новой конечной точки службы. Убедитесь, что выбрана подсеть ManagedInstance. Нажмите кнопку Добавить.

    На снимке экрана показано диалоговое окно "Добавить конечные точки службы", где вы добавляете службу Microsoft.Storage в качестве конечной точки.

  4. Перейдите в свою учетную запись хранения, которую вы выбрали для сохранения результатов оценки уязвимостей. В разделе Параметры выберите Брандмауэр и виртуальные сети. Щелкните Добавить существующую виртуальную сеть. Выберите виртуальную сеть и подсеть управляемого экземпляра и нажмите Добавить.

    На снимке экрана показана область "Брандмауэры и виртуальные сети", содержащая ссылку "Добавить существующую виртуальную сеть".

Теперь у вас должна быть возможность хранить результаты оценки уязвимостей для управляемых экземпляров в своей учетной записи хранения.

Этот раздел посвящен устранению распространенных проблем, связанных со сканированием для оценки уязвимостей.

Не удалось сохранить параметры оценки уязвимостей

Вы не сможете сохранить изменения в параметрах оценки уязвимостей, если ваша учетная запись хранения не соответствует некоторым предварительным требованиям или если у вас недостаточно разрешений.

Требования к учетной записи хранения

Учетная запись хранения, в которой сохраняются результаты оценки уязвимостей, должна соответствовать следующим требованиям:

  • тип: StorageV2 (общего назначения, версия 2) или Storage (общего назначения, версия 1);
  • производительность: стандартная (только);
  • регион: хранилище должно находиться в том же регионе, что и экземпляр Azure SQL Server.

Если какое-либо из этих требований не выполняется, сохранение изменений в параметрах оценки уязвимостей завершается ошибкой.

Разрешения

Для сохранения изменений в параметрах оценки уязвимостей требуются следующие разрешения:

  • Диспетчер безопасности SQL
  • Читатель данных больших двоичных объектов хранилища

Для настройки нового назначения ролей требуются доступ владельца или пользователя-администратора к учетной записи хранения и следующие разрешения:

  • Владелец данных BLOB-объектов хранилища

Учетная запись хранения не отображается для выбора в параметрах оценки уязвимости

Учетная запись хранения может не отображаться в средстве выбора учетной записи хранения по нескольким причинам:

  • Учетная запись хранения, которую вы ищете, отсутствует в выбранной подписке.
  • Учетная запись хранения, которую вы ищете, находится не в том же регионе, что и экземпляр Azure SQL Server.
  • У вас нет разрешений Microsoft.Storage/storageAccounts/read для учетной записи хранения.

Возможно, вы не сможете открыть ссылку в электронном письме с уведомлением о результатах сканирования или просмотреть их, если у вас нет необходимых разрешений или если вы используете браузер, который не позволяет открыть или отобразить результаты сканирования.

Разрешения

Чтобы открывать ссылки в уведомлениях по электронной почте о результатах сканирования или просматривать эти результаты, необходимы следующие разрешения:

  • Диспетчер безопасности SQL
  • Читатель данных больших двоичных объектов хранилища

Требования к браузеру

Браузер Firefox не позволяет открывать или отображать результаты сканирования. Рекомендуем использовать Chrome или Microsoft Edge для просмотра результатов оценки уязвимостей.

Дальнейшие действия