Служба оценки уязвимости SQL помогает определить уязвимость базы данныхSQL Vulnerability Assessment service helps you identify database vulnerabilities

Оценка уязвимостей SQL — это легко настраиваемая служба, которая поможет обнаруживать, отслеживать и устранять потенциальные уязвимости базы данных.SQL Vulnerability Assessment is an easy to configure service that can discover, track, and help you remediate potential database vulnerabilities. Используйте его, чтобы с упреждением повышать безопасность своей базы данных.Use it to proactively improve your database security.

Оценка уязвимостей входит в состав предложения Расширенная защита данных, которое представляет собой унифицированный пакет расширенных возможностей безопасности SQL.Vulnerability Assessment is part of the advanced data security (ADS) offering, which is a unified package for advanced SQL security capabilities. Доступ к службе оценки уязвимостей и управление ею можно выполнять через центральный портал SQL ADS.Vulnerability Assessment can be accessed and managed via the central SQL ADS portal.

Примечание

Оценка уязвимостей поддерживается в Базе данных SQL Azure, Управляемом экземпляре SQL Azure и Хранилище данных SQL Azure.Vulnerability Assessment is supported for Azure SQL Database, Azure SQL Managed Instance and Azure SQL Data Warehouse. Чтобы было проще, в этой статье База данных SQL используется при обращении к любой из этих служб управляемых баз данных.For simplicity, SQL Database is used in this article when referring to any of these managed database services.

Служба оценки уязвимостейThe Vulnerability Assessment service

Оценка уязвимостей SQL (VA) является службой, которая обеспечивает представление о состоянии безопасности и предлагает практические действия для устранения проблем безопасности и повышения безопасности базы данных.SQL Vulnerability Assessment (VA) is a service that provides visibility into your security state, and includes actionable steps to resolve security issues, and enhance your database security. Эта служба может помочь в выполнении следующих задач:It can help you:

  • соблюдение нормативных требований, требующих отчетов о проверке базы данных;Meet compliance requirements that require database scan reports.
  • соблюдение стандартов конфиденциальности данных;Meet data privacy standards.
  • мониторинг динамической среды базы данных, в которой сложно отслеживать изменения.Monitor a dynamic database environment where changes are difficult to track.

"Оценка уязвимостей" — это служба сканирования, встроенная в службу "База данных SQL Azure".Vulnerability Assessment is a scanning service built into the Azure SQL Database service. Эта служба использует базу знаний правил, содержащую правила, которые помечают уязвимости системы безопасности и указывают на отклонения от рекомендаций, в том числе на неправильные настройки, избыточные разрешения и незащищенные конфиденциальные данные.The service employs a knowledge base of rules that flag security vulnerabilities and highlight deviations from best practices, such as misconfigurations, excessive permissions, and unprotected sensitive data. Эти правила основаны на рекомендациях корпорации Майкрософт и направлены на проблемы безопасности, представляющие большую опасность для базы данных и ее ценных данных.The rules are based on Microsoft’s best practices and focus on the security issues that present the biggest risks to your database and its valuable data. Они охватывают как проблемы на уровне базы данных, так и проблемы безопасности на уровне сервера, такие как настройки брандмауэра сервера и разрешения на уровне сервера.They cover both database-level issues as well as server-level security issues, like server firewall settings and server-level permissions. В этих правилах также представлены многие требования различных контролирующих органов, что позволяет соблюдать стандарты соответствия.These rules also represent many of the requirements from various regulatory bodies to meet their compliance standards.

Результаты проверки включают в себя практические действия по устранению каждой проблемы, а также настроенные скрипты исправления, если их можно применить.Results of the scan include actionable steps to resolve each issue and provide customized remediation scripts where applicable. Отчет об оценке можно настроить для своей среды, задав приемлемые базовые показатели для конфигураций разрешений, конфигураций функций и параметров базы данных.An assessment report can be customized for your environment by setting an acceptable baseline for permission configurations, feature configurations, and database settings.

Реализация оценки уязвимостейImplementing Vulnerability Assessment

Ниже приведены инструкции по реализации службы оценки уязвимостей в базе данных SQL.The following steps implement VA on SQL Database.

1. Запуск проверки1. Run a scan

Чтобы начать работу со службой оценки уязвимостей, перейдите к разделу Расширенная защита данных под заголовком "Безопасность" на панели "База данных SQL Azure".Get started with VA by navigating to Advanced Data Security under the Security heading in your Azure SQL Database pane. Щелкните, чтобы включить расширенную защиту данных, а затем щелкните Выбор хранилища или карту Оценка уязвимостей, после чего автоматически откроется карта параметров оценки уязвимостей для всего сервера SQL.Click to enable advanced data security, and then click on Select Storage or on the Vulnerability Assessment card, which automatically opens the Vulnerability Assessment settings card for the entire SQL server.

Начните с настройки учетной записи хранения, в которой будут храниться результаты проверки для всех баз данных на сервере.Start by configuring a storage account where your scan results for all databases on the server will be stored. Дополнительные сведения об учетных записях хранения см. в разделе Об учетных записях хранения Azure.For information about storage accounts, see About Azure storage accounts. После настройки хранилища щелкните Проверить, чтобы проверить базу данных на наличие уязвимостей.Once storage is configured, click Scan to scan your database for vulnerabilities.

Проверка базы данных

Примечание

Проверка безопасна и не требует большого количества ресурсов.The scan is lightweight and safe. Она занимает несколько секунд и является исключительно операцией чтения.It takes a few seconds to run, and is entirely read-only. При проверке никакие изменения в базу данных не вносятся.It does not make any changes to your database.

2. Просмотр отчета2. View the report

После завершения проверки на портале Azure автоматически отображается отчет о проверке.When your scan is complete, your scan report is automatically displayed in the Azure portal. В отчете представлен обзор состояния безопасности: количество обнаруженных проблем и их уровень серьезности.The report presents an overview of your security state: how many issues were found and their respective severities. Результаты включают в себя предупреждения об отклонениях от рекомендаций, а также моментальный снимок параметров безопасности, например субъектов и ролей базы данных и соответствующих разрешений. Отчет о проверке также содержит карту конфиденциальных данных, обнаруженных в базе данных, и включает рекомендации по классификации этих данных с использованием функции обнаружения данных и классификации.Results include warnings on deviations from best practices and a snapshot of your security-related settings, such as database principals and roles and their associated permissions.The scan report also provides a map of sensitive data discovered in your database, and includes recommendations to classify that data using data discovery & classification.

Просмотрите отчет

3. Анализ результатов и устранение проблем3. Analyze the results and resolve issues

Просмотрите результаты и определите, какие проблемы в отчете действительно нарушают безопасность в вашей среде.Review your results and determine the findings in the report that are true security issues in your environment. Изучите подробные сведения о каждой проблеме, чтобы понять, как она влияет на безопасность и почему проверка безопасности не пройдена.Drill down to each failed result to understand the impact of the finding and why each security check failed. Используйте практические рекомендации по исправлению, представленные в отчете, чтобы устранить проблему.Use the actionable remediation information provided by the report to resolve the issue.

Анализ отчета

4. Задание базового уровня4. Set your baseline

При просмотре результатов оценки можно пометить определенные результаты как допустимые базовые показатели в своей среде.As you review your assessment results, you can mark specific results as being an acceptable Baseline in your environment. Базовые показатели — важные параметры, влияющие на содержимое отчета о проверке.The baseline is essentially a customization of how the results are reported. При следующих проверках результаты, которые соответствуют базовым показателям, будут рассматриваться как прошедшие проверку.Results that match the baseline are considered as passing in subsequent scans. После настройки состояния базовых показателей безопасности служба оценки уязвимостей будет сообщать только об отклонениях от базовых показателей, и вы сможете сосредоточиться на важных проблемах.Once you have established your baseline security state, VA only reports on deviations from the baseline and you can focus your attention on the relevant issues.

Настройка базовых показателей

5. Выполните новую проверку, чтобы просмотреть настроенный отчет об отслеживании5. Run a new scan to see your customized tracking report

Завершив настройку базовых показателей правила, выполните новую проверку, чтобы просмотреть настраиваемый отчет.After you complete setting up your Rule Baselines, run a new scan to view the customized report. Теперь служба оценки уязвимостей сообщает о проблемах безопасности, которые связаны с отклонением от утвержденного состояния базовых показателей.VA now reports only the security issues that deviate from your approved baseline state.

Просмотр настраиваемого отчета

Теперь службу оценки уязвимостей можно использовать, чтобы постоянно отслеживать безопасность базы данных и обеспечивать ее высокий уровень, а также следить за соблюдением политик организации.Vulnerability Assessment can now be used to monitor that your database maintains a high level of security at all times, and that your organizational policies are met. Если требуются отчеты о соответствии, вам могут пригодиться отчеты службы оценки уязвимостей, чтобы упростить соответствие требованиям.If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

6. Настройка периодических повторяющихся проверок6. Set up periodic recurring scans

Перейдите к параметрам оценки уязвимостей, чтобы включить периодическое повторное сканирование.Navigate to the Vulnerability Assessment settings to turn on Periodic recurring scans. Эти параметры позволяют настроить автоматический запуск сканирования уязвимостей в базе данных один раз в неделю.This configures Vulnerability Assessment to automatically run a scan on your database once per week. Сводка результатов отправляется ​​на указанный адрес электронной почты.A scan result summary will be sent to the email address(es) you provide.

Просмотр настраиваемого отчета

7. Экспорт отчета об оценке7. Export an assessment report

Щелкните Экспорт результатов проверки, чтобы создать скачиваемый отчет Excel о результатах проверки.Click Export Scan Results to create a downloadable Excel report of your scan result. Этот отчет содержит вкладку со сводными данными об оценке, в том числе все невыполненные проверки,This report contains a summary tab that displays a summary of the assessment, including all failed checks. а также вкладку Журнал с полным набором результатов сканирования, в том числе все выполненные проверки и сведения о результате каждой из них.It also includes a Results tab containing the full set of results from the scan, including all checks that were run and the result details for each.

8. Просмотр журнала сканирования8. View scan history

Щелкните Журнал сканирования на панели оценки уязвимостей, чтобы просмотреть журнал сканирований, которые выполнялись в этой базе данных ранее.Click Scan History in the VA pane to view a history of all scans previously run on this database. Выберите определенное сканирование из списка, чтобы просмотреть подробные результаты.Select a particular scan in the list to view the detailed results of that scan.

Теперь службу оценки уязвимостей можно использовать, чтобы постоянно отслеживать безопасность базы данных и обеспечивать ее высокий уровень, а также следить за соблюдением политик организации.Vulnerability Assessment can now be used to monitor that your database maintains a high level of security at all times, and that your organizational policies are met. Если требуются отчеты о соответствии, вам могут пригодиться отчеты службы оценки уязвимостей, чтобы упростить соответствие требованиям.If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

Управление оценками уязвимостей с помощью Azure PowerShellManage Vulnerability Assessments using Azure PowerShell

Примечание

Эта статья была изменена и теперь содержит сведения о новом модуле Az для Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Вы по-прежнему можете использовать модуль AzureRM, исправления ошибок для которого будут продолжать выпускаться как минимум до декабря 2020 г.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Дополнительные сведения о совместимости модуля Az с AzureRM см. в статье Introducing the new Azure PowerShell Az module (Знакомство с новым модулем Az для Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Инструкции по установке модуля Az см. в статье об установке Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Важно!

Модуль PowerShell Azure Resource Manager по-прежнему поддерживается базой данных SQL Azure, но вся будущая разработка предназначена для модуля AZ. SQL.The PowerShell Azure Resource Manager module is still supported by Azure SQL Database, but all future development is for the Az.Sql module. Эти командлеты см. в разделе AzureRM. SQL.For these cmdlets, see AzureRM.Sql. Аргументы для команд в модуле AZ и в модулях AzureRm существенно идентичны.The arguments for the commands in the Az module and in the AzureRm modules are substantially identical.

Для программного управления оценками уязвимостей можно использовать командлеты Azure PowerShell.You can use Azure PowerShell cmdlets to programmatically manage your vulnerability assessments. Поддерживаемые командлеты:The supported cmdlets are:

Пример сценария см. в разделе Azure SQL Vulnerability Assessment PowerShell support (Поддержка PowerShell для оценки уязвимостей Azure SQL).For a script example, see Azure SQL Vulnerability Assessment PowerShell support.

Дальнейшие действияNext steps