Categorias
Azure SQL Database Virtual PASS BR

Azure SQL Database – Vulnerability Assessment

[bing_translator]

O Vulnerability Assessment (VA) primeiramente introduzido no Azure SQL Database e depois entregue na versão do SQL Server Management Server (SSMS) 17.4 é um recurso que pode ajudar a descobrir, rastrear e corrigir potencias vulnerabilidades no seu database.

“To gain the benefits of a Vulnerability Assessment on your database, all you need to do is run a Scan, which will scan your database for vulnerabilities.”

Essa simples frase resume exatamente o que você deve fazer para utilizar esse recurso, nada além disso. Na minha visão o principal motivo para isso é a grande preocupação que a Microsoft está tendo em relação a segurança da informação. O Vulnerability Assessment é de fácil interpretação e principalmente é feito para não especialistas em segurança da informação assim como eu. Com esse recurso eu posso proteger melhor o meu ambiente porem isso pode não ser o suficiente caso a sua empresa tenha uma especialista em segurança e ele te direcione para qual caminho seguir.

Eu acredito que o recurso irá evoluir e iremos ganhar mais facilidades como por exemplo automatização de scan!

Hoje o Vulnerability Assessment faz parte do Advanced Threat Protection for Azure SQL Database.

A única configuração que você precisara fazer é escolher onde irá armazenar o resultado e nesse caso será uma “storage account”

Pronto! Agora basta executar o scan e aguardar pelo resultado.

Pude notar que as validações que estavam em preview foram modificadas na versão General availability (GA). O último preview, que eu utilizei, existiam 77 validações e agora só existem 48. Não sei o motivo porque algumas foram retiradas, mas espero que a lista aumente.

Para cada verificação existem detalhes que trazem informações complementares importantíssimas como por exemplo como remediar (resolver) o problema.

É possível criar uma baseline para cada database e assim você pode customizar o que é importante para seu ambiente. No relatório, o status da regra irá mostrar como aceito por baseline customizada.

Com o GA agora é exportar o resultado para Excel através do botão: Export Scan Results. Dessa maneira você pode ter um relatório offline e distribuir dentro da sua equipe ou até mesmo enviar para outras pessoas.

Com o Scan History é possível ver como estava as vulnerabilidades em cada scan. Isso facilita a auditoria e principalmente podemos ver o progresso das correções. Também é possível exportar para Excel qualquer histórico.

Eu espero que em breve possamos criar nossas próprias validações dando assim flexibilidade para cada cliente customizar com suas necessidades.

A versão do SSMS para on-premise tem as mesmas funcionalidades e é tão simples quanto a versão do Azure SQL Database.

https://www.mssqltips.com/sqlservertip/5297/sql-server-security-vulnerability-assessment-tool-in-ssms-174/

Jan Rokicki escreveu um excelente post falando sobre VA

https://www.datasic.com/post/ssms-va-assessment/

Referencias:

https://azure.microsoft.com/en-us/blog/introducing-sql-vulnerability-assessment-for-azure-sql-database-and-on-premises-sql-server/

https://blogs.technet.microsoft.com/dataplatforminsider/2017/12/11/whats-new-in-ssms-17-4-sql-vulnerability-assessment/

https://docs.microsoft.com/en-us/azure/sql-database/sql-vulnerability-assessment

https://docs.microsoft.com/en-us/sql/relational-databases/security/sql-vulnerability-assessment?view=sql-server-2017

https://docs.microsoft.com/en-us/azure/sql-database/sql-advanced-threat-protection

https://docs.microsoft.com/en-us/azure-advanced-threat-protection/what-is-atp