【发布时间】:2019-05-05 07:09:32
【问题描述】:
我已经在 Azure sql 服务器上设置了 Azure ATP,并从服务器中删除了所有防火墙设置。然而,在那之后,当我运行漏洞评估时,它删除了“服务器级防火墙规则应该被跟踪并保持在严格的最低限度”,这是高风险的。但是,当我从数据库视图(而不是从服务器视图)添加防火墙设置并运行漏洞评估扫描时,风险再次显示。怎么可能连服务器防火墙也没有显示记录。 我有点困惑这是怎么发生的。
【问题讨论】:
我已经在 Azure sql 服务器上设置了 Azure ATP,并从服务器中删除了所有防火墙设置。然而,在那之后,当我运行漏洞评估时,它删除了“服务器级防火墙规则应该被跟踪并保持在严格的最低限度”,这是高风险的。但是,当我从数据库视图(而不是从服务器视图)添加防火墙设置并运行漏洞评估扫描时,风险再次显示。怎么可能连服务器防火墙也没有显示记录。 我有点困惑这是怎么发生的。
【问题讨论】:
如果我理解正确,您是在 Azure 门户的数据库刀片中单击“设置服务器防火墙”按钮。正确的?如果是这样,这确实会设置服务器防火墙规则,因此它会被 VA2065 标记。无法通过 Azure 门户访问数据库级防火墙规则。你可以阅读更多关于这个here的信息。
请注意,VA2065 失败并不一定意味着您应该完全关闭服务器级防火墙。相反,您应该评估结果(单击失败的检查)并确保防火墙中的规则是正确的。如果他们是 - 将其设置为您的基线。现在再次扫描数据库,VA2065 将“通过基线”。只有对服务器防火墙规则的后续更改(与设置的基线不匹配)才会导致失败。
【讨论】:
我也遇到了同样的问题。您获得此“漏洞评估” 的原因是因为 “高级数据安全” 在您的 sql 服务器上开启。评估非常严格,也有成本。这个评估的目的是让您考虑安全问题,甚至是“基本的东西”,比如是否应该允许所有 azure 实例连接到您的数据库?
这就是“AllowAllWindowsAzureIps”的全部意义,作为数据库管理员,您是否允许 Azure 中的其他实例连接到此 SQL Server 和数据库?
VA2065 - 应严格跟踪和维护服务器级防火墙规则
如果答案是肯定的......并且 是 是最合乎逻辑的选择,那么解决这个问题的方法是通过按来允许给定服务器的“AllowAllWindowsAzureIps”按钮 “Approve as Baseline” 将告诉服务器可以继续使用“AllowAllWindowsAzureIps”。
【讨论】: