【问题标题】:AZURE SQL DB Vulnerability Assessment mark High risk after Database fire wall setupAZURE SQL DB 漏洞评估标记数据库防火墙设置后的高风险
【发布时间】:2019-05-05 07:09:32
【问题描述】:

我已经在 Azure sql 服务器上设置了 Azure ATP,并从服务器中删除了所有防火墙设置。然而,在那之后,当我运行漏洞评估时,它删除了“服务器级防火墙规则应该被跟踪并保持在严格的最低限度”,这是高风险的。但是,当我从数据库视图(而不是从服务器视图)添加防火墙设置并运行漏洞评估扫描时,风险再次显示。怎么可能连服务器防火墙也没有显示记录。 我有点困惑这是怎么发生的。

【问题讨论】:

    标签: azure azure-sql-database


    【解决方案1】:

    如果我理解正确,您是在 Azure 门户的数据库刀片中单击“设置服务器防火墙”按钮。正确的?如果是这样,这确实会设置服务器防火墙规则,因此它会被 VA2065 标记。无法通过 Azure 门户访问数据库级防火墙规则。你可以阅读更多关于这个here的信息。

    请注意,VA2065 失败并不一定意味着您应该完全关闭服务器级防火墙。相反,您应该评估结果(单击失败的检查)并确保防火墙中的规则是正确的。如果他们是 - 将其设置为您的基线。现在再次扫描数据库,VA2065 将“通过基线”。只有对服务器防火墙规则的后续更改(与设置的基线不匹配)才会导致失败。

    【讨论】:

      【解决方案2】:

      我也遇到了同样的问题。您获得此“漏洞评估” 的原因是因为 “高级数据安全” 在您的 sql 服务器上开启。评估非常严格,也有成本。这个评估的目的是让您考虑安全问题,甚至是“基本的东西”,比如是否应该允许所有 azure 实例连接到您的数据库?

      这就是“AllowAllWindowsAzureIps”的全部意义,作为数据库管理员,您是否允许 Azure 中的其他实例连接到此 SQL Server 和数据库?

      VA2065 - 应严格跟踪和维护服务器级防火墙规则

      • 防火墙规则名称:AllowAllWindowsAzureIps
      • 起始地址:0.0.0.0
      • 结束地址:0.0.0.0

      如果答案是肯定的......并且 是最合乎逻辑的选择,那么解决这个问题的方法是通过按来允许给定服务器的“AllowAllWindowsAzureIps”按钮 “Approve as Baseline” 将告诉服务器可以继续使用“AllowAllWindowsAzureIps”。

      【讨论】:

        猜你喜欢
        • 2021-10-29
        • 1970-01-01
        • 2021-02-25
        • 2021-01-11
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多