O Vulnerability Assessment (VA) primeiramente introduzido no Azure SQL Database e depois entregue na versão do SQL Server Management Server (SSMS) 17.4 é um recurso que pode ajudar a descobrir, rastrear e corrigir potencias vulnerabilidades no seu database.
“To gain the benefits of a Vulnerability Assessment on your database, all you need to do is run a Scan, which will scan your database for vulnerabilities.”
Essa simples frase resume exatamente o que você deve fazer para utilizar esse recurso, nada além disso. Na minha visão o principal motivo para isso é a grande preocupação que a Microsoft está tendo em relação a segurança da informação. O Vulnerability Assessment é de fácil interpretação e principalmente é feito para não especialistas em segurança da informação assim como eu. Com esse recurso eu posso proteger melhor o meu ambiente porem isso pode não ser o suficiente caso a sua empresa tenha uma especialista em segurança e ele te direcione para qual caminho seguir.
Eu acredito que o recurso irá evoluir e iremos ganhar mais facilidades como por exemplo automatização de scan!
Hoje o Vulnerability Assessment faz parte do Advanced Threat Protection for Azure SQL Database.
A única configuração que você precisara fazer é escolher onde irá armazenar o resultado e nesse caso será uma “storage account”
Pronto! Agora basta executar o scan e aguardar pelo resultado.
Pude notar que as validações que estavam em preview foram modificadas na versão General availability (GA). O último preview, que eu utilizei, existiam 77 validações e agora só existem 48. Não sei o motivo porque algumas foram retiradas, mas espero que a lista aumente.
Para cada verificação existem detalhes que trazem informações complementares importantíssimas como por exemplo como remediar (resolver) o problema.
É possível criar uma baseline para cada database e assim você pode customizar o que é importante para seu ambiente. No relatório, o status da regra irá mostrar como aceito por baseline customizada.
Com o GA agora é exportar o resultado para Excel através do botão: Export Scan Results. Dessa maneira você pode ter um relatório offline e distribuir dentro da sua equipe ou até mesmo enviar para outras pessoas.
Com o Scan History é possível ver como estava as vulnerabilidades em cada scan. Isso facilita a auditoria e principalmente podemos ver o progresso das correções. Também é possível exportar para Excel qualquer histórico.
Eu espero que em breve possamos criar nossas próprias validações dando assim flexibilidade para cada cliente customizar com suas necessidades.
A versão do SSMS para on-premise tem as mesmas funcionalidades e é tão simples quanto a versão do Azure SQL Database.
https://www.mssqltips.com/sqlservertip/5297/sql-server-security-vulnerability-assessment-tool-in-ssms-174/
Jan Rokicki escreveu um excelente post falando sobre VA
https://www.datasic.com/post/ssms-va-assessment/
Referencias:
https://azure.microsoft.com/en-us/blog/introducing-sql-vulnerability-assessment-for-azure-sql-database-and-on-premises-sql-server/
https://blogs.technet.microsoft.com/dataplatforminsider/2017/12/11/whats-new-in-ssms-17-4-sql-vulnerability-assessment/
https://docs.microsoft.com/en-us/azure/sql-database/sql-vulnerability-assessment
https://docs.microsoft.com/en-us/sql/relational-databases/security/sql-vulnerability-assessment?view=sql-server-2017
https://docs.microsoft.com/en-us/azure/sql-database/sql-advanced-threat-protection
https://docs.microsoft.com/en-us/azure-advanced-threat-protection/what-is-atp
Tiago Balabuch
Related Posts
Azure SQL Database – Transparent Data Encryption with bring your own key
Transparent Data Encryption (TDE) vem por padrão habilitado quando você cria um novo database no Azure SQL...
Transparent Data Encryption and its tricks
Transparent Data Encryption - TDE não é mais uma novidade, mas...