AZURE SQL DB漏洞评估标记设置数据库防火墙后的高风险

时间:2018-12-03 22:45:39

标签: azure azure-sql-database

enter image description here

我已经在Azure sql服务器上设置了Azure ATP,并从服务器上删除了所有防火墙设置。但是,在此之后,当我进行漏洞评估时,它删除了“应跟踪并严格将服务器级防火墙规则保持在最低限度”,这是高风险的。但是,当我从数据库视图(而不是从服务器视图)添加防火墙设置并运行漏洞评估扫描时,风险再次显示在上方。即使服务器防火墙也可能不显示该记录。 我对此感到有些困惑。

2 个答案:

答案 0 :(得分:0)

如果我正确理解,您将在Azure门户的数据库刀片中单击“设置服务器防火墙”按钮。正确?如果是这样,这确实会设置服务器防火墙规则,因此VA2065将对其进行标记。无法通过Azure门户访问数据库级别的防火墙规则。您可以了解有关此here的更多信息。

请注意,VA2065发生故障的事实并不一定意味着您应该完全关闭服务器级防火墙。相反,您应该评估结果(单击失败的检查),并确保防火墙中的规则正确。如果是-将其设置为基准。现在再次扫描数据库,VA2065将“通过基准”。只有随后更改服务器的防火墙规则(与设置的基线不匹配)才会导致失败。

答案 1 :(得分:0)

我遇到了同样的问题。收到此“漏洞评估” 的原因是,您的sql服务器上的“高级数据安全性” ON 。评估非常严格,并且也要付出代价。这项评估的目的是让您甚至甚至应该考虑所有“天蓝色的”实例都可以连接到数据库的“基本问题”等安全问题?

这就是“ AllowAllWindowsAzureIps”的全部内容,您是否愿意作为数据库Azure管理员允许Azure中的其他实例连接到此SQL Server和数据库?

VA2065-服务器级防火墙规则应严格跟踪并保持在最低水平

  • 防火墙规则名称:AllowAllWindowsAzureIps
  • 起始地址:0.0.0.0
  • 结束地址:0.0.0.0

如果答案是肯定的,而是最合乎逻辑的选择,那么解决此问题的方法是通过按下指定的服务器允许“ AllowAllWindowsAzureIps”按钮“批准为基准” ,它将告诉服务器可以继续进行“ AllowAllWindowsAzureIps”。