Azure SQL veritabanı ve SQL yönetilen örnek güvenlik özelliklerine genel bakışAn overview of Azure SQL Database and SQL Managed Instance security capabilities

Uygulama hedefi: Azure SQL veritabanı Azure SQL yönetilen örneği Azure SYNAPSE Analytics

Bu makalede, Azure SQL veritabanı, Azure SQL yönetilen örneğive Azure SYNAPSE Analyticskullanarak bir uygulamanın veri katmanını güvenli hale getirmenin temelleri özetlenmektedir.This article outlines the basics of securing the data tier of an application using Azure SQL Database, Azure SQL Managed Instance, and Azure Synapse Analytics. Açıklanan güvenlik stratejisi aşağıdaki resimde gösterildiği gibi katmanlı derinlemesine savunma yaklaşımını takip eder ve dışarıdan şu şekilde gider:The security strategy described follows the layered defense-in-depth approach as shown in the picture below, and moves from the outside in:

Katmanlı derinlemesine savunma diyagramı.

Ağ güvenliğiNetwork security

Microsoft Azure SQL Veritabanı, SQL yönetilen örneği ve Azure SYNAPSE Analytics, bulut ve kurumsal uygulamalar için bir ilişkisel veritabanı hizmeti sağlar.Microsoft Azure SQL Database, SQL Managed Instance, and Azure Synapse Analytics provide a relational database service for cloud and enterprise applications. Güvenlik duvarları, müşteri verilerini korumaya yardımcı olmak için, IP adresine veya Azure sanal ağ trafiği kaynağına dayalı olarak erişim izni verilene kadar sunucuya ağ erişimini engeller.To help protect customer data, firewalls prevent network access to the server until access is explicitly granted based on IP address or Azure Virtual network traffic origin.

IP güvenlik duvarı kurallarıIP firewall rules

IP güvenlik duvarı kuralları, her isteğin kaynak IP adresine göre veritabanlarına erişim izni verir.IP firewall rules grant access to databases based on the originating IP address of each request. Daha fazla bilgi için bkz. Azure SQL veritabanı ve Azure SYNAPSE Analytics güvenlik duvarı kurallarına genel bakış.For more information, see Overview of Azure SQL Database and Azure Synapse Analytics firewall rules.

Sanal ağ güvenlik duvarı kurallarıVirtual network firewall rules

Sanal ağ hizmeti uç noktaları , sanal ağ bağlantınızı Azure omurgası üzerinden genişlettirecektir ve trafiğin kaynaklandığı sanal ağ alt ağını belirlemek IÇIN Azure SQL veritabanı 'nı etkinleştirin.Virtual network service endpoints extend your virtual network connectivity over the Azure backbone and enable Azure SQL Database to identify the virtual network subnet that traffic originates from. Trafiğin Azure SQL veritabanına ulaşmasını sağlamak için, ağ güvenlik grupları aracılığıyla giden trafiğe izin vermek üzere SQL hizmeti etiketlerini kullanın.To allow traffic to reach Azure SQL Database, use the SQL service tags to allow outbound traffic through Network Security Groups.

Sanal ağ kuralları , Azure SQL veritabanı 'nın yalnızca bir sanal ağ içindeki seçili alt ağlardan gönderilen iletişimleri kabul etmesine olanak tanır.Virtual network rules enable Azure SQL Database to only accept communications that are sent from selected subnets inside a virtual network.

Not

Güvenlik Duvarı kurallarıyla erişimi denetlemek SQL yönetilen örneği için geçerlidir.Controlling access with firewall rules does not apply to SQL Managed Instance. Gereken ağ yapılandırması hakkında daha fazla bilgi için bkz. yönetilen örneğe bağlanmaFor more information about the networking configuration needed, see Connecting to a managed instance

Erişim yönetimiAccess management

Önemli

Azure 'daki veritabanlarını ve sunucuları yönetmek, Portal Kullanıcı hesabınızın rol atamaları tarafından denetlenir.Managing databases and servers within Azure is controlled by your portal user account's role assignments. Bu makale hakkında daha fazla bilgi için Azure Portal Azure rol tabanlı erişim denetimibölümüne bakın.For more information on this article, see Azure role-based access control in the Azure portal.

Kimlik DoğrulamasıAuthentication

Kimlik doğrulama, kullanıcının talep ettikleri kim olduğunu kanıtlama işlemidir.Authentication is the process of proving the user is who they claim to be. Azure SQL veritabanı ve SQL yönetilen örneği iki tür kimlik doğrulamasını destekler:Azure SQL Database and SQL Managed Instance support two types of authentication:

  • SQL kimlik doğrulaması:SQL authentication:

    SQL kimlik doğrulaması, Kullanıcı adı ve parola kullanarak Azure SQL veritabanı veya Azure SQL yönetilen örneği ile bağlantı kurulurken bir kullanıcının kimlik doğrulamasını ifade eder.SQL authentication refers to the authentication of a user when connecting to Azure SQL Database or Azure SQL Managed Instance using username and password. Sunucu oluşturulurken Kullanıcı adı ve parola ile Sunucu Yöneticisi oturum açma belirtilmelidir.A server admin login with a username and password must be specified when the server is being created. Bu kimlik bilgilerini kullanarak Sunucu Yöneticisi , veritabanı sahibi olarak bu sunucu veya örnekteki herhangi bir veritabanında kimlik doğrulaması yapabilir.Using these credentials, a server admin can authenticate to any database on that server or instance as the database owner. Bundan sonra, ek SQL oturum açmaları ve kullanıcılar, kullanıcıların Kullanıcı adı ve parola kullanarak bağlanmasına olanak tanıyan Sunucu Yöneticisi tarafından oluşturulabilir.After that, additional SQL logins and users can be created by the server admin, which enable users to connect using username and password.

  • Azure Active Directory kimlik doğrulaması:Azure Active Directory authentication:

    Azure Active Directory kimlik doğrulaması, Azure SQL veritabanı, Azure SQL yönetilen örneği ve Azure SYNAPSE ANALYTICS 'e Azure Active Directory (Azure AD) kimlikleri kullanılarak bağlanma mekanizmasıdır.Azure Active Directory authentication is a mechanism of connecting to Azure SQL Database, Azure SQL Managed Instance and Azure Synapse Analytics by using identities in Azure Active Directory (Azure AD). Azure AD kimlik doğrulaması, yöneticilerin diğer Azure hizmetleriyle birlikte veritabanı kullanıcılarının kimliklerini ve izinlerini tek bir merkezi konumda merkezi olarak yönetmesine olanak tanır.Azure AD authentication allows administrators to centrally manage the identities and permissions of database users along with other Azure services in one central location. Bu, parola depolamanın en az düzeyde bir kısmını içerir ve merkezi parola döndürme ilkelerini sunar.This includes the minimization of password storage and enables centralized password rotation policies.

    SQL veritabanı ile Azure AD kimlik doğrulamasını kullanmak için Active Directory Yöneticisi olarak adlandırılan bir sunucu yöneticisi oluşturulmalıdır.A server admin called the Active Directory administrator must be created to use Azure AD authentication with SQL Database. Daha fazla bilgi için bkz. Azure Active Directory kimlik doğrulaması kullanarak SQL veritabanı 'Na bağlanma.For more information, see Connecting to SQL Database By Using Azure Active Directory Authentication. Azure AD kimlik doğrulaması hem yönetilen hem de Federasyon hesaplarını destekler.Azure AD authentication supports both managed and federated accounts. Federasyon hesapları, Azure AD ile federe bir müşteri etki alanı için Windows kullanıcılarını ve gruplarını destekler.The federated accounts support Windows users and groups for a customer domain federated with Azure AD.

    Kullanılabilir ek Azure AD kimlik doğrulama seçenekleri Multi-Factor Authentication ve koşullu erişimdahil SQL Server Management Studio bağlantılar için evrensel kimlik doğrulaması Active Directory .Additional Azure AD authentication options available are Active Directory Universal Authentication for SQL Server Management Studio connections including Multi-Factor Authentication and Conditional Access.

Önemli

Azure 'daki veritabanlarını ve sunucuları yönetmek, Portal Kullanıcı hesabınızın rol atamaları tarafından denetlenir.Managing databases and servers within Azure is controlled by your portal user account's role assignments. Bu makale hakkında daha fazla bilgi için, bkz. Azure Portal Azure rol tabanlı erişim denetimi.For more information on this article, see Azure role-based access control in Azure portal. Güvenlik Duvarı kurallarıyla erişimi denetlemek SQL yönetilen örneği için geçerlidir.Controlling access with firewall rules does not apply to SQL Managed Instance. Gereken ağ yapılandırması hakkında daha fazla bilgi için lütfen yönetilen bir örneğe bağlanma hakkında aşağıdaki makaleye bakın.Please see the following article on connecting to a managed instance for more information about the networking configuration needed.

YetkilendirmeAuthorization

Yetkilendirme, Azure SQL veritabanı veya Azure SQL yönetilen örneği içindeki bir veritabanı içindeki bir kullanıcıya atanan izinlere başvurur ve kullanıcının ne yapmasına izin verileceğini belirler.Authorization refers to the permissions assigned to a user within a database in Azure SQL Database or Azure SQL Managed Instance, and determines what the user is allowed to do. İzinler, veritabanı rollerine Kullanıcı hesapları eklenerek ve bu rollere veritabanı düzeyi izinleri atanarak veya kullanıcıya belirli nesne düzeyi izinleriverilerek denetlenir.Permissions are controlled by adding user accounts to database roles and assigning database-level permissions to those roles or by granting the user certain object-level permissions. Daha fazla bilgi için bkz. oturum açma ve kullanıcılarFor more information, see Logins and users

En iyi uygulama olarak, gerektiğinde özel roller oluşturun.As a best practice, create custom roles when needed. Kullanıcıları, iş işlevlerini yapmak için gereken en düşük ayrıcalıklara sahip olan role ekleyin.Add users to the role with the least privileges required to do their job function. İzinleri doğrudan kullanıcılara atamayın.Do not assign permissions directly to users. Sunucu Yöneticisi hesabı, kapsamlı izinlere sahip ve yalnızca yönetim görevleri olan birkaç kullanıcıya verilmesi gereken yerleşik db_owner rolünün bir üyesidir.The server admin account is a member of the built-in db_owner role, which has extensive permissions and should only be granted to few users with administrative duties. Uygulamalar için, çağrılan modülün Yürütme bağlamını belirtmek için execute as kullanın veya sınırlı Izinlerle uygulama rollerini kullanın.For applications, use the EXECUTE AS to specify the execution context of the called module or use Application Roles with limited permissions. Bu uygulama, veritabanına bağlanan uygulamanın uygulama için gereken en düşük ayrıcalıklara sahip olmasını sağlar.This practice ensures that the application that connects to the database has the least privileges needed by the application. Bu en iyi uygulamaları takip etmek, görevlerin ayrılmasını de çok daha da fazla.Following these best practices also fosters separation of duties.

Satır düzeyinde güvenlikRow-level security

Row-Level güvenliği, müşterilerin bir veritabanı tablosundaki satırlara erişimi, sorguyu yürüten kullanıcının özelliklerine göre denetlemesini sağlar (örneğin, Grup üyeliği veya yürütme bağlamı).Row-Level Security enables customers to control access to rows in a database table based on the characteristics of the user executing a query (for example, group membership or execution context). Row-Level güvenliği, özel etiket tabanlı güvenlik kavramlarını uygulamak için de kullanılabilir.Row-Level Security can also be used to implement custom Label-based security concepts. Daha fazla bilgi için bkz. satır düzeyi güvenlik.For more information, see Row-Level security.

Bir SQL veritabanının bir istemci uygulaması aracılığıyla Row-Level Security kalkan bireysel satırlarının kullanıcılara erişmesini gösteren diyagram.

Tehdit korumasıThreat protection

Denetim ve tehdit algılama özellikleri sağlayarak SQL veritabanı ve SQL yönetilen örnek güvenli müşteri verileri.SQL Database and SQL Managed Instance secure customer data by providing auditing and threat detection capabilities.

Azure Izleyici günlüklerinde ve Event Hubs SQL denetimiSQL auditing in Azure Monitor logs and Event Hubs

SQL veritabanı ve SQL yönetilen örnek denetimi, veritabanı etkinliklerini müşterinin sahip olduğu bir Azure depolama hesabındaki bir denetim günlüğüne kaydederek güvenlik standartlarıyla uyumluluğu sürdürmenize yardımcı olur.SQL Database and SQL Managed Instance auditing tracks database activities and helps maintain compliance with security standards by recording database events to an audit log in a customer-owned Azure storage account. Denetim, kullanıcıların devam eden veritabanı etkinliklerini izlemelerine ve olası tehditleri ve şüpheli kötüye kullanımı ve güvenlik ihlallerini belirlemek üzere geçmiş etkinliğini çözümleyip araştırmalarını sağlar.Auditing allows users to monitor ongoing database activities, as well as analyze and investigate historical activity to identify potential threats or suspected abuse and security violations. Daha fazla bilgi için bkz. SQL veritabanı denetiminikullanmaya başlama.For more information, see Get started with SQL Database Auditing.

Gelişmiş Tehdit KorumasıAdvanced Threat Protection

Gelişmiş tehdit koruması, olağan dışı davranışları ve veritabanlarına erişme ya da yararlanmaya yönelik olabilecek olası girişimleri algılamak için günlüklerinizi analiz etmeyi sağlar.Advanced Threat Protection is analyzing your logs to detect unusual behavior and potentially harmful attempts to access or exploit databases. SQL ekleme, olası veri girişi ve deneme yanılma saldırıları gibi şüpheli etkinlikler için uyarılar oluşturulur ve erişim desenlerine yönelik olarak ayrıcalık yürüyen istekleri ve ihlal edilen kimlik bilgileri kullanımını yakalayın.Alerts are created for suspicious activities such as SQL injection, potential data infiltration, and brute force attacks or for anomalies in access patterns to catch privilege escalations and breached credentials use. Uyarılar, şüpheli etkinliklerin ayrıntılarının sağlandığı ve tehdidi hafifletmek için eylemlerle birlikte daha fazla araştırma önerileri sunan Azure Güvenlik Merkezi' nden görüntülenir.Alerts are viewed from the Azure Security Center, where the details of the suspicious activities are provided and recommendations for further investigation given along with actions to mitigate the threat. Gelişmiş tehdit koruması, sunucu başına ek bir ücret karşılığında etkinleştirilebilir.Advanced Threat Protection can be enabled per server for an additional fee. Daha fazla bilgi için bkz. SQL veritabanı Gelişmiş tehdit koruması ile çalışmaya başlama.For more information, see Get started with SQL Database Advanced Threat Protection.

Dış saldırgandan veya kötü amaçlı bir Insider 'dan bir Web uygulaması için SQL veritabanına SQL veritabanı izleme erişimini gösteren diyagram.

Bilgi koruması ve şifrelemeInformation protection and encryption

Aktarım Katmanı Güvenliği (iletim içi şifreleme)Transport Layer Security (Encryption-in-transit)

Aktarım Katmanı Güvenliği (TLS)ile hareket halindeki VERILERI şifreleyerek SQL VERITABANı, SQL yönetilen örneği ve Azure SYNAPSE Analytics güvenli müşteri verileri.SQL Database, SQL Managed Instance, and Azure Synapse Analytics secure customer data by encrypting data in motion with Transport Layer Security (TLS).

SQL veritabanı, SQL yönetilen örneği ve Azure SYNAPSE Analytics, tüm bağlantılar için her zaman şifreleme (SSL/TLS) uygular.SQL Database, SQL Managed Instance, and Azure Synapse Analytics enforce encryption (SSL/TLS) at all times for all connections. Bu, bağlantı dizesinde şifreleme veya TrustServerCertificate ayarından bağımsız olarak, tüm verilerin istemci ve sunucu arasında "geçişte" şifrelendiğinden emin olmanızı sağlar.This ensures all data is encrypted "in transit" between the client and server irrespective of the setting of Encrypt or TrustServerCertificate in the connection string.

En iyi yöntem olarak, uygulama tarafından kullanılan bağlantı dizesinde, şifreli bir bağlantı belirtmeniz ve sunucu sertifikasına güvenmemeniz önerilir.As a best practice, recommend that in the connection string used by the application, you specify an encrypted connection and not trust the server certificate. Bu, uygulamanızı sunucu sertifikasını doğrulamaya zorlar ve böylece uygulamanızın ortadaki tür saldırılarına karşı savunmasız kalmasına engel olur.This forces your application to verify the server certificate and thus prevents your application from being vulnerable to man in the middle type attacks.

Örneğin, ADO.NET sürücüsünü kullanırken bu, encrypt = true ve TrustServerCertificate = false aracılığıyla gerçekleştirilir.For example when using the ADO.NET driver this is accomplished via Encrypt=True and TrustServerCertificate=False. Bağlantı dizenizi Azure portal elde ediyorsanız, doğru ayarlara sahip olur.If you obtain your connection string from the Azure portal, it will have the correct settings.

Önemli

Bazı Microsoft dışı sürücülerin, çalışması için varsayılan olarak TLS veya daha eski bir TLS sürümünü (<1,2) kullanabileceğini unutmayın.Note that some non-Microsoft drivers may not use TLS by default or rely on an older version of TLS (<1.2) in order to function. Bu durumda sunucu yine de veritabanınıza bağlanmanızı sağlar.In this case the server still allows you to connect to your database. Ancak, özellikle hassas verileri depoluiyorsanız, bu tür sürücülere ve uygulamanın SQL veritabanına bağlanmasına izin vermenin güvenlik risklerini değerlendirmenizi öneririz.However, we recommend that you evaluate the security risks of allowing such drivers and application to connect to SQL Database, especially if you store sensitive data.

TLS ve bağlantı hakkında daha fazla bilgi için bkz. TLS konularıFor further information about TLS and connectivity, see TLS considerations

Saydam Veri Şifrelemesi (bekleyen şifreleme)Transparent Data Encryption (Encryption-at-rest)

SQL veritabanı, SQL yönetilen örneği ve Azure SYNAPSE Analytics Için saydam veri şifrelemesi (TDE), bekleyen verilerin ham dosyalara veya yedeklemelere izinsiz veya çevrimdışı erişimden korunmasına yardımcı olmak için bir güvenlik katmanı ekler.Transparent data encryption (TDE) for SQL Database, SQL Managed Instance, and Azure Synapse Analytics adds a layer of security to help protect data at rest from unauthorized or offline access to raw files or backups. Yaygın senaryolar, veri merkezi hırsızlığı veya disk sürücüleri ve yedekleme bantları gibi donanım veya ortamların güvenli bir şekilde çıkarılması içerir.Common scenarios include data center theft or unsecured disposal of hardware or media such as disk drives and backup tapes.TDE, uygulama geliştiricilerinin mevcut uygulamalarda herhangi bir değişiklik yapmasını gerektirmeyen bir AES şifreleme algoritması kullanarak tüm veritabanını şifreler. TDE encrypts the entire database using an AES encryption algorithm, which doesn't require application developers to make any changes to existing applications.

Azure 'da, yeni oluşturulan tüm veritabanları varsayılan olarak şifrelenir ve veritabanı şifreleme anahtarı yerleşik bir sunucu sertifikası tarafından korunur.In Azure, all newly created databases are encrypted by default and the database encryption key is protected by a built-in server certificate. Sertifika bakımı ve döndürme, hizmet tarafından yönetilir ve kullanıcıdan giriş gerektirmez.Certificate maintenance and rotation are managed by the service and require no input from the user. Şifreleme anahtarlarının denetimini almayı tercih eden müşteriler Azure Key Vaultanahtarlarını yönetebilir.Customers who prefer to take control of the encryption keys can manage the keys in Azure Key Vault.

Azure Key Vault ile anahtar yönetimiKey management with Azure Key Vault

Kendi anahtarını getir (byok) Saydam veri şifrelemesi (tde) desteği, müşterilerin Azure 'un bulut tabanlı dış anahtar yönetim sistemini Azure Key Vaultkullanarak anahtar yönetiminin ve döndürmenin sahipliğini almasına olanak tanır.Bring Your Own Key (BYOK) support for Transparent Data Encryption (TDE) allows customers to take ownership of key management and rotation using Azure Key Vault, Azure's cloud-based external key management system. Veritabanının anahtar kasasına erişimi iptal edildiğinde, bir veritabanının şifresi çözülemez ve belleğe okunamaz.If the database's access to the key vault is revoked, a database cannot be decrypted and read into memory. Azure Key Vault, merkezi bir temel yönetim platformu sağlar, sıkı izlenen donanım güvenlik modüllerini (HSM 'ler) kullanır ve güvenlik uyumluluk gereksinimlerini karşılamaya yardımcı olmak için anahtar ve veri yönetimi arasında görev ayrımı sağlar.Azure Key Vault provides a central key management platform, leverages tightly monitored hardware security modules (HSMs), and enables separation of duties between management of keys and data to help meet security compliance requirements.

Always Encrypted (kullanımda olan şifreleme)Always Encrypted (Encryption-in-use)

Always Encrypted özelliğinin temellerini gösteren diyagram.

Always Encrypted , belirli veritabanı sütunlarında depolanan hassas verileri erişimden korumak için tasarlanmış bir özelliktir (örneğin, kredi kartı numaraları, ulusal kimlik numaraları veya tek yapmanız gereken veriler).Always Encrypted is a feature designed to protect sensitive data stored in specific database columns from access (for example, credit card numbers, national identification numbers, or data on a need to know basis). Bu, veritabanı yöneticilerini veya yönetim görevlerini gerçekleştirmek üzere veritabanına erişim yetkisi olan diğer ayrıcalıklı kullanıcıları içerir, ancak şifrelenmiş sütunlardaki belirli verilere erişmesi gereken iş gerektirmez.This includes database administrators or other privileged users who are authorized to access the database to perform management tasks, but have no business need to access the particular data in the encrypted columns. Veriler her zaman şifrelenir. Bu, şifrelenmiş verilerin yalnızca şifreleme anahtarına erişimi olan istemci uygulamaları tarafından işlenmek üzere şifresinin çözülmesi anlamına gelir.The data is always encrypted, which means the encrypted data is decrypted only for processing by client applications with access to the encryption key. Şifreleme anahtarı hiçbir şekilde SQL veritabanı veya SQL yönetilen örneği için gösterilmez ve Windows sertifika deposunda veya Azure Key Vaultdepolanabilir.The encryption key is never exposed to SQL Database or SQL Managed Instance and can be stored either in the Windows Certificate Store or in Azure Key Vault.

Dinamik veri maskelemeDynamic data masking

Dinamik veri maskeleme gösteren diyagram.

Dinamik veri maskeleme, hassas verilerin görünürlüğünü ayrıcalık sahibi olmayan kullanıcılardan gizler.Dynamic data masking limits sensitive data exposure by masking it to non-privileged users. Dinamik veri maskeleme, Azure SQL veritabanı ve SQL yönetilen örneği 'nde potansiyel olarak hassas verileri otomatik olarak bulur ve uygulama katmanında en az etkiyle bu alanları maskelemek için eylem yapılabilir öneriler sağlar.Dynamic data masking automatically discovers potentially sensitive data in Azure SQL Database and SQL Managed Instance and provides actionable recommendations to mask these fields, with minimal impact to the application layer. Bu özellik, hassas verileri belirlenen veritabanı alanlarına yapılan sorgunun sonuç kümesinde karartır ancak veritabanındaki veriler değişmez.It works by obfuscating the sensitive data in the result set of a query over designated database fields, while the data in the database is not changed. Daha fazla bilgi için bkz. SQL veritabanı ve SQL yönetilen örnek dinamik veri maskeleme 'yi kullanmaya başlama.For more information, see Get started with SQL Database and SQL Managed Instance dynamic data masking.

Güvenlik yönetimiSecurity management

Güvenlik açığı değerlendirmesiVulnerability assessment

Güvenlik açığı değerlendirmesi , genel veritabanı güvenliğini önceden iyileştirmek amacıyla hedefe yönelik olası veritabanı güvenlik açıklarını keşfettirecek, izleyebilen ve düzeltmeye yardımcı olabilecek bir hizmeti kolayca yapılandırabilir.Vulnerability assessment is an easy to configure service that can discover, track, and help remediate potential database vulnerabilities with the goal to proactively improve overall database security. Güvenlik açığı değerlendirmesi (VA), gelişmiş SQL güvenlik özelliklerine yönelik Birleşik bir paket olan SQL teklifi için Azure Defender 'ın bir parçasıdır.Vulnerability assessment (VA) is part of the Azure Defender for SQL offering, which is a unified package for advanced SQL security capabilities. Güvenlik açığı değerlendirmesi, SQL Portal için merkezi Azure Defender aracılığıyla erişilebilir ve yönetilebilir.Vulnerability assessment can be accessed and managed via the central Azure Defender for SQL portal.

Veri bulma ve sınıflandırmaData discovery and classification

Veri bulma ve sınıflandırma (Şu anda önizleme aşamasında), veritabanlarınızdaki hassas verileri bulmak, sınıflandırmak, etiketlemek ve korumak için Azure SQL veritabanı ve SQL yönetilen örneği yerleşik olarak bulunan gelişmiş özellikleri sağlar.Data discovery and classification (currently in preview) provides advanced capabilities built into Azure SQL Database and SQL Managed Instance for discovering, classifying, labeling, and protecting the sensitive data in your databases. En önemli verilerinizi bulma ve sınıflandırma (iş/finans, Sağlık Hizmetleri, kişisel veriler vb.), kurumsal bilgi koruma ortamınızda bir özetleme rolü oynayabilir.Discovering and classifying your utmost sensitive data (business/financial, healthcare, personal data, etc.) can play a pivotal role in your organizational Information protection stature. Şunlara altyapı sağlayabilir:It can serve as infrastructure for:

  • Hassas verilere yönelik anormal erişimlerde izleme (denetim) ve uyarı verme gibi çeşitli güvenlik senaryoları.Various security scenarios, such as monitoring (auditing) and alerting on anomalous access to sensitive data.
  • Son derece hassas veriler içeren veritabanlarının güvenliğine erişimi ve güvenliğini sağlamlaştırma.Controlling access to, and hardening the security of, databases containing highly sensitive data.
  • Veri gizliliği standartlarına uymaya ve mevzuat uyumluluğu gereksinimlerini karşılamaya yardımcı olma.Helping meet data privacy standards and regulatory compliance requirements.

Daha fazla bilgi için, bkz. veri bulma ve sınıflandırmayla çalışmaya başlama.For more information, see Get started with data discovery and classification.

UyumlulukCompliance

Uygulamanızın çeşitli güvenlik gereksinimlerini karşılamasına yardımcı olabilecek yukarıdaki özelliklere ve işlevlere ek olarak, Azure SQL veritabanı normal denetim özelliklerine de katılır ve bir dizi uyumluluk standartlarına karşı sertifikalandırilmiştir.In addition to the above features and functionality that can help your application meet various security requirements, Azure SQL Database also participates in regular audits, and has been certified against a number of compliance standards. Daha fazla bilgi için SQL veritabanı uyumluluk sertifikalarının en güncel listesini bulabileceğiniz Microsoft Azure Güven Merkezi ' ne bakın.For more information, see the Microsoft Azure Trust Center where you can find the most current list of SQL Database compliance certifications.

Sonraki adımlarNext steps