你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 数据库安全性清单

为了帮助提高安全性，Azure 数据库包括许多可用于限制和控制访问的内置安全控制。

安全控制包括：

• 防火墙，可用于创建防火墙规则，以便根据IP 地址限制连接，
• 可从 Azure 门户访问的服务器级防火墙
• 可从 SSMS 访问的数据库级防火墙规则
• 使用安全连接字符串保护数据库连接
• 使用访问管理
• 数据加密
• SQL 数据库审核
• SQL 数据库威胁检测

简介

云计算需使用许多应用程序用户、数据库管理员和程序员不熟悉的新安全范例。 由于这个原因，一些组织对于是否要出于安全风险因素实现云基础结构以进行数据管理犹豫不决。 但是，通过更好地了解 Microsoft Azure 和 Microsoft Azure SQL 数据库中内置的安全功能，可极大减缓这方面的担忧。

清单

查看此清单之前，建议阅读 Azure 数据库安全性最佳做法一文。 在了解最佳做法后，便能够充分利用此清单。 然后，可使用此清单确保解决重要的 Azure 数据库安全性问题。

清单类别	说明
保护数据
动态加密/传输中加密	传输层安全性，用于数据移动到网络时的数据加密。 数据库要求来自于客户端的通信是基于 TDS（表格格式数据流）协议、通过 TLS（传输层安全性）实现的安全通信。
静态加密	透明数据加密，适用于非活动数据以任何数字形式和物理方式存储时的情况。
控制访问
数据库访问	身份验证（Microsoft Entra 身份验证）AD 身份验证使用由 Microsoft Entra ID 管理的标识。 授权，授予用户必需的最低权限。
应用程序访问	行级别安全性（使用安全策略，同时基于用户的标识、角色或执行上下文来限制行级别访问）。 动态数据掩码（使用“权限和策略”，通过对非特权用户模糊化敏感数据来限制此类数据的泄露）
主动监视
跟踪和检测	审核跟踪数据库事件，并将事件写入 Azure 存储帐户中的审核日志/活动日志。 使用 Azure Monitor 活动日志跟踪 Azure 数据库运行状况。 威胁检测会检测异常的数据库活动，指出数据库有潜在的安全威胁。
Microsoft Defender for Cloud	数据监视，使用 Microsoft Defender for Cloud 作为 SQL 和其他 Azure 服务的集中式安全监视解决方案。

结论

Azure 数据库是一个可靠的数据库平台，提供满足众多组织要求与合规要求的整套安全功能。 通过控制对数据的物理访问，结合透明数据加密、单元格级加密或行级别安全性使用各种文件级、列级或行级数据安全选项，可轻松保护数据。 此外，Always Encrypted 支持针对加密的数据执行操作，简化应用程序更新的过程。 反过来，访问 SQL 数据库活动的审核日志可以提供所需的信息来帮助自己了解何时以何种方法访问了数据。

后续步骤

只需几个简单的步骤，即可大大提升数据库抵御恶意用户或未经授权的访问的能力。 本教程介绍以下内容：

• 为服务器和/或数据库设置防火墙规则。
• 通过加密保护数据。
• 启用 SQL 数据库审核。