Azure 資料庫安全性檢查清單

為了協助改善安全性，Azure 資料庫包含許多內建的安全性控件，可用來限制和控制存取。

安全性控制包括：

• 一個防火牆，可讓您建立 防火牆規則 ，以限制IP位址的連線能力，
• 伺服器層級防火牆可從 Azure 入口網站 存取
• 可從 SSMS 存取的資料庫層級防火牆規則
• 使用安全 連接字串 保護資料庫的連線
• 使用存取管理
• 資料加密
• SQL Database 稽核
• SQL 資料庫 威脅偵測

簡介

雲端運算需要不熟悉許多應用程式使用者、資料庫管理員和程式設計人員的新安全性範例。 因此，某些組織因察覺到的安全性風險而猶豫不決地實作雲端基礎結構以進行數據管理。 不過，透過進一步瞭解 Microsoft Azure 和 Microsoft Azure SQL 資料庫 內建的安全性功能，可以減輕大部分問題。

檢查清單

建議您先閱讀 Azure 資料庫安全性最佳做法 一文，再檢閱此檢查清單。 瞭解最佳做法之後，您將能夠充分利用此檢查清單。 然後，您可以使用此檢查清單，確定您已解決 Azure 資料庫安全性中的重要問題。

檢查清單類別	描述
保護數據
動作/傳輸中的加密	傳輸層安全性，用於數據移至網路時的數據加密。 資料庫需要根據 TDS（表格式數據流）通訊協定，透過 TLS（傳輸層安全性） 從客戶端進行安全通訊。
待用加密	透明資料加密，當非使用中數據以任何數位形式實際儲存時。
控制存取
資料庫存取	驗證 （Microsoft Entra 驗證） AD 驗證會使用由 Microsoft Entra ID 管理的身分識別。 授權 會授與使用者所需的最低許可權。
應用程式存取	數據列層級安全性（使用安全 策略，同時根據使用者的身分識別、角色或執行內容限制數據列層級存取）。 動態數據遮罩 （使用權限和原則，藉由遮罩敏感數據給非特殊許可權使用者來限制敏感數據暴露）
主動式監視
追蹤和偵測	稽核會追蹤資料庫事件，並將其寫入 Azure 儲存體 帳戶中的稽核記錄/活動記錄。 使用 Azure 監視器活動記錄來追蹤 Azure 資料庫健康情況。 威脅偵測 會偵測指出資料庫潛在安全性威脅的異常資料庫活動。
適用於雲端的 Microsoft Defender	數據監視 使用 適用於雲端的 Microsoft Defender 作為 SQL 和其他 Azure 服務的集中式安全性監視解決方案。

推論

Azure 資料庫是健全的資料庫平臺，具有符合許多組織和法規合規性需求的完整安全性功能。 您可以藉由控制數據的實體存取，以及透過 透明資料加密、數據格層級加密或數據列層級安全性使用各種數據安全性選項，輕鬆保護數據。 Always Encrypted 也可針對加密的數據啟用作業，以簡化應用程式更新的程式。 接著，存取 SQL 資料庫 活動的稽核記錄可提供您所需的資訊，讓您知道存取數據的方式和時間。

下一步

您可以透過幾個簡單的步驟，改善資料庫的保護，以防止惡意使用者或未經授權的存取。 在本教學課程中，您將瞭解如何：

• 為您的伺服器和或資料庫設定 防火牆規則 。
• 使用 加密保護您的數據。
• 啟用 SQL 資料庫 稽核。