你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
所有Microsoft Defender for Cloud 功能将于 2026 年 8 月 18 日正式停用在中国 Azure 区域。 由于即将停用,Azure 在中国的客户将无法再将新订阅加入该服务。 尚未在 2025 年 8 月 18 日之前加入 Microsoft Defender for Cloud 服务的订阅,即视为新的订阅;该日期为功能停用的公告日期。 有关停用的详细信息,请参阅由世纪互联运营的 Microsoft Azure 中的 Microsoft Defender for Cloud 弃用公告。
客户应与世纪互联运营的 Microsoft Azure 账户代表合作,评估此停用对其自身运营的影响。
SQL 漏洞评估是一项易于配置的服务,可以发现、跟踪并帮助修正潜在的数据库漏洞。 使用它可主动提高以下项的数据库安全性:
Azure SQL 数据库
Azure SQL 托管实例
Azure Synapse Analytics
漏洞评估是 Microsoft Defender for Azure SQL 的一部分,后者是一个提供高级 SQL 安全功能的统一包。 可以从 Azure 门户中的每个 SQL 数据库资源访问和管理漏洞评估。
注意
Azure SQL 数据库、Azure SQL 托管实例和 Azure Synapse Analytics 支持漏洞评估。 Azure SQL 数据库、Azure SQL 托管实例和 Azure Synapse Analytics 中的数据库统称为本文中的数据库。 服务器是指托管 Azure SQL 数据库和 Azure Synapse 的数据库的服务器。
什么是 SQL 漏洞评估?
SQL 漏洞评估提供数据库安全状态的可见性。 它包括解决安全问题和增强 SQL 安全状况的可作步骤。
漏洞评估是 Azure SQL 中内置的扫描服务。 它使用规则知识库来标记安全漏洞和与最佳做法的偏差,例如配置不当、权限过多和敏感数据不受保护。
这些规则基于 Microsoft 的最佳做法,并专注于对数据库及其重要数据有最大风险的安全问题。 其中涵盖数据库级别的问题以及服务器级别的安全问题,如服务器防火墙设置和服务器级别的权限。
扫描结果包括旨在解决每个问题的可操作步骤,并提供自定义修正脚本(若适用)。 通过设置以下各项的可接受基线,来为环境自定义评估报告:
- 权限配置。
- 功能配置。
- 数据库设置。
配置模型
SQL 漏洞评估支持两种配置模型:
快速配置
在快速配置中,Microsoft Defender for Cloud 管理用于漏洞评估扫描结果的存储。 不需要客户管理的存储帐户。
扫描结果存储在逻辑 SQL Server 所在的同一 Azure 区域中。
Permissions
| 任务 | 必需的角色 |
|---|---|
| 在 Microsoft Defender for Cloud 建议中查看 SQL 漏洞评估结果 | 安全管理员或安全读取者 |
| 更改 SQL 漏洞评估设置 | SQL 安全管理器 |
| 访问资源级扫描结果或自动电子邮件链接 | SQL 安全管理器 |
数据驻留
扫描结果存储在逻辑 SQL Server 所在的同一 Azure 区域中。 仅当启用了 SQL 漏洞评估时,才会收集和存储数据。
经典配置
在经典配置中,扫描结果存储在你配置的客户管理的 Azure 存储帐户中。 可以控制存储帐户的位置、访问模型和复原能力。
Permissions
| 任务 | 必需的角色 |
|---|---|
| 在 Microsoft Defender for Cloud 建议中查看 SQL 漏洞评估结果 | 安全管理员或安全读取者 |
| 更改 SQL 漏洞评估设置 | SQL 安全管理器以及存储 Blob 数据读取者和所有者(在存储帐户上) |
| 访问资源级扫描结果或自动电子邮件链接 | SQL 安全管理器 和 存储 Blob 数据读取器 |
数据驻留
扫描结果存储在配置的 Azure 存储帐户中。 存储帐户的位置决定了数据存储和驻留的位置。
配置模型比较
下表比较了快速配置和经典配置之间的功能和行为差异:
| 参数 | 快速配置 | 经典配置 |
|---|---|---|
| 支持的 SQL 风格 | • Azure SQL 数据库 • Azure Synapse 专用 SQL 池(以前称为 Azure SQL 数据仓库) |
• Azure SQL 数据库 • Azure SQL 托管实例 • Azure Synapse Analytics |
| 支持的策略范围 | • 订阅 • 服务器 |
• 订阅 • 服务器 • 数据库 |
| 依赖项 | 无 | Azure 存储帐户 |
| 定期扫描 | • 始终处于活动状态 • 扫描计划是内部的,不可配置 |
• 启用/禁用可配置 • 扫描计划是内部的,不可配置 |
| 系统数据库扫描 | • 计划扫描 • 手动扫描 |
• 仅当存在一个或多个用户数据库时执行计划扫描 • 每次扫描用户数据库时执行手动扫描 |
| 支持的规则 | 支持的资源类型的所有漏洞评估规则 | 支持的资源类型的所有漏洞评估规则 |
| 基线设置 | • Batch - 一个命令中的多项规则 • 按最新扫描结果设置 • 单项规则 |
• 单项规则 |
| 应用基线 | 在不重新扫描数据库 的情况下 生效 | 仅在重新扫描数据库 后 生效 |
| 单规则扫描结果大小 | 最大大小为 1 MB | 无限制 |
| 电子邮件通知 | • 逻辑应用 | • 内部计划程序 • 逻辑应用 |
| 扫描导出 | Azure Resource Graph | Excel 格式、Azure Resource Graph |
| 支持的云 |
商业云
Azure 政府
由世纪互联运营的 Microsoft Azure |
商业云
Azure 政府
由世纪互联运营的 Azure |
相关内容
- 启用 SQL 漏洞评估
- 快速配置常见问题和故障排除。
- 详细了解 Microsoft Defender for Azure SQL。
- 详细了解数据发现和分类。
- 了解关于将漏洞评估扫描结果存储在可从防火墙和 VNet 后面访问的存储帐户中的详细信息。
- 查找和修正 SQL 漏洞评估结果