Azure 資料庫安全性檢查清單

為了協助改善安全性，Azure SQL 資料庫和 Azure SQL 受控執行個體包含內建安全性控制項，可用來限制和控制存取、保護資料，以及監視威脅。

安全性控制包括：

• 依 IP 位址和虛擬網路限制連線的防火牆規則
• Microsoft Entra 驗證用於集中式身分識別管理
• 使用 TLS 加密進行安全連線
• 存取管理與授權
• 待用和傳輸中的資料加密
• 資料庫稽核和威脅偵測
• 進階資料安全功能

簡介

雲端運算需要新的安全範式，而許多應用程式使用者、資料庫管理員和程式設計師可能不熟悉這些範式。 組織可以利用 Azure SQL 的全面安全功能來保護敏感資料並滿足法規合規性要求。

檢查清單

建議您在檢閱此檢查清單之前，先閱讀 Azure SQL 資料庫安全性最佳做法 一文。 了解最佳實踐將幫助您從此清單中獲得最大價值。 使用此檢查清單來確認您已解決 Azure 資料庫安全性中的重要安全性控制。

檢查清單類別	描述
保護資料
傳輸中加密	傳輸層安全性 （TLS） 會加密用戶端與資料庫之間移動的資料。 Azure SQL 需要 TLS 1.2 或更新版本才能進行安全連線。 資料庫需要用戶端透過 TLS 的 TDS （表格式資料串流） 通訊協定進行安全通訊。
待用加密	透明資料加密（TDE） 會對靜態的資料和記錄檔進行加密。 預設會在所有新的 Azure SQL 資料庫上啟用 TDE。 自備金鑰 （BYOK） 可讓您在 Azure 金鑰保存庫中管理 TDE 加密金鑰。
正在使用的加密	Always Encrypted 會藉由在用戶端應用程式內加密敏感性資料來保護敏感性資料。 加密金鑰永遠不會到達資料庫引擎，確保資料擁有者和資料管理員之間的分離。 資料行級加密（CLE） 使用對稱加密技術，對特定資料行進行加密，以額外保護敏感資料。
控制存取
資料庫存取	Microsoft Entra 驗證 提供具有單一登入 （SSO） 功能的集中式身分識別管理。 使用強式密碼的 SQL 鑑別提供替代鑑別方法。 授權 使用角色型存取控制，以提供使用者必要的最低權限。
網路存取控制	伺服器層級 IP 防火牆規則 會根據原始 IP 位址來限制存取。 資料庫層級 IP 防火牆規則 為每個資料庫提供精細的存取控制。 虛擬網路服務端點允許 從特定 Azure 虛擬網路連線。 Private Link 會使用虛擬網路內的私人 IP 位址，提供與 Azure SQL 資料庫的私人連線。
應用程式存取控制	資料列層級安全性（RLS） 會根據使用者的身分、角色或執行內容來限制資料列層級存取。 動態資料遮罩會 將敏感資料遮罩給非特權使用者，而不變更基礎資料，以限制敏感資料的暴露。 資料探索和分類 可識別、分類和標記敏感資料，以改善保護和合規性。
主動式監視
稽核與偵測	稽核 會追蹤資料庫事件，並將其寫入 Azure 儲存體帳戶、Log Analytics 工作區或事件中樞中的稽核記錄。 使用 Azure 監視器和 診斷設定來追蹤 Azure SQL 資料庫健康情況。 Microsoft Defender SQL 版 會偵測異常的資料庫活動，指出潛在的安全威脅，包括 SQL 注入攻擊、暴力破解攻擊和漏洞利用。
弱點評估	弱點評估 可探索、追蹤並協助補救潛在的資料庫弱點。 提供可操作的安全建議和風險報告以實現合規性。
集中式安全管理	適用於雲端的 Microsoft Defender 為 Azure SQL 資料庫和其他 Azure 服務提供集中式安全性監視和管理。 以 Microsoft 雲端安全性基準為基礎的安全性建議。
資料完整性
分類帳功能	Ledger 透過建立資料庫交易的不可變記錄來提供防篡改功能。 有助於滿足資料完整性驗證的合規性要求。

結論

Azure SQL 資料庫和 Azure SQL 受控執行個體提供強大的資料庫平台，具有完整的安全性功能，可滿足組織和法規合規性需求。 您可以使用透明資料加密、Always Encrypted 和 TLS 來保護資料的整個生命週期 （靜態、傳輸中和使用中）。 精細的存取控制，包括 Row-Level 安全性、動態資料遮罩和 Microsoft Entra 驗證，確保只有授權使用者才能存取敏感資料。 透過稽核、適用於 SQL 的 Microsoft Defender 和弱點評定進行持續監視，有助於主動識別和補救安全性威脅。

後續步驟

您可以透過幾個簡單的步驟來改善資料庫對惡意使用者或未經授權的存取的保護：

• 設定伺服器和資料庫的防火牆規則
• 使用加密保護您的資料
• 啟用 SQL Database 稽核
• 啟用 適用於 SQL 的 Microsoft Defender 以進行威脅偵測
• 檢閱 安全性最佳實務