這很重要
所有適用於雲端的 Microsoft Defender 功能將於 2026 年 8 月 18 日在中國 Azure 區域正式淘汰。 由於即將淘汰,中國的 Azure 客戶無法再將新的訂用帳戶上線至該服務。 新的訂閱是指在 2025 年 8 月 18 日之前尚未註冊到 Microsoft Defender for Cloud 服務的任何訂閱,該日期為退役公告日期。 如需關於淘汰的詳細資訊,請參閱由世紀互聯提供的 Microsoft Azure 中的適用於雲端的 Microsoft Defender 淘汰公告。
客戶應該與 21Vianet 所營運的 Microsoft Azure 客戶代表合作,以評估此淘汰對其自身營運的影響。
SQL 弱點評定是容易設定的服務,可讓您探索、追蹤及協助修復潛在的資料庫弱點。 使用此工具可主動改進您的資料庫安全性:
Azure SQL 資料庫
Azure SQL 受控執行個體
Azure Synapse Analytics
弱點評定是適用於 Azure SQL 的 Microsoft Defender 的一部份,是進階 SQL 安全性功能的整合套件。 您可以從 Azure 入口網站中的每個 SQL 資料庫資源存取和管理弱點評定。
附註
Azure SQL Database、Azure SQL 受控執行個體,以及 Azure Synapse Analytics 可支援弱點評定。 Azure SQL Database、Azure SQL 受控執行個體和 Azure Synapse Analytics 中的資料庫在本文中統稱為資料庫。 伺服器是指裝載 Azure SQL Database 和 Azure Synapse 之資料庫的伺服器。
什麼是 SQL 弱點評定?
SQL 漏洞評估能讓你看到資料庫的安全狀態。 它包含可行的步驟,以解決安全問題並提升您的 SQL 安全態勢。
漏洞評估是內建於 Azure SQL 中的掃描服務。 它使用一套規則知識庫,標示安全漏洞及偏離最佳實務的行為,例如錯誤設定、過度權限及未受保護的敏感資料。
規則是以 Microsoft 的最佳作法為基礎,並著重於顯示資料庫和其珍貴資料的最大安全性問題風險。 其會涵蓋資料庫層級問題,以及伺服器層級的安全性問題,例如伺服器防火牆設定和伺服器層級權限。
掃描結果包含可以解決個別問題的可操作步驟,並於合適的情況下提供自訂的補救指令碼。 為環境自訂評估報告,方法是設定可接受的基準以進行:
- 權限設定。
- 功能設定。
- 資料庫設定。
配置模型
SQL 漏洞評估支援兩種組態模型:
快速設定
在 Express 配置中,Microsoft Defender for Cloud 管理儲存空間,以進行漏洞評估掃描結果。 不需要客戶管理的儲存帳號。
掃描結果會儲存在與邏輯 SQL 伺服器相同的 Azure 區域。
權限
| 任務 | 所需角色 |
|---|---|
| 在適用於雲端的 Microsoft Defender 建議中檢視 SQL 弱點評定結果 | 安全管理員或安全閱讀器 |
| 變更 SQL 弱點評估設定 | SQL 安全性管理員 |
| 存取資源層級掃描結果或自動電子郵件連結 | SQL 安全性管理員 |
資料存放位置
掃描結果會儲存在與邏輯 SQL 伺服器相同的 Azure 區域。 只有啟用 SQL 漏洞評估時,資料才會被收集並儲存。
傳統設定
在經典設定中,掃描結果會儲存在由客戶管理的 Azure Storage 帳號中,由你設定。 你能控制儲存帳戶的位置、存取模式和彈性。
權限
| 任務 | 所需角色 |
|---|---|
| 在適用於雲端的 Microsoft Defender 建議中檢視 SQL 弱點評定結果 | 安全管理員或安全閱讀器 |
| 變更 SQL 弱點評估設定 | SQL Security Manager ,以及 Storage Blob Data Reader 與 Storage Blob Data Owner (於儲存體帳戶上) |
| 存取資源層級掃描結果或自動電子郵件連結 | SQL 安全性管理器 與 儲存體 Blob 資料讀取器 |
資料存放位置
掃描結果會儲存在你設定的 Azure Storage 帳號中。 儲存帳號的位置決定了資料的駐留性。
組態模型比較
下表比較了 express 與 classic 配置之間的能力與行為差異:
| 參數 | 快速設定 | 傳統設定 |
|---|---|---|
| 支援的 SQL 變體 | • Azure SQL 資料庫 • Azure Synapse Analytics 專用 SQL 集區 (先前稱為 Azure SQL 資料倉儲) |
• Azure SQL 資料庫 • Azure SQL 受控執行個體 • Azure Synapse Analytics |
| 支援的原則範圍 | • 訂用帳戶 • 伺服器 |
• 訂用帳戶 • 伺服器 • 資料庫 |
| 相依性 | None | Azure 儲存體帳戶 |
| 週期性掃描 | • 一律為作用中 • 掃描排程是在內部進行且無法設定 |
• 可設定開啟/關閉 • 掃描排程是在內部進行且無法設定 |
| 系統資料庫掃描 | • 排定的掃描 • 手動掃描 |
• 只在有一個使用者資料庫以上時,才排程掃描 • 每次掃描使用者資料庫時手動掃描 |
| 支援的規則 | 所有支援資源類型的漏洞評估規則 | 所有支援資源類型的漏洞評估規則 |
| 基準設定 | • 批次 – 一個命令中數個規則 • 依最新的掃描結果設定 • 單一規則 |
• 單一規則 |
| 套用基準 | 無需重新掃描資料庫即可生效 | 只有在重新掃描資料庫後才會生效 |
| 單一規則掃描結果大小 | 最多 1 MB | 無限制 |
| 電子郵件通知 | • 邏輯應用程式 | • 內部排程器 • 邏輯應用程式 |
| 掃描匯出 | Azure Resource Graph | Excel 格式、Azure Resource Graph |
| 支援的雲端 |
商業雲端
Azure 政府雲
由 21Vianet 運作的 Microsoft Azure |
商業雲端
Azure 政府雲
由 21Vianet 營運的 Azure |
相關內容
- 啟用 SQL 弱點評量
- 快速設定常見問題和疑難排解。
- 深入了解適用於 Azure SQL 的 Microsoft Defender。
- 深入瞭解資料探索與分類。
- 深入了解在防火牆和 VNet 後方,將弱點評定掃描結果儲存於可存取的儲存體帳戶。
- 尋找並修復 SQL 漏洞評估結果