建立 Azure SQL Database 基準

  • 5 分鐘

Azure SQL Database 是雲端型的關聯資料庫產品系列,支援 Microsoft SQL Server 中提供的許多相同功能。 Azure SQL Database 讓您輕鬆從內部部署資料庫轉換為雲端型資料庫,雲端型資料庫可提供內建診斷、備援、安全性和可擴縮性等功能。

Azure SQL Database 安全性建議

下列各節說明《CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0》中的 Azure SQL Database 建議。 每個建議都會包括可在 Azure 入口網站中完成的基本步驟。 建議對您自己的訂閱完成所述步驟,並使用自己的資源來驗證每項安全性建議。

啟用稽核 - 層級 1

適用於 Azure SQL Database 和 Azure Synapse Analytics 的稽核可以追蹤資料庫事件,並將事件寫入 Azure 儲存體帳戶、Azure Log Analytics 工作區或 Azure 事件中樞中的稽核記錄。 稽核也會:

  • 協助您維護法規合規性、了解資料庫活動,並深入了解差異和異常狀況,因為差異和異常狀況可能警示您業務問題,或可疑的安全性違規。
  • 啟用及推動遵循法規標準,但不保證符合法規。

若要啟用稽核,請在您的 Azure 訂閱中,針對每個資料庫,完成下列步驟。

  1. 登入 Azure 入口網站。 搜尋並選取 [SQL 資料庫]

  2. 在 [安全性] 下的左側功能表中,選取 [稽核]

  3. 在 [稽核] 窗格中,啟用 [啟用 Azure SQL 稽核],然後選取至少一個稽核記錄目的地。

  4. 如果要變更任何設定,請在功能表列中選取 [儲存]

Screenshot that shows how to turn on auditing for Azure SQL databases.

如需稽核的詳細資訊,請參閱適用於 Azure SQL Database 和 Azure Synapse Analytics 的稽核

啟用適用於雲端的 Microsoft Defender 中的 SQL 保護 - 層級 1

適用於雲端的 Microsoft Defender 偵測到異常活動時,即表示有不尋常及可能有害的活動試圖存取或惡意探索資料庫。 適用於雲端的 Defender 可以識別:

  • 潛在的 SQL 插入式攻擊。
  • 從不尋常的位置或資料中心進行的存取活動。
  • 從不熟悉的主體或可能有害的應用程式進行的存取活動。
  • 暴力密碼破解 SQL 認證。

您可以在 [適用於雲端的 Defender] 功能表中,存取並管理 SQL 威脅。

  1. 登入 Azure 入口網站。 搜尋並選取 [適用於雲端的 Microsoft Defender]

  2. 在 [管理] 下的左側功能表中,選取 [環境設定]

  3. 在 [Defender 方案] 窗格的 [適用的 Microsoft Defender] 下,將 [Azure SQL 資料庫] 設為 [啟用]

    Screenshot that shows the Defender plans pane with the Azure SQL Databases plan turned on.

  4. 返回 Azure [首頁]。 搜尋並選取 [SQL 資料庫]

  5. 針對每個資料庫執行個體,在 [安全性] 下左側功能表中中,選取 [適用於雲端的 Microsoft Defender]。 檢視 SQL 資料庫執行個體的安全性建議、警示和弱點評估結果。

設定超過 90 天的稽核保留期 - 層級 1

基於安全性和探索,及符合法律和法規合規性需求,建議保存稽核記錄。 在您的 Azure 訂閱中,針對每個 Azure SQL 資料庫執行個體,完成下列步驟。

  1. 登入 Azure 入口網站。 搜尋並選取 [SQL 資料庫]

  2. 在 [安全性] 下的左側功能表中,選取 [稽核]

  3. 選取您的 [稽核記錄目的地],然後展開 [進階屬性]

  4. 確定 [保留期 (天數)] 大於 90 天

  5. 如果要變更任何設定,請在功能表列中選取 [儲存]

Screenshot that shows the SQL databases Auditing pane.