Azure 数据库安全性清单

为了帮助提高安全性，Azure SQL 数据库和 Azure SQL 托管实例包括内置的安全控制措施，可用于限制和控制访问、保护数据和监视威胁。

安全控制包括：

按 IP 地址和虚拟网络限制连接的防火墙规则
用于集中式标识管理的 Microsoft Entra 身份验证
使用 TLS 加密保护连接
访问管理和授权
静态和传输中的数据加密
数据库审核和威胁检测
高级数据安全功能

介绍

云计算需要许多应用程序用户、数据库管理员和程序员不熟悉的新安全范例。组织可以利用 Azure SQL 的综合安全功能来保护敏感数据并满足法规合规性要求。

清单

建议在查看此清单之前阅读 Azure SQL 数据库安全最佳做法文章。了解最佳做法将帮助你从此清单中获得最大的价值。使用此清单验证是否已解决 Azure 数据库安全中的重要安全控制问题。

清单类别	Description
保护数据
传输中加密	传输层安全性（TLS）在客户端和数据库之间加密数据。 Azure SQL 需要 TLS 1.2 或更高版本才能进行安全连接。数据库要求基于TDS（表格数据流）协议通过TLS与客户端进行安全通信。
静态加密	透明数据加密（TDE）会加密静态数据和日志文件。默认情况下，在所有新的 Azure SQL 数据库上启用 TDE。使用自带密钥（BYOK）可以管理 Azure Key Vault 中的 TDE 加密密钥。
正在使用的加密	Always Encrypted 通过在客户端应用程序中加密敏感数据来保护敏感数据。加密密钥永远不会到达数据库引擎，确保数据所有者和数据管理器之间的分离。列级加密（CLE）借助对称加密对特定列进行加密，为更好保护敏感数据。
控制访问
数据库访问	Microsoft Entra 身份验证通过单一登录（SSO）功能提供集中式标识管理。使用强密码的 SQL 身份验证提供了替代的身份验证方法。授权向用户授予使用基于角色的访问控制所需的最低权限。
网络访问控制	服务器级 IP 防火墙规则基于原始 IP 地址限制访问。数据库级 IP 防火墙规则为每个数据库提供精细的访问控制。虚拟网络服务终结点允许从特定的 Azure 虚拟网络建立连接。专用链接使用虚拟网络中的专用 IP 地址提供与 Azure SQL 数据库的专用连接。
应用程序访问控制	Row-Level 安全性（RLS）根据用户身份、角色或执行上下文来限制行级访问。动态数据掩码通过将敏感数据屏蔽给非特权用户来限制敏感数据的公开，而无需更改基础数据。数据发现和分类可识别、分类和标记敏感数据，以提高保护和符合性。
主动监视
审核和检测	审核跟踪数据库事件，并将其写入 Azure 存储帐户、Log Analytics 工作区或事件中心的审核日志。使用 Azure Monitor 和诊断设置跟踪 Azure SQL 数据库运行状况。 Microsoft Defender for SQL 检测到异常数据库活动，指示潜在的安全威胁，包括 SQL 注入、暴力攻击和漏洞攻击。
漏洞评估	漏洞评估发现、跟踪并帮助修正潜在的数据库漏洞。提供可执行的安全建议和合规风险报告。
集中式安全管理	Microsoft Defender for Cloud 为 Azure SQL 数据库和其他 Azure 服务提供集中的安全监视和管理。基于 Azure 云安全基准的安全建议。
数据完整性
账本功能	Ledger 通过创建数据库事务的不可更改记录来提供防篡改功能。帮助满足数据完整性验证的符合性要求。

结论

Azure SQL 数据库和 Azure SQL 托管实例提供可靠的数据库平台，具有满足组织和法规合规性要求的综合安全功能。可以使用透明数据加密、Always Encrypted 和 TLS 在整个生命周期内（静态、传输中和使用）保护数据。细化访问控制，包括 Row-Level 安全性、动态数据掩码和Microsoft Entra 身份验证，确保仅授权用户访问敏感数据。通过审核、Microsoft Defender for SQL 和漏洞评估持续监视有助于主动识别和修正安全威胁。

后续步骤

可以通过几个简单的步骤改进数据库的保护，防止恶意用户或未经授权的访问：

为服务器和数据库配置防火墙规则
使用加密保护数据
启用 SQL 数据库审核
为威胁检测启用 Microsoft Defender for SQL
查看安全最佳做法

Last updated on 2025-11-21

通过

Azure 数据库安全性清单

介绍

清单

结论

后续步骤

其他资源