重要
2026年8月18日,所有 Microsoft Defender for Cloud 功能将在 Azure 中国区域正式停用。 由于即将停用,Azure中国客户不再能够将新订阅加入该服务。 任何在 2025 年 8 月 18 日微软 Defender for Cloud 服务停用公告发布之前尚未启用的订阅都被视为新订阅。 有关弃用的详细信息,请参阅由世纪互联运营的 Microsoft Azure 中的公告《Microsoft Defender for Cloud 弃用》。 客户应与由世纪互联运营的Microsoft Azure的帐户代表合作,评估此停用对自身运营的影响。
SQL 漏洞评估是一项易于配置的服务,可发现、跟踪并帮助修正潜在的数据库漏洞。 使用它来积极提高您数据库的安全性:
Azure SQL Database
Azure SQL Managed Instance
Azure Synapse Analytics
漏洞评估是 Azure SQLMicrosoft Defender
注意
Azure SQL Database、Azure SQL Managed Instance 和Azure Synapse Analytics支持漏洞评估。 本文中Azure SQL Database、Azure SQL Managed Instance和Azure Synapse Analytics中的数据库统称为数据库。 服务器是用于托管 Azure SQL Database 和 Azure Synapse 数据库的 server。
什么是 SQL 漏洞评估?
SQL 漏洞评估提供数据库安全状态的可见性。 它包括解决安全问题和增强 SQL 安全状况的可作步骤。
漏洞评估是内置于Azure SQL的扫描服务。 它使用规则知识库来标记安全漏洞和与最佳做法的偏差,例如配置不当、权限过多和敏感数据不受保护。
这些规则基于 Microsoft 的最佳做法,并专注于对数据库及其重要数据有最大风险的安全问题。 它们涵盖了数据库级别的问题以及服务器级别的安全问题,例如服务器防火墙设置和服务器级别的权限。
扫描结果包括旨在解决每个问题的可操作步骤,并提供自定义修正脚本(若适用)。 通过设置以下各项的可接受基线,来为环境自定义评估报告:
- 权限配置。
- 功能配置。
- 数据库设置。
配置模型
SQL 漏洞评估支持两种配置模型:
快速配置
在快速配置中,Microsoft Defender for Cloud管理用于漏洞评估扫描结果的存储。 不需要客户管理的存储帐户。
扫描结果存储在逻辑 SQL Server 所在的同一Azure区域中。
权限
| 任务 | 必需的角色 |
|---|---|
| 在Microsoft Defender for Cloud建议中查看 SQL 漏洞评估结果 | 安全管理员或安全读取者 |
| 更改 SQL 漏洞评估设置 | SQL 安全管理器 |
| 访问资源级扫描结果或自动电子邮件链接 | SQL 安全管理器 |
数据驻留
扫描结果存储在逻辑 SQL Server 所在的同一Azure区域中。 仅当启用了 SQL 漏洞评估时,才会收集和存储数据。
经典配置
在经典配置中,扫描结果存储在你配置的客户管理的Azure Storage帐户中。 可以控制存储帐户的位置、访问模型和复原能力。
权限
| 任务 | 必需的角色 |
|---|---|
| 在Microsoft Defender for Cloud建议中查看 SQL 漏洞评估结果 | 安全管理员或安全读取者 |
| 更改 SQL 漏洞评估设置 | SQL 安全管理器 和 存储 Blob 数据读取器 和 所有者(在存储帐户上) |
| 访问资源级扫描结果或自动电子邮件链接 | SQL 安全管理器 和 存储 Blob 数据读取器 |
数据驻留
扫描结果存储在配置的Azure Storage帐户中。 存储帐户的位置决定了数据存储和驻留的位置。
配置模型比较
下表比较了快速配置和经典配置之间的功能和行为差异:
| 参数 | 快速配置 | 经典配置 |
|---|---|---|
| 支持的 SQL 方言 | • Azure SQL Database • Azure Synapse专用 SQL 池(以前Azure SQL Data Warehouse) |
• Azure SQL Database • Azure SQL Managed Instance • Azure Synapse Analytics |
| 支持的策略范围 | • 订阅 • 服务器 |
• 订阅 • 服务器 • 数据库 |
| 依赖项 | 无 | Azure存储帐户 |
| 定期扫描 | • 始终处于活动状态 • 扫描计划是内部的,不可配置 |
可配置开/关 • 扫描计划是内部的,不可配置 |
| 系统数据库扫描 | • 计划扫描 • 手动扫描 |
• 仅当存在一个或多个用户数据库时执行计划扫描 • 每次扫描用户数据库时执行手动扫描 |
| 支持的规则 | 支持的资源类型的所有漏洞评估规则 | 支持的资源类型的所有漏洞评估规则 |
| 基线设置 | • 批处理 - 在一个命令中包含多个规则 • 按最新扫描结果设置 • 单项规则 |
• 单项规则 |
| 应用基线 | 在不重新扫描数据库 的情况下 生效 | 仅在重新扫描数据库 后 生效 |
| 单规则扫描结果大小 | 最大大小为 1 MB | 无限制 |
| 电子邮件通知 | • 逻辑应用 | • 内部计划程序 • 逻辑应用 |
| 扫描导出 | Azure Resource Graph | Excel 格式,Azure Resource Graph |
| 支持的云 | 由世纪互联运营的 Microsoft Azure |
由世纪互联运营的 Microsoft Azure |
相关内容
- 启用 SQL 漏洞评估
- 快捷配置常见问题。
- 详细了解 Microsoft Defender for Azure SQL。
- 详细了解数据发现和分类。
- 了解关于将漏洞评估扫描结果存储在可从防火墙和 VNet 后面访问的存储帐户中的详细信息。
- 查找和修正 SQL 漏洞评估结果