实现保护 Azure SQL 的安全性
了解并有效地管理服务器和数据库防火墙规则以及 Microsoft Defender for SQL,在迁移期间和以后确保对 Azure SQL 资源的保护至关重要。
配置服务器和数据库防火墙规则
在 Azure SQL 数据库中,可以在服务器级别和数据库级别配置防火墙规则。
服务器级防火墙规则
服务器级防火墙规则 控制对 Azure SQL 数据库的访问范围更广,确定哪些 IP 地址可以连接到服务器。 相比之下,
服务器级防火墙规则允许用户连接到所有服务器数据库,而数据库级防火墙控制对单个数据库的特定 IP 地址的访问。
可以通过 Azure 门户或使用 sp_set_firewall_rulemaster 数据库中的存储过程来配置服务器级防火墙规则。
注释
“允许 Azure 服务和资源访问此服务器”服务器设置在启用时会计为单个防火墙规则。 默认情况下,阻止所有访问,并仅在需要时打开它。
数据库级防火墙规则
数据库级规则在各个数据库中提供更具体的控制。 只能使用用户数据库中 sp_set_database_firewall_rule 存储过程通过 T-SQL 配置数据库级防火墙规则。
连接时,Azure SQL 数据库会检查特定于提供的数据库名称的数据库级防火墙规则。 如果未找到该规则,它会检查服务器级 IP 防火墙规则,这些规则适用于服务器上的所有数据库。 如果任一规则存在,则建立连接。
如果两个规则都不存在,并且用户正在使用 SQL Server Management Studio 或 Azure Data Studio 进行连接,系统会提示他们创建防火墙规则。
若要详细了解服务器级防火墙规则和数据库级防火墙规则,请参阅 Azure SQL 数据库和 Azure Synapse IP 防火墙规则。
Microsoft Defender for SQL
Microsoft Defender for SQL 是 Azure SQL 数据库、Azure SQL 托管实例和 Azure VM 上的 SQL Server 的综合安全解决方案。 它持续监视和评估数据库的安全性,提供自定义的建议来增强它。
此外,它还提供高级安全功能,包括 SQL 漏洞评估和高级威胁防护,以主动保护数据状态。 此一次性解决方案可帮助你在 SQL 环境中保持高级别的安全性。
可通过两种不同的方式启用 Microsoft Defender for SQL。
| 方法 | 说明 |
|---|---|
| 订阅级别(建议) | 在订阅级别启用它,以全面保护 Azure SQL 数据库和 Azure SQL 托管实例中的所有数据库。 如果需要,可以单独禁用它们。 |
| 资源级别 | 或者,如果想要手动管理对特定数据库的保护,则可以在资源级别启用它。 |
SQL 漏洞评估
SQL 漏洞评估 使用基于Microsoft最佳做法的规则知识库。 它标记安全漏洞、配置错误、权限过多和敏感数据不受保护。
SQL 漏洞评估有两个配置选择:
高级威胁防护
高级威胁防护 通过检测和响应异常或潜在有害的数据库访问尝试来提高 Azure SQL 的安全性。
它提供与 Microsoft Defender for Cloud 集成的可疑数据库活动、潜在漏洞、SQL 注入攻击和异常访问模式的安全警报。 此集成提供用于调查和缓解威胁的见解和建议作,使非安全专家能够访问它。
有关警报列表,请参阅 Microsoft Defender for Cloud 中的 SQL 数据库和 Azure Synapse Analytics 的警报。