• 7 分鐘

此安全性基準會將 Microsoft 雲端安全性基準 1.0 版的指引套用至 Azure SQL。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容分組會依據 Microsoft 雲端安全性基準所定義的安全性控制項，以及適用於 Azure SQL 的相關指引。

您可以使用適用於雲端的 Microsoft Defender 來監視此安全性基準及其建議。 Azure 原則定義會列在適用於雲端的 Microsoft Defender 入口網站頁面的 [法規合規性] 區段中。

當功能具有相關的 Azure 原則定義時，會列在此基準中，以協助您測量 Microsoft 雲端安全性基準控制項和建議的合規性。 某些建議可能需要付費的 Microsoft Defender 方案，才能啟用特定的安全性案例。

安全性設定檔

安全性設定檔會摘要說明 Azure SQL 的高影響行為，這可能會導致安全性考量增加。

服務行為屬性	值
Product Category	資料庫
客戶可以存取主機/作業系統	無存取權
服務可以部署到客戶的虛擬網路中	True
儲存待用客戶內容	True

網路安全性

NS-1：建立網路分割界限

1.虛擬網路整合

說明：服務支援部署到客戶的私人虛擬網路 (VNet) 中。

支援	預設啟用	設定責任
True	False	客戶

設定指導：將服務部署至虛擬網路中。 除非有充分的理由要將公用 IP 直接指派給資源，否則請將私人 IP 指派給資源 (如果適用的話)。

2.網路安全性群組支援

說明：服務網路流量會遵循其子網路上的網路安全性群組規則指派。

支援	預設啟用	設定責任
True	False	客戶

設定指導：使用 Azure 虛擬網路服務標籤來定義有關網路安全性群組或針對 Azure SQL 資源設定的 Azure 防火牆的網路存取控制。 您可在建立安全性規則時，使用服務標籤替代特定的 IP 位址。 在規則的適當來源或目的地欄位中指定服務標籤名稱，即可允許或拒絕對應服務的流量。 Microsoft 會管理服務標籤包含的位址前置詞，並隨著位址變更自動更新服務標籤。 使用 Azure SQL Database 的服務端點時，需要輸出至 Azure SQL Database 公用 IP 位址：網路安全性群組 (NSG) 必須開啟至 Azure SQL Database IP，才能允許連線。 您可以使用 Azure SQL Database 的 NSG 服務標籤來執行此動作。

NS-2：使用網路控制保護雲端服務

3.Azure Private Link

說明：用於篩選網路流量的服務原生 IP 篩選功能 (不要和 NSG 或 Azure 防火牆混淆)。

支援	預設啟用	設定責任
True	False	客戶

設定指導：針對支援 Private Link 功能的所有 Azure 資源部署私人端點，以建立資源的私人存取點。

4.停用公用網路存取

說明：服務支援使用服務層級 IP 存取控制清單 (ACL) 篩選規則 (非 NSG 或 Azure 防火牆) 或使用 [停用公用網络存取] 切換開關來停用公用網络存取。

支援	預設啟用	設定責任
True	True	Microsoft

5.適用於雲端的 Microsoft Defender 監視

Azure 原則內建定義 - Microsoft.Sql：

名稱 (Azure 入口網站)	說明	效果	版本 (GitHub)
Azure SQL 受控執行個體應停用公用網路存取	在 Azure SQL 受控執行個體上停用公用網路存取 (公用端點) 可確保只能從其虛擬網路內部或透過私人端點進行存取，從而提升安全性。	Audit, Deny, Disabled	1.0.0
應對 Azure SQL Database 啟用私人端點連線	私人端點連線透過啟用與 Azure SQL Database 的私人連線，可強制執行安全通訊。	Audit, Disabled	1.1.0
應對 Azure SQL Database 停用公用網路存取	停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取，藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。	Audit, Deny, Disabled	1.1.0

6.遵循 Azure 原則建議

• 在 Azure SQL 受控執行個體上停用公用網路存取，以確保只有從其虛擬網路內或透過私人端點進行存取。
  
• 啟用私人端點連線，以強化與 Azure SQL Database 的安全通訊。
• 在 Azure SQL Database 上關閉公用網路存取，以強制執行僅限於從私人端點存取。