SQL Server 資料庫引擎和 Azure SQL Database 的安全性

發行項
01/02/2025

適用於： SQL Server Azure SQL 資料庫 Azure SQL 受控執行個體 Azure Synapse Analytics Analytics Platform System (PDW)

此頁面提供連結，可協助您找到所需有關 SQL Server 資料庫引擎和 Azure SQL Database 中安全性和保護的資訊。

圖例

螢幕擷取畫面：說明功能可用性圖示的圖例。

驗證：您的身分

功能	連結
由誰驗證？ Windows 驗證 SQL Server 驗證 Microsoft Entra ID (前身為 Azure Active Directory)	由誰驗證？ (Windows 或 SQL Server) 選擇驗證模式使用 Microsoft Entra 驗證連線至 Azure SQL
驗證位置？在 master 資料庫上：登入和 DB 使用者在使用者資料庫上：已包含的 DB 使用者	在 master 資料庫進行驗證 (登入和資料庫使用者) 建立 SQL Server 登入管理資料庫和 Azure SQL Database 中的登入建立資料庫使用者在使用者資料庫進行驗證自主資料庫使用者 - 讓資料庫具有可攜性
使用其他身分識別認證以另一個登入的方式執行以另一個資料庫使用者的身分執行	認證 (Database Engine) 以另一個登入的方式執行以另一個資料庫使用者的身分執行

授權：您可以執行的作業

功能	連結
授與、撤銷和拒絕權限安全性實體類別細微伺服器權限細微資料庫權限	權限階層 (Database Engine) 權限安全性實體資料庫引擎權限使用者入門
安全性角色伺服器層級角色資料庫層級角色	伺服器層級角色資料庫層級角色
限制對選取的資料元素的資料存取以檢視/程序限制資料存取資料列層級安全性動態資料遮罩簽署物件	限制資料存取使用檢視和程序資料列層級安全性 (SQL Server) 資料列層級安全性 (Azure SQL Database) 動態資料遮罩 (SQL Server) 動態資料遮罩 (Azure SQL Database) 簽署物件

加密：儲存機密資料

功能	連結
加密檔案 BitLocker 加密 (磁碟機層級) NTFS 加密 (資料夾層級) 透明資料加密 (檔案層級) 備份加密 (檔案層級)	BitLocker (磁碟機層級) NTFS 加密 (資料夾層級) 透明資料加密 (檔案層級) 備份加密 (檔案層級)
加密的來源可延伸金鑰管理模組儲存在 Azure Key Vault 的金鑰 Always Encrypted	可延伸金鑰管理模組儲存在 Azure 金鑰保存庫的金鑰一律加密
資料行、資料和金鑰加密用憑證來加密用對稱金鑰來加密用非對稱金鑰來加密用複雜密碼來加密	加密憑證用非對稱金鑰來加密用對稱金鑰來加密用複雜密碼來加密加密資料行

連線安全性：限制及保護

功能	連結
防火牆保護 Windows 防火牆設定 Azure 服務防火牆設定資料庫防火牆設定	設定用於 Database Engine 存取的 Windows 防火牆 Azure SQL Database 防火牆設定 Azure 服務的防火牆設定
在傳輸過程中的資料加密強制的 SSL 連線選用的 SSL 連線	啟用資料庫引擎的加密連接啟用資料庫引擎的加密連線、網路安全性 Microsoft SQL Server 的 TLS 1.2 支援

稽核：錄製存取權

功能	連結
自動化稽核 SQL Server 稽核 (伺服器和資料庫層級) SQL Database 稽核 (資料庫層級) 偵測威脅	SQL Server Audit (Database Engine) SQL 資料庫稽核開始使用 SQL Database 進階威脅防護 SQL Database 弱點評量
自訂稽核觸發程序	實作自訂的稽核：建立 DDL Triggers 和 DML Triggers
遵循合規性	SQL Server: Common Criteria SQL Database： Microsoft Azure Trust Center:Compliance by Feature (Microsoft Azure 信任中心：功能符合規範的狀況)

SQL 插入

SQL 插入式攻擊是指將惡意程式碼插入字串中，然後將這些字串傳遞至資料庫引擎以進行剖析並執行。建構 SQL 陳述式的任何程序都應該經過檢閱，以確認有無插入弱點，因為 SQL Server 會執行收到的所有語法有效查詢。所有資料庫系統都有遭到 SQL 插入式攻擊的風險，且查詢資料庫引擎的應用程式會導入許多漏洞。您可以透過預存程序和參數化命令、避免動態 SQL 以及限制所有使用者的權限來防堵 SQL 插入式攻擊。如需詳細資訊，請參閱 SQL 插入。

應用程式設計人員的其他連結︰

SQL Server 中的應用程式安全性案例
在 SQL Server 撰寫安全動態 SQL
How To:Protect From SQL Injection in ASP.NET (如何：在 ASP.NET 中防止 SQL 資料隱碼)

另請參閱

資料庫引擎權限使用者入門
 保護 SQL Server 的安全
 主體 (資料庫引擎)
SQL Server 憑證與非對稱金鑰
 SQL Server 加密
 介面區組態
 增強式密碼
 TRUSTWORTHY 資料庫屬性
 Database Engine 功能及工作
 保護 SQL Server 智慧財產權

功能	連結
由誰驗證？ Windows 驗證 SQL Server 驗證 Microsoft Entra ID (前身為 Azure Active Directory)	由誰驗證？ (Windows 或 SQL Server) 選擇驗證模式使用 Microsoft Entra 驗證連線至 Azure SQL
驗證位置？在 master 資料庫上：登入和 DB 使用者在使用者資料庫上：已包含的 DB 使用者	在 master 資料庫進行驗證 (登入和資料庫使用者) 建立 SQL Server 登入管理資料庫和 Azure SQL Database 中的登入建立資料庫使用者在使用者資料庫進行驗證自主資料庫使用者 - 讓資料庫具有可攜性
使用其他身分識別認證以另一個登入的方式執行以另一個資料庫使用者的身分執行	認證 (Database Engine) 以另一個登入的方式執行以另一個資料庫使用者的身分執行

功能	連結
授與、撤銷和拒絕權限安全性實體類別細微伺服器權限細微資料庫權限	權限階層 (Database Engine) 權限安全性實體資料庫引擎權限使用者入門
安全性角色伺服器層級角色資料庫層級角色	伺服器層級角色資料庫層級角色
限制對選取的資料元素的資料存取以檢視/程序限制資料存取資料列層級安全性動態資料遮罩簽署物件	限制資料存取使用檢視和程序資料列層級安全性 (SQL Server) 資料列層級安全性 (Azure SQL Database) 動態資料遮罩 (SQL Server) 動態資料遮罩 (Azure SQL Database) 簽署物件

共用方式為