保護 Azure SQL Edge

由於越來越多產業採用 IoT 和 Edge 計算，這些裝置的數量和這些裝置所產生的資料也隨著增加。 增加的資料量和裝置端點數目，在資料和裝置的安全性方面造成重大挑戰。

Azure SQL Edge 提供多種特性和功能，可讓您以更輕鬆的方式保護 SQL Server 資料庫中的 IoT 資料。 Azure SQL Edge 是使用支援 Microsoft SQL Server 和 Azure SQL 的相同資料庫引擎所建置，共享相同的安全性功能，因此可以更輕鬆地將相同的安全性原則和做法從雲端延伸到邊緣。

就像 Microsoft SQL Server 和 Azure SQL 一樣，您可以將保護 Azure SQL Edge 部署視為涉及四個領域的一系列步驟：平台、驗證、物件 (包括資料) 以及存取系統的應用程式。

平台和系統安全性

適用於 Azure SQL Edge 的這個平台包含實體 Docker 主機、主機上的作業系統，以及將實體裝置連線至應用程式和客戶端的網路系統。

實施平台安全性的第一步，是禁止未經授權的使用者接近網路。 其中一些最佳做法包括，但不限於：

• 實作防火牆規則以確保組織安全性原則。
• 確定實體裝置上的作業系統已套用所有最新的安全性更新。
• 指定和限制用於 Azure SQL Edge 的主機連接埠
• 確保適當的存取控制套用至裝載 Azure SQL Edge 資料的所有資料磁碟區。

如需 Azure SQL Edge 網路通訊協定和 TDS 端點的詳細資訊，請參閱網路通訊協定和 TDS 端點。

驗證和授權

驗證

驗證是證明使用者宣告身分的程序。 Azure SQL Edge 目前僅支援 SQL Authentication 機制。

• SQL 驗證：

  SQL 驗證指的是以使用者名稱和密碼連線至 Azure SQL Edge 時對使用者的驗證作業。 SQL sa 登入密碼必須在 SQL Edge 部署期間指定。 在那之後，伺服器管理員可以建立其他 SQL 登入和使用者，可讓使用者使用使用者名稱和密碼進行連線。

  如需在 SQL Edge 中建立和管理登入和使用者的詳細資訊，請檢閱建立登入和建立資料庫使用者。

授權

授權是指在 Azure SQL Edge 的資料庫中指派權限給使用者，並決定允許使用者執行的動作。 將使用者帳戶新增至資料庫角色以控制權限，並指派資料庫層級權限給這些角色，或授與使用者某些物件層級權限。 如需詳細資訊，請參閱登入與使用者。

最佳做法是在需要時建立自訂角色。 將使用者新增至具備執行工作職責所需最低權限的角色。 請勿將權限直接指派給使用者。 伺服器系統管理員帳戶是內建 db_owner 角色的成員，具備的權限較廣，且僅應授與具系統管理責任的少數使用者。 對於應用程式，請使用 EXECUTE AS 來指定所呼叫模組的執行內容，或使用權限受限的應用程式角色。 此做法可確保連線到資料庫的應用程式具有應用程式所需的最低權限。 遵循這些最佳做法也有助於職責分離。

資料庫物件安全性

主體是指已取得授權存取 SQL Edge 的個人、群組和處理序。 「安全性實體」則是指伺服器、資料庫及資料庫所包含的物件。 這些實體均可各自設定一組權限，以減少介面區。 下表包含主體和安全性實體的相關資訊。

加密和憑證

加密並不能解決存取控制問題。 但是，若發生存取控制失靈的罕見情形，加密則可限縮資料遺失的風險以增強安全性。 例如，只要資料已加密，即使資料庫主機電腦設定不當而遭惡意使用者取得敏感性資料 (如信用卡號)，失竊的資訊就可能毫無用處。 下表包含在 Azure SQL Edge 中加密的詳細資訊。

與 Azure SQL 和 Microsoft SQL Server 類似，Azure SQL Edge 提供相同的機制來建立和使用憑證以增強物件和連線安全性。 如需詳細資訊，請參閱 CREATE CERTIFICATE (TRANSACT-SQL)。

應用程式安全性

用戶端程式

Azure SQL Edge 安全性最佳作法包括寫入安全性用戶端應用程式。 如需如何在網路層維護用戶端應用程式安全的詳細資訊，請參閱 用戶端網路組態。

安全性目錄檢視和函數

在針對效能與實用性最佳化的數種檢視和函數中，已公開安全性資訊。 下表包含 Azure SQL Edge 中安全性檢視和函數的相關資訊。

稽核

Azure SQL Edge 提供的稽核機制與 SQL Server 相同。 如需詳細資訊，請參閱 SQL Server 稽核 (資料庫引擎)。

相關內容

• 開始使用安全性功能
• 以非根使用者身分執行 Azure SQL Edge
• 適用於 IoT 的 Microsoft Defender