Azure SQL Managed Instance （SQL托管实例）, 简称SQL MI,。它是一种智能、可缩放的云数据库服务；它将被广泛使用的 SQL Server 数据库引擎兼容性与完全托管的云平台及其所有优势相结合。SQL 托管实例具有与最新 SQL Server (企业版) 数据库引擎近 100% 的兼容性，提供解决常见安全问题的本机虚拟网络 (VNet)支持，它提供现有 SQL Server 客户惯用的业务模型。同时，SQL 托管实例保留了所有 PaaS 功能（自动修补和版本更新、自动备份、高可用性），可大幅降低管理开销和总拥有成本。

特色创新

PaaS 优势

• 无需采购和管理硬件
• 不产生底层基础结构的管理开销
• 快速预配和服务缩放
• 自动修补和版本升级
• 与其他 PaaS 数据服务集成

业务连续性

• 99.99% 的运行时间 SLA
• 内置高可用性
• 使用自动备份保护数据
• 客户可配置的备份保留期
• 用户发起的备份
• 数据库时间点还原功能

安全性和符合性

• 隔离的环境（VNet 集成、单租户服务、专用的计算和存储资源）
• 透明数据加密 (TDE)
• Azure Active Directory (AAD) 身份验证、单一登录支持
• Azure AD 服务器主体（登录名）
• 遵循与 Azure SQL 数据库相同的合规性标准
• SQL 审计
• 高级威胁防护

可管理性

• 用于自动预配和缩放服务的 Azure 资源管理器 API
• 用于手动预配和缩放服务的 Azure 门户功能
• 数据迁移服务

安全功能

Azure SQL 托管实例提供一组可用于保护数据的高级安全功能。

• SQL 托管实例审核- 可跟踪数据库事件，并将其写入 Azure 存储帐户中的审核日志文件。审核可帮助你一直保持遵从法规、了解数据库活动，以及深入了解可以指明业务考量因素或疑似安全违规的偏差和异常。
• 动态数据加密 - SQL 托管实例提供动态数据加密，使用传输层安全性保护数据。除传输层安全性以外，SQL 托管实例还使用 Always Encrypted 在动态、静态和查询处理期间提供敏感数据的保护。Always Encrypted 可针对涉及关键数据被盗的漏洞提供数据安全性。例如，借助 Always Encrypted，信用卡号即使在查询处理期间也始终加密存储在数据库中，允许经授权员工或需要处理该数据的应用程序在使用时进行解密。
• 高级威胁防护是对审核的补充，它在服务中提供一个内置的附加安全智能层，用于检测企图访问或使用数据库的异常的潜在有害尝试。出现可疑活动、潜在漏洞、 SQL 注入攻击和异常数据库访问模式时，它会发出警报。可以从 Microsoft Defender for Cloud 查看高级威胁防护警报。它们可提供可疑活动的详细信息，以及如何调查和缓解威胁的推荐操作。
• 动态数据掩码功能通过对非特权用户模糊化敏感数据来限制此类数据的泄漏。动态数据掩码允许指定在对应用层产生最小影响的前提下可以透露的敏感数据量，从而帮助防止未经授权的用户访问敏感数据。它是一种基于策略的安全功能，会在针对指定的数据库字段运行查询后返回的结果集中隐藏敏感数据，同时保持数据库中的数据不变。
• 使用行级别安全性 (RLS) 可根据执行查询的用户特征（例如按组成员身份或执行上下文），控制对数据库表中的行的访问。RLS 简化了应用程序中的安全性设计和编程。使用 RLS 可针对数据行访问实施限制。例如，确保工作人员只能访问与其部门相关的数据行，或者将可访问的数据限制为相关的数据。
• 透明数据加密 (TDE) 可以加密 SQL 托管实例数据文件，称为静态数据加密。TDE 针对数据和日志文件执行实时 I/O 加密和解密。加密使用数据库加密密钥 (DEK)，它存储在数据库引导记录中，可在恢复时使用。可使用透明数据加密保护托管实例中的所有数据库。TDE 是 SQL Server 中经验证的静态加密技术，许多符合性标准都需要它来防止存储介质被盗。

通过 Azure 数据库迁移服务或本机还原来支持将加密数据库迁移到 SQL 托管实例。如果打算使用本机还原迁移加密数据库，则必须将现有 TDE 证书从 SQL Server 实例迁移到 SQL 托管实例。

Ignite 发布的最新功能预览