Sicurezza in Database di Azure per MySQL
SI APPLICA A: Database di Azure per MySQL - Server singolo
Importante
Il server singolo del Database di Azure per MySQL è in fase di ritiro. È consigliabile eseguire l'aggiornamento al server flessibile del Database di Azure per MySQL. Per altre informazioni sulla migrazione a Database di Azure per MySQL - Server flessibile, vedere Cosa succede a Database di Azure per MySQL - Server singolo?
Sono disponibili più livelli di sicurezza per proteggere i dati nel server Database di Azure per MySQL. Questo articolo descrive queste opzioni di sicurezza.
Crittografia e protezione delle informazioni
In transito
Database di Azure per MySQL protegge i dati crittografando i dati in transito con Transport Layer Security. La crittografia (SSL/TLS) viene applicata per impostazione predefinita.
Inattivi
Il servizio Database di Azure per MySQL usa il modulo crittografico convalidato FIPS 140-2 per la crittografia dei dati archiviati inattivi. I dati, inclusi i backup, vengono crittografati su disco, compresi i file temporanei creati durante l'esecuzione delle query. Il servizio usa la crittografia AES a 256 bit inclusa nella crittografia di archiviazione di Azure e le chiavi vengono gestite dal sistema. La crittografia dell'archiviazione è sempre attiva e non può essere disabilitata.
Sicurezza della rete
Le connessioni a un server Database di Azure per MySQL vengono prima instradate tramite un gateway a livello di area. Il gateway ha un indirizzo IP accessibile pubblicamente, mentre gli indirizzi IP del server sono protetti. Per altre informazioni sul gateway, vedere l'articolo sull'architettura della connettività.
Un server Database di Azure per MySQL appena creato dispone di un firewall che blocca tutte le connessioni esterne. Anche se raggiungono il gateway, non sono autorizzati a connettersi al server.
Regole del firewall IP
Le regole del firewall IP concedono l'accesso ai server in base all'indirizzo IP di origine di ogni richiesta. Per altre informazioni, vedere panoramica delle regole del firewall.
Regole del firewall della rete virtuale
Gli endpoint servizio di rete virtuale estendono la connettività di rete virtuale tramite il backbone di Azure. Usando le regole di rete virtuale è possibile abilitare il server Database di Azure per MySQL per consentire le connessioni da subnet selezionate in una rete virtuale. Per altre informazioni, vedere panoramica dell'endpoint servizio di rete virtuale.
IP privato
collegamento privato consente di connettersi al Database di Azure per MySQL in Azure tramite un endpoint privato. Collegamento privato di Azure in pratica porta i servizi di Azure all'interno della rete virtuale privata. È possibile accedere alle risorse PaaS usando l'indirizzo IP privato come per qualsiasi altra risorsa nella rete virtuale. Per altre informazioni, vedere la panoramica del collegamento privato
Gestione degli accessi
Durante la creazione del server di Database di Azure per MySQL, si specificano le credenziali per un utente amministratore. Questo amministratore può essere usato per creare altri utenti mySQL.
Protezione dalle minacce
È possibile acconsentire esplicitamente a Microsoft Defender per database relazionali open source che rilevano attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i server.
La registrazione di controllo è disponibile per tenere traccia delle attività nei database.
Passaggi successivi
- Abilitare le regole del firewall per indirizzi IP o reti virtuali