Zabezpieczenia w usłudze Azure Database for MySQL
DOTYCZY: Azure Database for MySQL — pojedynczy serwer
Ważne
Pojedynczy serwer usługi Azure Database for MySQL znajduje się na ścieżce wycofania. Zdecydowanie zalecamy uaktualnienie do serwera elastycznego usługi Azure Database for MySQL. Aby uzyskać więcej informacji na temat migracji do serwera elastycznego usługi Azure Database for MySQL, zobacz Co się dzieje z usługą Azure Database for MySQL — pojedynczy serwer?
Istnieje wiele warstw zabezpieczeń, które są dostępne do ochrony danych na serwerze usługi Azure Database for MySQL. W tym artykule przedstawiono te opcje zabezpieczeń.
Ochrona informacji i ich przechowywanie
W trakcie przesyłania
Usługa Azure Database for MySQL zabezpiecza dane, szyfrując dane przesyłane przy użyciu usługi Transport Layer Security. Szyfrowanie (SSL/TLS) jest domyślnie wymuszane.
W spoczynku
Usługa Azure Database for MySQL używa zweryfikowanego modułu kryptograficznego FIPS 140-2 do szyfrowania danych magazynowanych. Dane, w tym kopie zapasowe, są szyfrowane na dysku, w tym pliki tymczasowe utworzone podczas uruchamiania zapytań. Usługa korzysta z 256-bitowego szyfru AES zawartego w szyfrowaniu magazynu platformy Azure, a klucze są zarządzane przez system. Szyfrowanie magazynu jest zawsze włączone i nie można go wyłączyć.
Bezpieczeństwo sieci
Połączenia z serwerem usługi Azure Database for MySQL są najpierw kierowane przez bramę regionalną. Brama ma publicznie dostępny adres IP, a adresy IP serwera są chronione. Aby uzyskać więcej informacji na temat bramy, zapoznaj się z artykułem dotyczącym architektury łączności.
Nowo utworzony serwer usługi Azure Database for MySQL ma zaporę blokującą wszystkie połączenia zewnętrzne. Chociaż docierają do bramy, nie mogą łączyć się z serwerem.
Reguły zapory bazujące na adresach IP
Zapora IP udziela dostępu do serwerów na podstawie źródłowego adresu IP każdego żądania. Aby uzyskać więcej informacji, zobacz omówienie reguł zapory.
Reguły zapory sieci wirtualnej
Punkty końcowe usługi sieci wirtualnej rozszerzają łączność sieci wirtualnej za pośrednictwem sieci szkieletowej platformy Azure. Korzystając z reguł sieci wirtualnej, możesz włączyć serwer usługi Azure Database for MySQL, aby zezwolić na połączenia z wybranych podsieci w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz omówienie punktu końcowego usługi dla sieci wirtualnej.
Prywatny adres IP
Usługa Private Link umożliwia łączenie się z usługą Azure Database for MySQL na platformie Azure za pośrednictwem prywatnego punktu końcowego. Usługa Azure Private Link zasadniczo łączy usługi platformy Azure z Twoją prywatną siecią wirtualną. Dostęp do zasobów PaaS można uzyskać przy użyciu prywatnego adresu IP, podobnie jak w przypadku każdego innego zasobu w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz omówienie łącza prywatnego
Zarządzanie dostępem
Podczas tworzenia serwera usługi Azure Database for MySQL należy podać poświadczenia dla użytkownika administratora. Ten administrator może służyć do tworzenia dodatkowych użytkowników programu MySQL.
Ochrona przed zagrożeniami
Możesz wyrazić zgodę na korzystanie z usługi Microsoft Defender dla relacyjnych baz danych typu open source, które wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do serwerów lub wykorzystania ich.
Rejestrowanie inspekcji jest dostępne do śledzenia aktywności w bazach danych.
Następne kroki
- Włączanie reguł zapory dla adresów IP lub sieci wirtualnych