تشفير مزدوج للبنية الأساسية لـ Azure Database for MySQL

تنطبق على:قاعدة بيانات Azure لخادم MySQL الوحيد

تستخدم Azure Database for MySQL تشفير تخزين البيانات الثابتة للبيانات باستخدام مفاتيح Microsoft المدارة. يتم تشفير البيانات، بما في ذلك النسخ الاحتياطية، على القرص وهذا التشفيرقيد التشغيلدائما ولا يمكن تعطيله. يستخدم التشفير وحدة تشفير تم التحقق من صحتها FIPS 140-2 وتشفير AES 256 بت لتشفير تخزين Azure.

يضيف التشفير المزدوج للبنية الأساسية طبقة ثانية من التشفير باستخدام مفاتيح مُدارة بواسطة الخدمة. يستخدم وحدة تشفير تم التحقق من صحتها FIPS 140-2، ولكن مع خوارزمية تشفير مختلفة. يوفر هذا طبقة إضافية من الحماية للبيانات الخاصة بك في حالة الثبات. تتم أيضاً إدارة المفتاح المستخدم في التشفير المزدوج للبنية الأساسية بواسطة خدمة Azure Database for MySQL. لا يتم تمكين التشفير المزدوج للبنية الأساسية بشكل افتراضي نظراً لأن الطبقة الإضافية من التشفير يمكن أن يكون لها تأثير على الأداء.

ملاحظة

يتم دعم هذه الميزة فقط على تخزين "التخزين للأغراض العامة v2 (دعم يصل إلى 16 تيرابايت)" المتوفرة في مستويات الأسعار للأغراض العامة والذاكرة المحسنة. راجع مفاهيم التخزين لمزيد من التفاصيل. للمزيد من القيود الأخرى، يرجى مراجعة قسم التقييدات.

تشفير طبقة البنية الأساسية له فائدة تنفيذه في الطبقة الأقرب إلى جهاز التخزين أو أسلاك الشبكة. تنفذ Azure Database for MySQL طبقتين من التشفير باستخدام مفاتيح مدارة بواسطة الخدمة. رغم أنه لا يزال من الناحية الفنية في طبقة الخدمة، إلا أنه قريب جداً من الأجهزة التي تخزن البيانات الثابتة. لا يزال بإمكانك اختيارياً تمكين تشفير البيانات الثابتة باستخدام المفتاح المدار من قبل العميل لخادم MySQL المتوفر.

كما يدعم التنفيذ في طبقات البنية الأساسية مجموعة متنوعة من المفاتيح. يجب أن تكون البنية الأساسية على دراية بمجموعة مختلفة من الأجهزة والشبكات. على هذا النحو، يتم استخدام مفاتيح مختلفة لتقليل نصف قطر الانفجار لهجمات البنية الأساسية ومجموعة متنوعة من عمليات فشل الأجهزة والشبكة.

ملاحظة

سيكون لاستخدام التشفير المزدوج للبنية الأساسية تأثير بنسبة 5-10% على معدل نقل قاعدة بيانات Azure لخادم MySQL بسبب عملية التشفير الإضافية.

المزايا

يوفر التشفير المزدوج للبنية الأساسية لـ Azure Database for MySQL المزايا التالية:

  1. تنوع إضافي في تنفيذ التشفير - سيؤدي الانتقال المخطط له إلى التشفير المستند إلى الأجهزة إلى زيادة تنويع عمليات التنفيذ من خلال توفير تنفيذ مستند إلى الأجهزة بالإضافة إلى التنفيذ المستند إلى البرامج.
  2. أخطاء التنفيذ - تحمي طبقتان من التشفير في طبقة البنية الأساسية من أي أخطاء في التخزين المؤقت أو إدارة الذاكرة في الطبقات العليا التي تعرض بيانات النص غير المشفر. بالإضافة إلى ذلك، تضمن الطبقتان أيضاً حماية ضد الأخطاء في تنفيذ التشفير بشكل عام.

يوفر الجمع بين هذه الحماية القوية ضد التهديدات الشائعة والثغرات الأمنية المستخدمة لمهاجمة التشفير.

السيناريوهات المدعومة مع التشفير المزدوج للبنية الأساسية

يمكن استخدام قدرات التشفير التي توفرها Azure Database for MySQL معاً. فيما يلي ملخص للسيناريوهات المختلفة التي يمكنك استخدامها:

## التشفير الافتراضي التشفير المزدوج للبنية الأساسية تشفير بيانات باستخدام مفاتيح مُدارة بواسطة العميل
1 نعم لا لا
2 نعم نعم لا
3 نعم لا نعم
4 نعم نعم نعم

هام

  • يمكن أن يقدم السيناريو 2 و4 انخفاضاً بنسبة 5-10 في المائة في معدل النقل استناداً إلى نوع حمل العمل لقاعدة بيانات Azure لخادم MySQL بسبب الطبقة الإضافية من تشفير البنية الأساسية.
  • يسمح بتكوين التشفير المزدوج للبنية الأساسية لـ Azure Database for MySQL فقط أثناء إنشاء الخادم. بمجرد تزويد المورد، لا يمكنك تغيير خيار التكرار لتخزين النسخ الاحتياطي. ومع ذلك، لا يزال بإمكانك تمكين تشفير البيانات باستخدام مفاتيح مُدارة بواسطة العميل للخادم الذي تم إنشاؤه باستخدام/بدون تشفير مزدوج للبنية الأساسية.

التقييدات

لـ Azure Database for MySQL، فإن دعم التشفير المزدوج للبنية الأساسية له قيود قليلة -

  • يقتصر دعم هذه الوظيفة على مستويات الأسعار للأغراض العامة والذاكرة المحسنة.

  • هذه الميزة مدعومة فقط في المناطق والخوادم، التي تدعم تخزين الأغراض العامة v2 (حتى 16 تيرابايت). للحصول على قائمة مناطق Azure التي تدعم التخزين حتى 16 تيرابايت، يرجى مراجعة قسم التخزين في الوثائق هنا

    ملاحظة

    • جميع خوادم MySQL الجديدة التي تم إنشاؤها في مناطق Azure التي تدعم تخزين الأغراض العامة v2، يتوفر دعم التشفير باستخدام مفاتيح مدير العملاء. لن يتأهل خادم Point In Time Restored (PITR) أو قراءة النسخة المتماثلة رغم أنها "جديدة" من الناحية النظرية.
    • للتحقق من صحة إذا كان خادمك المخصص للتخزين للأغراض العامة v2، يمكنك الانتقال إلى جزء مستوى الأسعار في المدخل ورؤية الحد الأقصى لحجم التخزين المدعوم من الخادم المقدم لديك. إذا كان بإمكانك نقل شريط التمرير حتى 4 تيرابايت، فإن الخادم الخاص بك يعمل على التخزين للأغراض العامة v1 ولن يدعم التشفير باستخدام المفاتيح المدارة من قبل العميل. ومع ذلك، يتم تشفير البيانات باستخدام مفاتيح مدارة من خلال الخدمة في جميع الأوقات. يرجى التواصل مع AskAzureDBforMySQL@service.microsoft.com إن كانت لديك أي أسئلة.

الخطوات التالية

تعرف على كيفية إعداد وإدارة التشفير المزدوج للبنية الأساسية لقاعدة بياناتك في Azure لـ MySQL.