Dvojité šifrování infrastruktury Azure Database for MySQL
PLATÍ PRO:
Jednoúčelový server Azure Database for MySQL
Důležité
Jednoúčelový server Azure Database for MySQL je na cestě vyřazení. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for MySQL. Další informace o migraci na flexibilní server Azure Database for MySQL najdete v tématu Co se děje s jednoúčelovým serverem Azure Database for MySQL?
Azure Database for MySQL používá šifrování neaktivních uložených dat úložiště pro data pomocí spravovaných klíčů Microsoftu. Data, včetně záloh, se šifrují na disku a toto šifrování je vždy zapnuté a nejde je zakázat. Šifrování používá kryptografický modul ověřený standardem FIPS 140-2 a 256bitovou šifru AES pro šifrování úložiště Azure.
Dvojité šifrování infrastruktury přidává druhou vrstvu šifrování pomocí klíčů spravovaných službou. Používá kryptografický modul ověřený protokolEM FIPS 140-2, ale s jiným šifrovacím algoritmem. To poskytuje další vrstvu ochrany neaktivních uložených dat. Klíč používaný ve dvojitém šifrování infrastruktury spravuje také služba Azure Database for MySQL. Dvojité šifrování infrastruktury není ve výchozím nastavení povolené, protože další vrstva šifrování může mít vliv na výkon.
Poznámka:
Podobně jako šifrování neaktivních uložených dat se tato funkce podporuje jenom v úložišti pro obecné účely verze 2 (podpora až 16 TB) dostupné v cenových úrovních Pro obecné účely a Optimalizováno pro paměť. Další podrobnosti najdete v konceptech úložiště. Další omezení najdete v části omezení .
Šifrování vrstvy infrastruktury má výhodu implementace na vrstvě, která je nejblíže úložnému zařízení nebo síťovým drátům. Azure Database for MySQL implementuje dvě vrstvy šifrování pomocí klíčů spravovaných službou. I když je technicky vzato ve vrstvě služby, je velmi blízko hardwaru, který ukládá neaktivní uložená data. Šifrování neaktivních uložených dat můžete volitelně povolit pomocí klíče spravovaného zákazníkem pro zřízený server MySQL.
Implementace ve vrstvách infrastruktury také podporuje rozmanitost klíčů. Infrastruktura musí znát různé clustery počítačů a sítí. Různé klíče se používají k minimalizaci poloměru výbuchu útoků na infrastrukturu a různých selhání hardwaru a sítě.
Poznámka:
Dvojité šifrování infrastruktury bude mít 5 až 10% dopad na propustnost vašeho serveru Azure Database for MySQL kvůli dalšímu procesu šifrování.
Zaměstnanecké výhody
Dvojité šifrování infrastruktury pro Službu Azure Database for MySQL poskytuje následující výhody:
- Další rozmanitost implementace kryptografie – plánovaný přechod na hardwarové šifrování dále rozšíří implementace tím, že kromě softwarové implementace poskytne implementaci založenou na hardwaru.
- Chyby implementace – Dvě vrstvy šifrování vrstvy infrastruktury chrání před všemi chybami při ukládání do mezipaměti nebo správy paměti ve vyšších vrstvách, které zpřístupňují data prostého textu. Kromě toho tyto dvě vrstvy také zajišťují proti chybám při implementaci šifrování obecně.
Kombinace těchto možností poskytuje silnou ochranu před běžnými hrozbami a slabými místy používanými k útoku na kryptografii.
Podporované scénáře s dvojitým šifrováním infrastruktury
Možnosti šifrování poskytované službou Azure Database for MySQL je možné používat společně. Níže najdete souhrn různých scénářů, které můžete použít:
| ## | Výchozí šifrování | Dvojité šifrování infrastruktury | Šifrování dat pomocí klíčů spravovaných zákazníkem |
|---|---|---|---|
| 0 | Ano | Ne | Ne |
| 2 | Ano | Ano | Ne |
| 3 | Ano | Ne | Ano |
| 4 | Ano | Ano | Ano |
Důležité
- Scénář 2 a 4 může zavést 5 až 10% pokles propustnosti na základě typu úlohy pro server Azure Database for MySQL kvůli další vrstvě šifrování infrastruktury.
- Konfigurace dvojitého šifrování infrastruktury pro Službu Azure Database for MySQL je povolená pouze během vytváření serveru. Po zřízení serveru nemůžete změnit šifrování úložiště. Přesto ale můžete povolit šifrování dat pomocí klíčů spravovaných zákazníkem pro server vytvořený s dvojitým šifrováním infrastruktury nebo bez infrastruktury.
Omezení
Pro Službu Azure Database for MySQL má podpora dvojitého šifrování infrastruktury několik omezení –
Podpora této funkce je omezená na cenové úrovně Pro obecné účely a Optimalizováno pro paměť.
Tato funkce se podporuje jenom v oblastech a serverech, které podporují úložiště pro obecné účely verze 2 (až 16 TB). Seznam oblastí Azure podporujících úložiště až 16 TB najdete v této dokumentaci v části Úložiště.
Poznámka:
- Všechny nové servery MySQL vytvořené v oblastech Azure, které podporují úložiště pro obecné účely verze 2, je k dispozici podpora šifrování pomocí klíčů zákaznického manažera. Server obnovení k určitému bodu v čase nebo replika pro čtení se kvalifikovat nebude, i když jsou teoreticky "nové".
- Pokud chcete ověřit, jestli máte zřízené úložiště pro obecné účely v2, přejděte na portálu do okna cenová úroveň a podívejte se na maximální velikost úložiště podporovanou vaším zřízeným serverem. Pokud můžete posuvník přesunout až do 4 TB, váš server je v úložišti pro obecné účely verze 1 a nebude podporovat šifrování pomocí klíčů spravovaných zákazníkem. Data se ale šifrují pomocí klíčů spravovaných službou. Pokud máte nějaké dotazy, kontaktujte AskAzureDBforMySQL@service.microsoft.com nás.
Další kroky
Zjistěte, jak nastavit dvojité šifrování infrastruktury pro službu Azure Database for MySQL.