dvojité šifrování infrastruktury Azure Database for MySQL

PLATÍ PRO: Azure Database for MySQL – jeden server

Azure Database for MySQL používá šifrování neaktivních uložených dat úložiště pro data pomocí spravovaných klíčů Microsoftu. Data, včetně záloh, se šifrují na disku a toto šifrování je vždy zapnuté a nejde je zakázat. Šifrování používá ověřený kryptografický modul FIPS 140-2 a 256bitovou šifru AES pro šifrování úložiště Azure.

Dvojité šifrování infrastruktury přidává druhou vrstvu šifrování pomocí klíčů spravovaných službou. Používá ověřený kryptografický modul FIPS 140-2, ale s jiným šifrovacím algoritmem. To poskytuje další vrstvu ochrany neaktivních uložených dat. Klíč použitý v dvojitém šifrování infrastruktury je také spravován službou Azure Database for MySQL. Dvojité šifrování infrastruktury není ve výchozím nastavení povolené, protože další vrstva šifrování může mít vliv na výkon.

Poznámka

Stejně jako šifrování neaktivních uložených dat se tato funkce podporuje jenom v úložišti Pro obecné účely Storage v2 (podpora až 16TB) dostupném v cenových úrovních Pro obecné účely a Optimalizováno pro paměť. Další podrobnosti najdete v Storage konceptech. Další omezení najdete v části omezení .

Šifrování vrstvy infrastruktury má výhodu implementace na vrstvě, která je nejblíže úložnému zařízení nebo síťovým drátům. Azure Database for MySQL implementuje dvě vrstvy šifrování pomocí klíčů spravovaných službou. I když je stále technicky ve vrstvě služby, je velmi blízko hardwaru, který ukládá neaktivní uložená data. Šifrování neaktivních uložených dat můžete i nadále povolit pomocí klíče spravovaného zákazníkem pro zřízený server MySQL.

Implementace ve vrstvách infrastruktury také podporuje rozmanitost klíčů. Infrastruktura musí znát různé clustery počítačů a sítí. Různé klíče se používají k minimalizaci poloměru výbuchu útoků infrastruktury a řady hardwarových a síťových selhání.

Poznámka

Dvojité šifrování infrastruktury bude mít 5 až 10 % vliv na propustnost vašeho Azure Database for MySQL serveru kvůli dalšímu procesu šifrování.

Výhody

Dvojité šifrování infrastruktury pro Azure Database for MySQL poskytuje následující výhody:

  1. Další rozmanitost implementace kryptografie – plánovaný přechod na hardwarové šifrování bude dále různorodé implementace tím, že kromě implementace založené na softwaru zajistí implementaci založenou na hardwaru.
  2. Chyby implementace – Dvě vrstvy šifrování na vrstvě infrastruktury chrání před všemi chybami při ukládání do mezipaměti nebo správě paměti ve vyšších vrstvách, které zpřístupňují data prostého textu. Kromě toho tyto dvě vrstvy také zajišťují chyby při implementaci šifrování obecně.

Kombinace těchto možností poskytuje silnou ochranu před běžnými hrozbami a slabými místy používanými k útoku na kryptografii.

Podporované scénáře s dvojitým šifrováním infrastruktury

Možnosti šifrování, které poskytuje Azure Database for MySQL, je možné použít společně. Níže je přehled různých scénářů, které můžete použít:

## Výchozí šifrování Dvojité šifrování infrastruktury Šifrování dat pomocí klíčů spravovaných zákazníkem
1 Ano Ne Ne
2 Ano Ano Ne
3 Ano Ne Ano
4 Ano Ano Ano

Důležité

  • Scénář 2 a 4 může zavést 5 až 10% pokles propustnosti na základě typu úlohy pro Azure Database for MySQL server kvůli další vrstvě šifrování infrastruktury.
  • Konfigurace dvojitého šifrování infrastruktury pro Azure Database for MySQL je povolena pouze při vytváření serveru. Po zřízení serveru nemůžete změnit šifrování úložiště. Šifrování dat však můžete povolit pomocí klíčů spravovaných zákazníkem pro server vytvořený s dvojitým šifrováním infrastruktury nebo bez toho.

Omezení

Pro Azure Database for MySQL má podpora dvojitého šifrování infrastruktury několik omezení –

  • Podpora této funkce je omezená na cenové úrovně Pro obecné účely a Optimalizováno pro paměť.

  • Tato funkce je podporována pouze v oblastech a serverech, které podporují úložiště pro obecné účely verze 2 (až 16 TB). Seznam oblastí Azure podporujících úložiště až 16 TB najdete v části Úložiště v dokumentaci .

    Poznámka

    • Všechny nové servery MySQL vytvořené v oblastech Azure podporující úložiště pro obecné účely verze 2 jsou k dispozici podporu šifrování pomocí klíčů customer manageru. Server obnovení k určitému bodu v čase (PITR) nebo replika čtení nebude mít nárok, i když v teorii jsou "nové".
    • Pokud chcete ověřit, jestli máte zřízené úložiště pro obecné účely v2, můžete přejít na okno cenové úrovně na portálu a zobrazit maximální velikost úložiště podporovanou vaším zřízeným serverem. Pokud můžete posuvník přesunout nahoru na 4 TB, váš server je v úložišti pro obecné účely verze 1 a nebude podporovat šifrování pomocí klíčů spravovaných zákazníkem. Data se ale šifrují pomocí klíčů spravovaných službou vždy. Pokud máte nějaké dotazy, obraťte se na AskAzureDBforMySQL@service.microsoft.com vás.

Další kroky

Zjistěte, jak nastavit dvojité šifrování infrastruktury pro službu Azure Database for MySQL.