Zabezpečení ve službě Azure Database for MySQL

  • Článek

PLATÍ PRO: Jednoúčelový server Azure Database for MySQL

Důležité

Jednoúčelový server Azure Database for MySQL je na cestě vyřazení. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for MySQL. Další informace o migraci na flexibilní server Azure Database for MySQL najdete v tématu Co se děje s jednoúčelovým serverem Azure Database for MySQL?

K dispozici je několik vrstev zabezpečení, které chrání data na serveru Azure Database for MySQL. Tento článek popisuje tyto možnosti zabezpečení.

Ochrana a šifrování informací

Při přenosu

Azure Database for MySQL zabezpečuje vaše data šifrováním přenášených dat pomocí transportní vrstvy Security. Šifrování (SSL/TLS) se ve výchozím nastavení vynucuje.

Při nečinnosti

Služba Azure Database for MySQL používá kryptografický modul ověřený standardem FIPS 140-2 k šifrování neaktivních uložených dat. Data, včetně záloh, jsou na disku zašifrovaná, včetně dočasných souborů vytvořených při spouštění dotazů. Služba používá 256bitové šifrování AES, které je součástí šifrování úložiště Azure, a klíče jsou spravované systémem. Šifrování úložiště je vždycky aktivní a není možné ho zakázat.

Zabezpečení sítě

Připojení na server Azure Database for MySQL se nejprve směrují přes regionální bránu. Brána má veřejně přístupnou IP adresu, zatímco IP adresy serveru jsou chráněné. Další informace o bráně najdete v článku o architektuře připojení.

Nově vytvořený server Azure Database for MySQL má bránu firewall, která blokuje všechna externí připojení. I když se dostanou k bráně, nemůžou se připojit k serveru.

Pravidla brány firewall protokolu IP

Pravidla firewallu protokolu IP udělují přístup k serverům na základě zdrojové IP adresy každého požadavku. Další informace najdete v přehledu pravidel brány firewall.

Pravidla brány firewall virtuální sítě

Koncové body služby virtuální sítě rozšiřují připojení virtuální sítě přes páteřní síť Azure. Pomocí pravidel virtuální sítě můžete serveru Azure Database for MySQL povolit připojení z vybraných podsítí ve virtuální síti. Další informace najdete v přehledu koncového bodu služby virtuální sítě.

Privátní IP adresa

Private Link umožňuje připojení ke službě Azure Database for MySQL v Azure prostřednictvím privátního koncového bodu. Azure Private Link v podstatě přináší služby Azure do vaší privátní virtuální sítě. K prostředkům PaaS je možné přistupovat přes privátní IP adresu stejně jako k jakýmkoli jiným prostředkům ve virtuální síti. Další informace najdete v přehledu služby Private Link.

Správa přístupu

Při vytváření serveru Azure Database for MySQL zadáte přihlašovací údaje pro uživatele správce. Tento správce se dá použít k vytvoření dalších uživatelů MySQL.

Ochrana před hrozbami

Můžete se přihlásit k Programu Microsoft Defender pro opensourcové relační databáze , které detekují neobvyklé aktivity, které označují neobvyklé a potenciálně škodlivé pokusy o přístup k serverům nebo jejich zneužití.

Protokolování auditu je k dispozici ke sledování aktivit v databázích.

Další kroky