Konfigurace síťových a bezpečnostních funkcí

  • 8 min

Mezi klíčové síťové a bezpečnostní funkce na flexibilním serveru Azure Database for MySQL patří řízení přístupu, připojení, podpora pro Microsoft Entra ID, centralizovaná platforma pro správu identit, rolí a oprávnění. Flexibilní servery MySQL ve výchozím nastavení také šifrují všechna přenášená data a umožňují šifrování neaktivních uložených dat pomocí klíčů spravovaných Azure nebo zákazníkem.

Sítě

Konfigurace síťového přístupu

Při vytváření flexibilního serveru MySQL můžete vybrat privátní přístup prostřednictvím služby Azure Virtual Network nebo veřejného přístupu pro ip adresy uvedené v seznamu povolených s volitelným privátním koncovým bodem. Po dokončení části Základy vyberte Další: Sítě a pak vyberte veřejný přístup a privátní koncový bod nebo privátní přístup:

Snímek obrazovky s výběrem síťového připojení mezi veřejným a privátním přístupem

Pokud vyberete veřejný přístup a privátní koncový bod, můžete zvolit, jestli se má databáze zveřejnit na internetu. Pokud není vybraná možnost Povolit veřejný přístup , je databáze přístupná jenom privátními koncovými body a nepoužívá veřejnou IP adresu. Pokud chcete zachovat veřejný přístup k internetu, vyberte Povolit veřejný přístup a pak v části Pravidla brány firewall přidejte IP adresy nebo rozsahy do seznamu povolených adres. Pokud chcete do seznamu povolených přidat všechny služby Azure v síti Azure, vyberte Povolit veřejný přístup z libovolné služby Azure v rámci Azure na tento server.

Snímek obrazovky s výběrem připojení k síti pro veřejný přístup a seznamem pravidel brány firewall

Kromě veřejného přístupu nebo místo něj můžete nakonfigurovat privátní koncový bod. Vzhledem k tomu, že Wingtip Toys plánuje provozovat síť VPN mezi místní sítí a Azure, přeskočíme privátní koncový bod. Další informace o nastavení privátního propojení najdete v referenční dokumentaci.

Pokud chcete povolit připojení jenom z virtuální sítě, vyberte privátní přístup a pak vyberte příslušné předplatné, virtuální síť a podsíť. Pokud nevyberete virtuální síť a podsíť, vytvoří se nová síť a podsíť.

Snímek obrazovky s nastavením virtuální sítě, včetně předplatného, virtuální sítě a podsítě

Nakonec musíte nastavit integraci privátního DNS pro připojení s plně kvalifikovaným názvem domény místo IP adresy, která se může změnit. Vyberte existující zónu DNS nebo nechte Azure vytvořit novou zónu za vás.

Snímek obrazovky s konfigurací integrace privátního DNS

Konfigurace šifrování během přenosu

Flexibilní servery MySQL ve výchozím nastavení přijímají pouze šifrovaná připojení pomocí protokolu TLS (Transport Layer Security) verze 1.2. Pokud vyvíjíte nové aplikace, které podporují protokol TLS 1.3, doporučujeme podporovat nebo vynutit novější verzi. K tomu proveďte následující kroky:

  1. Na webu Azure Portal vyberte flexibilní server MySQL, ke kterému se chcete připojit pomocí protokolu TLS 1.3.
  2. V části Parametry serveru zadejte tls_version na panelu hledání v horních nebovšech filtrech.
  3. V rozevíracím seznamu HODNOTA vyberte TLSv1.2 a/nebo TLSv1.3 a pak vyberte Uložit. Snímek obrazovky server-parameters-tls-version

Nešifrovaná připojení můžete také povolit nastavením hodnoty parametru require_secure_transport na vypnutou, i když to nedoporučujeme, pokud to není nezbytně nutné.

Microsoft Defender for Cloud

Microsoft Defender pro cloud je nákladově efektivní způsob detekce a upozorňování na neobvyklou nebo podezřelou databázovou aktivitu. Pokud ho chcete povolit, proveďte tyto kroky:

  1. Na webu Azure Portal vyberte flexibilní server MySQL, který chcete chránit pomocí Defenderu.

  2. V části Microsoft Defender for Cloud vyberte Povolit.

Snímek obrazovky s výběrem možnosti povolit Microsoft Defender for Cloud

Další informace o defenderu, včetně postupu konfigurace výstrah, najdete v referenční dokumentaci.

Povolení a připojení pomocí ověřování Microsoft Entra ID

Než začnete, potřebujete správně nakonfigurovanou uživatelsky spravovanou identitu (UMI). Identita potřebuje roli Čtenáři adresáře nebo tato jednotlivá oprávnění: User.Read.All, GroupMember.Read.All a Application.Read.ALL. Další informace o tom, jak tato oprávnění přidat, najdete v tomto kurzu.

Pokud chcete povolit ověřování Microsoft Entra ID pro flexibilní server Azure Database for MySQL, proveďte následující kroky:

  1. Na webu Azure Portal vyberte flexibilní server MySQL, ke kterému se chcete připojit pomocí ID Microsoft Entra.

  2. V části Zabezpečení vyberte Ověřování.

    Snímek obrazovky s konfigurací Microsoft Entra ID

  3. V části Přiřadit přístup vyberte buď: Pouze ověřování Microsoft Entra (zakáže nativní přihlášení uživatele/heslo MySQL) nebo Ověřování MySQL a Microsoft Entra (umožňuje nativní přihlášení MySQL a Microsoft Entra).

  4. Pod nadpisem Vybrat identitu vyberte UMI dříve uvedené v této jednotce.

  5. Vyberte uživatele nebo skupinu Microsoft Entra, který má být správcem Microsoft Entra. Pokud vyberete skupinu, všichni členové skupiny jsou správci. Můžete mít jenom jednoho uživatele nebo skupinu správců a výběrem jiného nahradíte předchozího správce.

    S povoleným ID Microsoft Entra se teď můžete připojit k flexibilnímu serveru MySQL pomocí ověřování Microsoft Entra ID pomocí následujícího postupu.

  6. Ověřování prostředí pomocí Azure Pokud používáte Azure Cloud Shell, vaše identita je už v relaci nakonfigurovaná, takže se nemusíte přihlašovat. Pokud používáte neověřený terminál, spusťte následující příkazy:

    az login
az account set --subscription <subscription_id>

  7. Spuštěním následujícího příkazu v ověřeném prostředí načtěte přístupový token:

    az account get-access-token --resource-type oss-rdbms

  8. Pokud se chcete přihlásit, zkopírujte přístupový token uvedený a použijte ho jako heslo. Pokud chcete přístupový token předat přímo klientovi mysql, spusťte v Linuxu následující příkaz:

    mysql -h mydb.mysql.database.azure.com \
 --user user@tenant.onmicrosoft.com \
 --enable-cleartext-plugin \
 --password=`az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken`

    Pokud používáte PowerShell, spusťte následující příkaz:

    mysql -h mydb.mysql.database.azure.com \
 --user user@tenant.onmicrosoft.com \
 --enable-cleartext-plugin \
 --password=$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken)

    Při použití jiných klientů, jako je MySQL Workbench, stačí přístupový token vložit do pole hesla.

Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem

Šifrování neaktivních uložených dat můžete nakonfigurovat pomocí webu Azure Portal nebo pomocí Azure CLI. Než ale budete moct povolit šifrování pomocí klíčů spravovaných zákazníkem, musíte ověřit, že jsou splněné následující požadavky:

  • Identita spravovaná uživatelem (UMI) Pro přístup k trezoru klíčů potřebujete UMI.

  • Oprávnění. Nastavte přístup na základě role (IAM) nebo zásady přístupu trezoru a udělte UMI následující oprávnění: Získání, výpis, zalomení klíče a rozbalení klíče.

  • Povolte [soft-delete](/azure/key-vault/general/soft-delete-overview" /l "soft-delete-behavior). Při náhodné ztrátě přístupu k šifrovacímu klíči může dojít ke ztrátě trvalých dat. Povolení obnovitelného odstranění jako vrstvy ochrany Když k vytvoření nového trezoru klíčů použijete Azure Portal, je ve výchozím nastavení povolené obnovitelné odstranění.

    Pokud znáte název trezoru, ale ne ID, můžete ho vyhledat spuštěním následujícího příkazu:

    az keyvault show --name $KEY_VAULT_NAME

    Pokud chcete povolit obnovitelné odstranění v existujícím trezoru, spusťte:

    az resource update --id $KEY_VAULT_ID --set properties.enableSoftDelete=true

  • Povolte ochranu před vymazáním. Obnovitelně odstraněný klíč může být stále nesprávně vyprázdněný před koncem doby uchovávání kvůli chybě uživatele nebo kódu. Použití ochrany před vymazáním nastaví dobu uchovávání odstraněných objektů před jejich trvalým odebráním.

Teď můžete pomocí webu Azure Portal nebo Azure CLI nakonfigurovat klíč spravovaný zákazníkem pro šifrování neaktivních uložených dat.

Pokud používáte Azure Portal:

  1. Přejděte na instanci flexibilního serveru a pak v části Zabezpečení vyberte Šifrování dat.

    Snímek obrazovky se stránkou nastavení pro výběr klíče spravovaného zákazníkem

  2. V části Šifrování dat vyberte + Vybrat. V dialogovém okně Vybrat spravovanou identitu přiřazenou uživatelem vyberte spravovanou identitu přiřazenou uživatelem identifikovanou v požadavcích, vyberte identitu a pak vyberte Přidat.

    Snímek obrazovky s dialogovým oknem pro výběr spravované identity přiřazené uživatelem

  3. Pak vyberte buď zadat identifikátor klíče a zadejte ID, nebo v dialogovém okně Vybratklíč vyberte klíč zadáním identifikátoru nebo výběrem trezoru klíčů a klíče.

  4. Vyberte Uložit.

Pokud používáte Azure CLI, spusťte následující příkaz:

az mysql flexible-server update --resource-group $RESOURCE_GROUP --name $TEST_SERVER --key $KEY_IDENTIFIER --identity $IDENTITY