Konfigurer netværks- og sikkerhedsfunktioner

  • 8 minutter

Vigtige netværks- og sikkerhedsfunktioner i Azure Database til MySQL – Flexible Server omfatter adgangskontrol, forbindelse, understøttelse af Microsoft Entra ID, en central platform til administration af identiteter, roller og tilladelser. Fleksible MySQL-servere krypterer også som standard alle data under overførsel og aktiverer kryptering af inaktive data med Azure- eller kundeadministrerede nøgler.

Netværk

Konfigurer netværksadgang

Når du opretter en fleksibel MySQL-server, kan du vælge enten privat adgang via et Azure Virtual Network eller offentlig adgang for tilladte IP-adresser med et valgfrit privat slutpunkt. Når du har fuldført afsnittet grundlæggende, skal du vælge Næste: Netværkog derefter vælge enten Offentlig adgang og Privat slutpunkt eller Privat adgang:

Skærmbillede af valget af netværksforbindelse mellem offentlig og privat adgang.

Hvis du vælger Offentlig adgang og Privat slutpunkt, kan du vælge, om databasen skal vises på internettet. Hvis Tillad offentlig adgang ikke er markeret, er databasen kun tilgængelig for private slutpunkter og ikke ved hjælp af en offentlig IP-adresse. Hvis du vil bevare offentlig internetadgang, skal du vælge Tillad offentlig adgang derefter føje IP-adresser eller intervaller til listen over tilladte under afsnittet Firewallregler. Hvis du vil føje alle Azure-tjenester på Azure-netværket til listen over tilladte tjenester, skal du vælge Tillad offentlig adgang fra en hvilken som helst Azure-tjeneste i Azure til denne server.

Skærmbillede af valget af netværksforbindelse til offentlig adgang og en liste over firewallregler.

Ud over eller i stedet for offentlig adgang kan du konfigurere et privat slutpunkt. Da Wingtip Toys planlægger at drive en VPN mellem deres lokale netværk og Azure, springer vi det private slutpunkt over. Du kan få flere oplysninger om, hvordan du konfigurerer et privat link, i referencedokumentationen.

Hvis du kun vil tillade forbindelser fra det virtuelle netværk, skal du vælge Privat adgangog derefter vælge det relevante Subscription, Virtual networkog Subnet. Hvis du ikke vælger et virtuelt netværk og undernet, oprettes der et nyt netværk og undernet.

Skærmbillede af indstillingerne for det virtuelle netværk, herunder abonnement, virtuelt netværk og undernet.

Endelig skal du konfigurere Privat DNS-integration oprette forbindelse til et fuldt kvalificeret domænenavn i stedet for en IP-adresse, hvilket kan ændre sig. Vælg en eksisterende DNS-zone, eller lad Azure oprette en ny for dig.

Skærmbillede af konfiguration af privat DNS-integration.

Konfigurer kryptering under overførsel

Fleksible MySQL-servere accepterer som standard kun krypterede forbindelser ved hjælp af TLS (Transport Layer Security) version 1.2. Hvis du udvikler nye programmer, der understøtter TLS 1.3, anbefales det at understøtte eller endda gennemtvinge den nyere version. Det gør du ved at udføre følgende trin:

  1. På Azure Portal skal du vælge den Fleksible MySQL-server, du vil oprette forbindelse til med TLS 1.3.
  2. I afsnittet Server-parametre skal du angive tls_version i søgelinjen enten i Top eller Alle filtre.
  3. På rullelisten VALUE skal du vælge TLSv1.2 og/eller TLSv1.3og derefter vælge Gem. Skærmbillede af server-parameters-tls-version.

Du kan også tillade ukrypterede forbindelser ved at angive værdien af parameteren require_secure_transport til fra, selvom dette ikke anbefales, medmindre det er strengt nødvendigt.

Microsoft Defender for Cloud

Microsoft Defender for Cloud er en omkostningseffektiv måde at registrere og advare om uregelmæssigheder eller mistænkelig databaseaktivitet på. Udfør disse trin for at aktivere den:

  1. På Azure Portal skal du vælge den fleksible MySQL-server, du vil beskytte med Defender.

  2. I afsnittet Microsoft Defender for Cloud skal du vælge Aktivér.

Skærmbillede af afsnittet for at aktivere Microsoft Defender for Cloud.

Du kan få mere at vide om Defender, herunder hvordan du konfigurerer beskeder, i referencedokumentationen.

Aktivér og opret forbindelse ved hjælp af Microsoft Entra ID-godkendelse

Før du begynder, skal du have en korrekt konfigureret brugeradministreret identitet (UMI). Identiteten skal have rollen Directory Readers rolle eller disse individuelle tilladelser: User.Read.All, GroupMember.Read.Allog Application.Read.ALL. Du kan få flere oplysninger om, hvordan du tilføjer disse tilladelser, i dette selvstudium.

Hvis du vil aktivere Microsoft Entra ID-godkendelse for en fleksibel Azure Database til MySQL-server, skal du udføre følgende trin:

  1. På Azure Portal skal du vælge den Fleksible MySQL-server, du vil oprette forbindelse til ved hjælp af Microsoft Entra-id.

  2. I afsnittet Security skal du vælge Authentication.

    Skærmbillede af konfigurationen af Microsoft Entra ID.

  3. Under overskriften Tildel adgang tilskal du vælge enten: Kun Microsoft Entra-godkendelse (deaktiverer oprindeligt Logon med MySQL-bruger/adgangskode) eller MySQL- og Microsoft Entra-godkendelse (tillader oprindelige MySQL-og Microsoft Entra-logon).

  4. Under overskriften Vælg identitetskal du vælge den UMI, der er nævnt tidligere i denne enhed.

  5. Vælg en Microsoft Entra-bruger eller -gruppe, der skal være Microsoft Entra-administrator. Hvis du vælger en gruppe, er alle medlemmer af gruppen administratorer. Du kan kun have én administratorbruger eller -gruppe, og hvis du vælger en anden, erstattes den forrige administrator.

    Når Microsoft Entra ID er aktiveret, kan du nu oprette forbindelse til den fleksible MySQL-server ved hjælp af Microsoft Entra ID-godkendelse ved at udføre følgende trin.

  6. Godkend en shell med Azure. Hvis du bruger Azure Cloud Shell, er din identitet allerede konfigureret i sessionen, så det er ikke nødvendigt at logge på. Hvis du bruger en ikke-godkendt terminal, skal du køre følgende kommandoer:

    az login
az account set --subscription <subscription_id>

  7. Kør følgende kommando i en godkendt shell for at hente et adgangstoken:

    az konto get-access-token --resource-type oss-rdbms

  8. Hvis du vil logge på, skal du kopiere det viste adgangstoken og bruge det som adgangskode. Hvis du vil sende adgangstokenet direkte til mysql-klienten, skal du køre følgende kommando på Linux:

    mysql -h mydb.mysql.database.azure.com \
 --user user@tenant.onmicrosoft.com \
 --enable-cleartext-plugin \
 --password=`az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken`

    Hvis du bruger PowerShell, skal du køre følgende kommando:

    mysql -h mydb.mysql.database.azure.com \
 --user user@tenant.onmicrosoft.com \
 --enable-cleartext-plugin \
 --password=$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken)

    Når du bruger andre klienter, f.eks. MySQL Workbench, skal du blot indsætte adgangstokenet i adgangskodefeltet.

Kryptér inaktive data med kundeadministrerede nøgler

Du kan konfigurere kryptering som inaktiv ved hjælp af Azure Portal eller ved hjælp af Kommandolinjegrænsefladen i Azure. Før du kan aktivere kryptering med kundeadministrerede nøgler, skal du dog kontrollere, at følgende forudsætninger er på plads:

  • UMI-(User-Managed Identity). Du skal bruge en UMI, før databasen kan få adgang til key vault.

  • tilladelser. Konfigurer enten rollebaseret adgang (IAM) eller en vault-adgangspolitik, og tildel følgende tilladelser til UMI: Hent, Liste, Ombryd nøgle og Unwrap-nøgle.

  • Aktivér [soft delete-](/azure/key-vault/general/soft-delete-overview" /l "soft-delete-behavior). Hvis du ved et uheld mister adgangen til en krypteringsnøgle, kan det medføre permanent tab af data. Aktivér blød sletning som et beskyttelseslag. Når du bruger Azure Portal til at oprette en ny key vault, aktiveres blød sletning som standard.

    Hvis du kender vaultnavnet, men ikke id'et, kan du slå det op ved at køre:

    az keyvault show --name $KEY_VAULT_NAME

    Hvis du vil aktivere blød sletning i en eksisterende vault, skal du køre:

    az resource update --id $KEY_VAULT_ID --set properties.enableSoftDelete=true

  • Aktivér fjern beskyttelse. En blød slettet nøgle kan stadig fjernes forkert før slutningen af opbevaringsperioden på grund af bruger- eller kodefejl. Brug af beskyttelse mod fjernelse angiver en opbevaringsperiode for slettede objekter, før de fjernes permanent.

Nu kan du bruge Azure Portal eller Azure CLI til at konfigurere den kundeadministrerede nøgle til at kryptere inaktive data.

Hvis du bruger Azure Portal:

  1. Gå til din fleksible serverforekomst, og vælg derefter Datakrypteringunder Security.

    Skærmbillede af siden indstillinger for at vælge en kundeadministrerede nøgle.

  2. Under Datakrypteringskal du vælge + Vælg. I dialogboksen Vælg brugertildelt administreret identitet skal du vælge den brugertildelt administrerede identitet, der er identificeret i forudsætningerne, vælge identiteten og derefter vælge Tilføj.

    Skærmbillede af dialogboksen for at vælge en bruger tildelt administreret identitet.

  3. Vælg derefter enten angive et nøgle-id og angive id'et, eller vælg nøglen ved at angive id'et eller ved at vælge en key vault og nøgle i dialogboksen Vælgnøgle.

  4. Vælg Gem.

Hvis du bruger kommandolinjegrænsefladen i Azure, skal du køre følgende kommando:

az mysql flexible-server update --resource-group $RESOURCE_GROUP --name $TEST_SERVER --key $KEY_IDENTIFIER --identity $IDENTITY