Compartir a través de

Cifrado de datos para Azure Database for MySQL con Azure Portal

En este artículo se muestra cómo configurar y administrar el cifrado de datos para Azure Database for MySQL, que se centra en el cifrado en reposo, que protege los datos almacenados en la base de datos.

En este artículo aprenderá a:

  • Establezca el cifrado de datos para Azure Database for MySQL.
  • Configurar el cifrado de datos para la restauración.
  • Configure el cifrado de datos para los servidores de réplica.

La configuración del acceso a la bóveda de claves de Azure ahora admite dos tipos de modelos de permisos: el Control de acceso basado en roles de Azure y la Directiva de acceso a la bóveda. En el artículo se describe cómo configurar el cifrado de datos para Azure Database for MySQL mediante una directiva de acceso de Vault.

Puede optar por usar RBAC de Azure como modelo de permisos para conceder acceso a Azure Key Vault. Para ello, necesita un rol integrado o personalizado que tenga los siguientes tres permisos y asígnelo a través de "asignaciones de roles" mediante la pestaña Control de acceso (IAM) del almacén de claves:

  • KeyVault/vaults/keys/wrap/action
  • KeyVault/vaults/keys/unwrap/action
  • KeyVault/vaults/keys/read. En el caso de HSM administrado de Azure Key Vault, también tendrá que asignar la asignación de roles "Usuario de cifrado de servicio criptográfico de HSM administrado" en RBAC.

Tipos de cifrado

Azure Database for MySQL admite dos tipos principales de cifrado para ayudar a proteger los datos. El cifrado en reposo garantiza que todos los datos almacenados en la base de datos, incluidas las copias de seguridad y los registros, están protegidos contra el acceso no autorizado mediante el cifrado en el disco. El cifrado en tránsito (también conocido como cifrado de comunicaciones) protege los datos a medida que se mueven entre las aplicaciones cliente y el servidor de bases de datos, normalmente mediante protocolos TLS/SSL. Juntos, estos tipos de cifrado proporcionan protección completa para los datos tanto mientras se almacenan como cuando se transmiten.

  • Cifrado en reposo: protege los datos almacenados en la base de datos, las copias de seguridad y los registros. Este es el enfoque principal de este artículo.
  • Cifrado de comunicaciones (cifrado en tránsito): protege los datos a medida que viaja entre el cliente y el servidor, normalmente mediante protocolos TLS/SSL.

Requisitos previos

    > [! NOTA] > Con una cuenta gratuita de Azure, ahora puede probar El servidor flexible de Azure Database for MySQL de forma gratuita durante 12 meses. Para más información, consulte Uso de una cuenta gratuita de Azure para probar Azure Database for MySQL: servidor flexible de forma gratuita.

Establecimiento de los permisos adecuados para las operaciones de clave

  1. En Key Vault, seleccione Directivas de acceso y, a continuación, seleccione Crear.

Recorte de pantalla de la directiva de acceso de Key Vault en Azure Portal.

  1. En la pestaña Permisos , seleccione los siguientes permisos de clave: Obtener , Enumerar , Ajustar clave , Desencapsular clave.

  2. En la pestaña Entidad de seguridad, seleccione la identidad administrada asignada por el usuario.

Recorte de pantalla de la pestaña entidad de seguridad en Azure Portal.

  1. Seleccione Crear.

Configuración de la clave administrada por el cliente

Para configurar la clave administrada por el cliente, siga estos pasos.

  1. En el portal, vaya a la instancia de servidor flexible de Azure Database for MySQL y, después, en Seguridad , seleccione Cifrado de datos.

Recorte de pantalla de la página de cifrado de datos.

  1. En la página Cifrado de datos , en Sin identidad asignada , seleccione Cambiar identidad ,

  2. En el cuadro de diálogo Seleccionar identidad administrada asignada por el usuario* , seleccione la identidad demo-umi y, a continuación, seleccione Agregar**.

Recorte de pantalla de la selección de demo-umi en la página de identidad administrada asignada.

  1. A la derecha del método de selección de claves, seleccione una clave y especifique un almacén de claves y un par de claves, o bien escriba un identificador de clave.

Recorte de pantalla del método de selección de claves para mostrar al usuario.

  1. Seleccione Guardar.

Uso del cifrado de datos para la restauración

Para usar el cifrado de datos como parte de una operación de restauración, siga estos pasos.

  1. En Azure Portal, vaya a la página Información general del servidor y seleccione Restaurar.     1. En la pestaña Seguridad , especifique la identidad y la clave.

Recorte de pantalla de la página de información general.

  1. Seleccione Cambiar identidad y seleccione la identidad administrada asignada por el usuario y seleccione Agregarpara seleccionar la clave , puede seleccionar un almacén de claves y un par de claves o escribir un identificador de clave

Recorte de pantalla de la página de cambio de identidad.

Uso de cifrado de datos para los servidores de réplica

Después de cifrar la instancia de servidor flexible de Azure Database for MySQL con la clave administrada de un cliente almacenada en Key Vault, también se cifra cualquier copia recién creada del servidor.

  1. Para la replicación de configuración, en Configuración , seleccione Replicación y, a continuación, seleccione Agregar réplica.

Recorte de pantalla de la página Replicación.

  1. En el cuadro de diálogo Agregar servidor de réplica a Azure Database for MySQL, seleccione la opción Proceso y almacenamiento adecuada y, a continuación, seleccione Aceptar.

Recorte de pantalla de la página Proceso y almacenamiento.

    > [! IMPORTANTE] Al intentar cifrar un servidor flexible de Azure Database for MySQL con una clave administrada por el cliente que ya tiene réplicas, se recomienda configurar una o varias réplicas agregando la identidad administrada y la clave.

Contenido relacionado

  • Last updated on