Konektivitas SSL/TLS di Azure Database for MySQL
BERLAKU UNTUK
Azure Database for MySQL - Server Tunggal
Penting
Server tunggal Azure Database for MySQL berada di jalur penghentian. Kami sangat menyarankan Agar Anda meningkatkan ke server fleksibel Azure Database for MySQL. Untuk informasi selengkapnya tentang migrasi ke server fleksibel Azure Database for MySQL, lihat Apa yang terjadi pada Server Tunggal Azure Database for MySQL?
Azure Database for MySQL mendukung menyambungkan server database Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database dan aplikasi klien Anda membantu melindungi dari serangan "man in the middle" dengan mengenkripsi aliran data antara server dan aplikasi Anda.
Catatan
Memperbarui nilai parameter server require_secure_transport tidak memengaruhi perilaku layanan MySQL. Gunakan fitur penegakan SSL dan TLS yang diuraikan dalam artikel ini untuk mengamankan koneksi ke database Anda.
Catatan
Berdasarkan umpan balik dari pelanggan, kami telah memperpanjang penghentian sertifikat akar untuk CA Baltimore Root kami yang ada hingga 15 Februari 2021 (15/02/2021).
Penting
Sertifikat akar SSL diatur ke kedaluwarsa pada 15 Februari 2021 (15/02/2021). Perbarui aplikasi Anda untuk menggunakan sertifikat baru. Untuk mempelajari lebih lanjut, lihat pembaruan sertifikat yang direncanakan
Pengaturan Default SSL
Secara default, layanan database harus dikonfigurasi untuk memerlukan koneksi SSL saat menyambungkan ke MySQL. Sebaiknya hindari menonaktifkan opsi SSL jika memungkinkan.
Saat memprovisikan server Azure Database for MySQL baru melalui portal Microsoft Azure dan CLI, penegakan koneksi SSL diaktifkan secara default.
String koneksi untuk berbagai bahasa komputer ditampilkan di portal Microsoft Azure. String koneksi tersebut mencakup parameter SSL yang diperlukan untuk menyambungkan ke database Anda. Di portal Azure, pilih server Anda. Di bawah judul Pengaturan, pilih String koneksi. Parameter SSL bervariasi berdasarkan konektor, misalnya "ssl=true" atau "sslmode=require" atau "sslmode=required" dan variasi lainnya.
Dalam beberapa kasus, aplikasi memerlukan file sertifikat lokal yang dihasilkan dari file sertifikat Otoritas Sertifikat (CA) tepercaya agar tersambung dengan aman. Saat ini pelanggan hanya dapat menggunakan sertifikat yang telah ditentukan sebelumnya untuk menyambungkan ke server Azure Database for MySQL, yang terletak di https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem.
Demikian pula, tautan berikut menunjuk ke sertifikat untuk server di sovereign cloud: Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet, dan Azure Jerman.
Untuk mempelajari cara mengaktifkan atau menonaktifkan koneksi aman saat mengembangkan aplikasi, lihat Cara mengonfigurasi SSL.
Penegakan TLS di Azure Database for MySQL
Azure Database for MySQL mendukung enkripsi untuk klien yang terhubung ke server database Anda menggunakan Keamanan Lapisan Transportasi (TLS). TLS adalah protokol standar industri yang memastikan koneksi jaringan terenkripsi antara server database dan aplikasi klien, sehingga Anda dapat memenuhi persyaratan kepatuhan.
pengaturan TLS
Azure Database for MySQL menyediakan kemampuan untuk menerapkan versi TLS untuk koneksi klien. Untuk menerapkan versi TLS, gunakan pengaturan opsi versi TLS minimum. Nilai-nilai berikut ini diperbolehkan untuk pengaturan opsi ini:
| Pengaturan TLS minimum | Versi TLS klien yang didukung |
|---|---|
| TLSEnforcementDisabled (default) | Tidak memerlukan TLS |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 dan yang lebih tinggi |
| TLS1_1 | TLS 1.1, TLS 1.2 dan yang lebih tinggi |
| TLS1_2 | TLS versi 1.2 dan yang lebih tinggi |
Misalnya, mengatur nilai versi pengaturan TLS minimum ke TLS 1.0 berarti server Anda mengizinkan koneksi dari klien menggunakan TLS 1.0, 1.1, dan 1.2+. Atau, dengan mengaturnya ke 1.2, Anda hanya mengizinkan koneksi dari klien yang menggunakan TLS 1.2+ dan semua koneksi dengan TLS 1.0 dan TLS 1.1 akan ditolak.
Catatan
Secara default, Azure Database for MySQL tidak memberlakukan versi TLS minimum (pengaturan TLSEnforcementDisabled).
Setelah menerapkan versi TLS minimum, Anda tidak dapat menonaktifkan penerapan versi minimum nanti.
Pengaturan versi TLS minimum tidak memerlukan mulai ulang server apa pun dapat diatur saat server online. Untuk mempelajari cara mengatur pengaturan TLS untuk Azure Database for MySQL Anda, lihat Cara mengonfigurasi pengaturan TLS.
Dukungan cipher oleh server tunggal Azure Database for MySQL
Sebagai bagian dari komunikasi SSL/TLS, suite cipher divalidasi dan hanya suite cipher pendukung yang diizinkan untuk berkomunikasi ke server database. Validasi rangkaian cipher dikontrol di lapisan gateway dan tidak secara eksplisit pada simpul itu sendiri. Jika suite sandi tidak cocok dengan salah satu suite yang tercantum di bawah ini, koneksi klien masuk akan ditolak.
Rangkaian cipher didukung
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Langkah berikutnya
- Pustaka koneksi untuk Azure Database for MySQL
- Lihat cara mengonfigurasi SSL
- Lihat cara mengonfigurasi TLS