Condividi tramite

Crittografia dei dati per Database di Azure per MySQL con il portale di Azure

Questo articolo illustra come configurare e gestire la crittografia dei dati per Database di Azure per MySQL, che è incentrata sulla crittografia dei dati inattivi, che protegge i dati archiviati nel database.

In questo articolo vengono illustrate le operazioni seguenti:

  • Impostare la crittografia dei dati per Database di Azure per MySQL.
  • Configurare la crittografia dei dati per il ripristino.
  • Configurare la crittografia dei dati per i server di replica.

La configurazione dell'accesso di Azure Key Vault supporta ora due tipi di modelli di autorizzazione: controllo degli accessi in base al ruolo di Azure e i criteri di accesso a Key Vault. L'articolo descrive come configurare la crittografia dei dati per Database di Azure per MySQL usando un criterio di accesso dell'insieme di credenziali.

È possibile scegliere di utilizzare Azure RBAC come modello di autorizzazione per concedere l'accesso ad Azure Key Vault. A tale scopo, è necessario un ruolo predefinito o personalizzato che disponga delle tre autorizzazioni seguenti e assegnarlo tramite "assegnazioni di ruolo" utilizzando la scheda Controllo di accesso (IAM) nel Key Vault.

  • KeyVault/vaults/keys/wrap/action
  • KeyVault/vaults/keys/unwrap/action
  • KeyVault/vaults/keys/read. Per il modulo di protezione hardware gestito da Azure Key Vault, è anche necessario assegnare l'assegnazione di ruolo "Utente crittografia del servizio di crittografia del servizio di protezione hardware gestito" nel controllo degli accessi in base al ruolo.

Tipi di crittografia

Database di Azure per MySQL supporta due tipi principali di crittografia per proteggere i dati. La crittografia dei dati inattivi garantisce che tutti i dati archiviati nel database, inclusi i backup e i log, siano protetti da accessi non autorizzati crittografandoli su disco. La crittografia in transito (nota anche come crittografia delle comunicazioni) protegge i dati durante lo spostamento tra le applicazioni client e il server di database, in genere usando protocolli TLS/SSL. Insieme, questi tipi di crittografia forniscono una protezione completa per i dati sia durante l'archiviazione che per la trasmissione.

  • Crittografia a riposo: Protegge i dati archiviati nel database, nei backup e nei log. Questo è l'obiettivo principale di questo articolo.
  • Crittografia delle comunicazioni (crittografia in transito): protegge i dati durante lo spostamento tra il client e il server, in genere tramite protocolli TLS/SSL.

Prerequisiti

  • Un account Azure con una sottoscrizione attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account Azure gratuito prima di iniziare.

    > [! NOTA] > Con un account Gratuito di Azure, è ora possibile provare il server flessibile di Database di Azure per MySQL gratuitamente per 12 mesi. Per altre informazioni, vedere Usare un account gratuito di Azure per provare gratuitamente Database di Azure per MySQL - Server flessibile.

Impostare le autorizzazioni appropriate per le operazioni delle chiavi

  1. In Key Vault selezionare Criteri di accesso e quindi + Crea.

Screenshot dei criteri di accesso di Key Vault nel portale di Azure.

  1. Nella scheda Autorizzazioni selezionare le seguenti Autorizzazioni chiave: Ottieni, Elenca, Esegui il wrapping della chiave, Annulla il wrapping della chiave.

  2. Nella scheda Entità di sicurezza selezionare l'identità gestita assegnata dall'utente.

Screenshot della scheda Entità di sicurezza nel portale di Azure.

  1. Selezionare Crea.

Configurare la chiave gestita dal cliente

Per configurare la chiave gestita dal cliente, seguire questa procedura.

  1. Nel portale passare all'istanza del server flessibile di Database di Azure per MySQL e quindi in Sicurezza, selezionare Crittografia dei dati.

Screenshot della pagina di crittografia dei dati.

  1. Nella pagina Crittografia dei dati, in Nessuna identità assegnata selezionare Cambia identità.

  2. Nella finestra di dialogo Seleziona l'identità gestita assegnata dall'utente* selezionare l'identità demo-umi e quindi selezionare Aggiungi**.

Screenshot della selezione di demo-umi nella pagina identità gestita assegnata.

  1. A destra di Metodo di selezione della chiave, Selezionare una chiave e specificare un Key Vault e una coppia di chiavi oppure selezionare Immettere un identificatore chiave.

Screenshot del metodo di selezione della chiave per visualizzare l'utente.

  1. Selezionare Salva.

Usare la crittografia dei dati per il ripristino

Per usare la crittografia dei dati come parte di un'operazione di ripristino, seguire questa procedura.

  1. Nel portale di Azure passare alla pagina Panoramica per il server e selezionare Ripristina.     1. Nella scheda Sicurezza specificare l'identità e la chiave.

Screenshot della pagina di panoramica.

  1. Selezionare Cambia identità e selezionare l'Identità gestita assegnata dall'utente, quindi selezionare AggiungiPer selezionare la chiave, è possibile selezionare un Key Vault e una coppia di chiavi oppure immettere un ID chiave

Screenshot della pagina di modifica dell'identità.

Usare la crittografia dei dati per i server di replica

Una volta eseguita la crittografia del server flessibile di Database di Azure per MySQL con una chiave gestita dal cliente archiviata in Key Vault, viene crittografata anche qualsiasi nuova copia creata del server.

  1. Per configurare la replica, in Impostazioni selezionare Replica e quindi Aggiungi replica.

Screenshot della pagina Replica.

  1. Nella finestra di dialogo Aggiungi server di replica a Database di Azure per MySQL selezionare l'opzione Calcolo e archiviazione appropriata e quindi scegliere OK.

Screenshot della pagina Calcolo e archiviazione.

    > [! IMPORTANTE] Quando si tenta di crittografare un server flessibile di Database di Azure per MySQL con una chiave gestita dal cliente che dispone già di repliche, è consigliabile configurare una o più repliche aggiungendo l'identità gestita e la chiave.

Contenuti correlati

  • Last updated on