Azure Database for MySQL のセキュリティ
適用対象:
Azure Database for MySQL - シングル サーバー
重要
Azure Database for MySQL の単一サーバーは提供終了パスにあります。 Azure Database for MySQL フレキシブル サーバーにアップグレードすることを強くお勧めします。 Azure Database for MySQL フレキシブル サーバーへの移行の詳細については、「Azure Database for MySQL 単一サーバーの動作」を参照してください 。
Azure Database for MySQL サーバーには、データを保護するために使用できるセキュリティのレイヤーが複数あります。 この記事では、これらのセキュリティ オプションについてまとめています。
情報の保護と暗号化
転送中
Azure Database for MySQL では、トランスポート層セキュリティを使用して転送中のデータを暗号化することによってデータをセキュリティで保護します。 既定では、暗号化 (SSL/TLS) が適用されます。
保存
Azure Database for MySQL サービスでは、保存データのストレージ暗号化に FIPS 140-2 認証済みの暗号モジュールが使用されます。 データ (バックアップを含む) は、クエリの実行中に作成される一時ファイルも含めて、ディスク上で暗号化されます。 このサービスでは、Azure ストレージ暗号化に含まれる AES 256 ビット暗号が使用され、キーはシステムによって管理されます。 ストレージの暗号化は常にオンになっており、無効にすることはできません。
ネットワークのセキュリティ
Azure Database for MySQL サーバーへの接続は、最初にリージョン ゲートウェイ経由でルーティングされます。 サーバーの IP アドレスは保護されていますが、ゲートウェイにはパブリックにアクセス可能な IP があります。 ゲートウェイの詳細については、接続アーキテクチャに関する記事をご覧ください。
新しく作成された Azure Database for MySQL サーバーには、すべての外部接続をブロックするファイアウォールが備わっています。 ゲートウェイに到達しますが、サーバーへの接続は許可されません。
IP ファイアウォール規則
IP ファイアウォール規則では、各要求の送信元 IP アドレスに基づいてサーバーへのアクセス権を付与します。 詳細については、ファイアウォール規則の概要に関するページを参照してください。
仮想ネットワーク ファイアウォールの規則
仮想ネットワーク サービス エンドポイントにより、Azure バックボーンを介して仮想ネットワーク接続が拡張されます。 仮想ネットワークの規則を使用して、仮想ネットワーク内の選択したサブネットからの接続を許可するように、Azure Database for MySQL サーバーを有効にすることができます。 詳細については、仮想ネットワーク サービス エンドポイントの概要に関するページを参照してください。
プライベート IP
Private Link を使用すると、プライベート エンドポイントを経由して Azure 内の Azure Database for MySQL に接続できます。 Azure Private Link は基本的に、プライベート仮想ネットワーク (VNet) 内に Azure サービスを提供します。 PaaS リソースには、VNet 内のその他のリソースと同様に、プライベート IP アドレスを使用してアクセスできます。 詳細については、Private Link の概要に関するページを参照してください。
アクセス管理
Azure Database for MySQL サーバーを作成するときに、管理者ユーザーの資格情報を指定します。 この管理者は、追加の MySQL ユーザーを作成するために使用できます。
脅威の防止
サーバーにアクセスしたり悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出する、オープンソースのリレーショナル データベース用 Microsoft Defender にオプトインできます。
監査ログを使うと、データベースのアクティビティを追跡できます。