SSL/TLS-connectiviteit in Azure Database for MariaDB
Belangrijk
Azure Database for MariaDB bevindt zich op het buitengebruikstellingspad. We raden u ten zeerste aan om te migreren naar Azure Database for MySQL. Zie Wat gebeurt er met Azure Database for MariaDB voor meer informatie over migreren naar Azure Database for MySQL.
Azure Database for MariaDB ondersteunt het verbinden van uw databaseserver met clienttoepassingen met behulp van SSL (Secure Sockets Layer). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld.
Notitie
Op basis van de feedback van klanten hebben we de afschaffing van het basiscertificaat voor onze bestaande Baltimore Root CA verlengd tot 15 februari 2021 (02/15/2021).
Belangrijk
SSL-basiscertificaat is ingesteld op verlopen vanaf 15 februari 2021 (02-15-2021). Werk uw toepassing bij om het nieuwe certificaat te gebruiken. Zie geplande certificaatupdates voor meer informatie
Standaardinstellingen
De databaseservice moet standaard worden geconfigureerd om SSL-verbindingen te vereisen bij het maken van verbinding met MariaDB. We raden u aan om te voorkomen dat u de SSL-optie indien mogelijk uitschakelt.
Wanneer u een nieuwe Azure Database for MariaDB-server inricht via Azure Portal en CLI, wordt het afdwingen van SSL-verbindingen standaard ingeschakeld.
In sommige gevallen is voor toepassingen een lokaal certificaatbestand vereist dat is gegenereerd op basis van een vertrouwd CA-certificaatbestand (Certificate Authority) om veilig verbinding te maken. Momenteel kunnen klanten alleen het vooraf gedefinieerde certificaat gebruiken om verbinding te maken met een Azure Database for MariaDB-server die zich bevindt.https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pem
Op dezelfde manier verwijzen de volgende koppelingen naar de certificaten voor servers in onafhankelijke clouds: Azure Government, Microsoft Azure beheerd door 21Vianet en Azure Duitsland.
Verbinding maken ietekenreeksen voor verschillende programmeertalen worden weergegeven in Azure Portal. Deze verbindingsreeks bevatten de vereiste SSL-parameters om verbinding te maken met uw database. Selecteer uw server in Azure Portal. Selecteer onder de kop Instellingen de Verbinding maken iontekenreeksen. De SSL-parameter varieert op basis van de connector, bijvoorbeeld 'ssl=true' of 'sslmode=require' of 'sslmode=required' en andere variaties.
Raadpleeg SSL configureren voor meer informatie over het in- of uitschakelen van SSL-verbinding bij het ontwikkelen van een toepassing.
TLS-afdwinging in Azure Database for MariaDB
Azure Database for MariaDB ondersteunt versleuteling voor clients die verbinding maken met uw databaseserver met behulp van Transport Layer Security (TLS). TLS is een standaardprotocol dat zorgt voor beveiligde netwerkverbindingen tussen uw databaseserver en clienttoepassingen, zodat u aan de nalevingsvereisten kunt voldoen.
TLS-instellingen
Azure Database for MariaDB biedt de mogelijkheid om de TLS-versie af te dwingen voor de clientverbindingen. Als u de TLS-versie wilt afdwingen, gebruikt u de instelling voor de optie Minimale TLS-versie . De volgende waarden zijn toegestaan voor deze optieinstelling:
| Minimale TLS-instelling | Ondersteunde TLS-versie van client |
|---|---|
| TLSEnforcementDisabled (standaard) | Geen TLS vereist |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 en hoger |
| TLS1_1 | TLS 1.1, TLS 1.2 en hoger |
| TLS1_2 | TLS-versie 1.2 en hoger |
Als u bijvoorbeeld de waarde van minimale TLS-instellingsversie instelt op TLS 1.0, betekent dit dat uw server verbindingen toestaat van clients die TLS 1.0, 1.1 en 1.2+ gebruiken. Als u dit instelt op 1.2, betekent dit dat u alleen verbindingen van clients toestaat met BEHULP van TLS 1.2+ en alle verbindingen met TLS 1.0 en TLS 1.1 worden geweigerd.
Notitie
Standaard dwingt Azure Database for MariaDB geen minimale TLS-versie (de instelling TLSEnforcementDisabled) af.
Zodra u een minimale TLS-versie afdwingt, kunt u het afdwingen van minimale versies later niet meer uitschakelen.
Zie TLS-instelling configureren voor meer informatie over het instellen van de TLS-instelling voor uw Azure Database for MariaDB.
Ondersteuning voor codering door Azure Database for MariaDB
Als onderdeel van de SSL/TLS-communicatie worden de coderingssuites gevalideerd en kunnen alleen coderingspakken met de databaseserver communiceren. De validatie van de coderingssuite wordt beheerd in de gatewaylaag en niet expliciet op het knooppunt zelf. Als de coderingssuites niet overeenkomen met een van de onderstaande suites, worden binnenkomende clientverbindingen geweigerd.
Ondersteunde coderingssuite
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Volgende stappen
- Meer informatie over serverfirewallregels
- Meer informatie over het configureren van SSL
- Meer informatie over het configureren van TLS