Beveiliging in Azure Database for MySQL
VAN TOEPASSING OP: Azure Database for MySQL - enkele server
Belangrijk
Azure Database for MySQL enkele server bevindt zich op het buitengebruikstellingspad. We raden u ten zeerste aan een upgrade uit te voeren naar een flexibele Azure Database for MySQL-server. Zie Wat gebeurt er met Azure Database for MySQL Enkele server voor meer informatie over migreren naar Azure Database for MySQL Flexibele server ?
Er zijn meerdere beveiligingslagen beschikbaar om de gegevens op uw Azure Database for MySQL-server te beveiligen. In dit artikel worden deze beveiligingsopties beschreven.
Gegevensbeveiliging en -versleuteling
In-transit
Azure Database for MySQL beveiligt uw gegevens door gegevens in transit te versleutelen met Transport Layer Security. Versleuteling (SSL/TLS) wordt standaard afgedwongen.
At-rest
De Azure Database for MySQL-service maakt gebruik van de door FIPS 140-2 gevalideerde cryptografische module voor opslagversleuteling van data-at-rest. Gegevens, inclusief back-ups, worden versleuteld op schijf, inclusief de tijdelijke bestanden die zijn gemaakt tijdens het uitvoeren van query's. De service maakt gebruikt van AES 256-bits versleuteling die deel uitmaakt van Azure Storage-versleuteling. De sleutels worden door het systeem beheerd. Opslagversleuteling is altijd actief en kan niet worden uitgeschakeld.
Netwerkbeveiliging
Verbindingen met een Azure Database for MySQL-server worden eerst gerouteerd via een regionale gateway. De gateway heeft een openbaar toegankelijk IP-adres, terwijl de IP-adressen van de server worden beveiligd. Ga naar het artikel over connectiviteitsarchitectuur voor meer informatie over de gateway.
Een zojuist gemaakte Azure Database for MySQL-server heeft een firewall die alle externe verbindingen blokkeert. Hoewel ze de gateway bereiken, mogen ze geen verbinding maken met de server.
IP-firewallregels
Met de IP-firewallregels wordt toegang verleend tot servers op basis van het IP-adres waar de aanvraag vandaan komt. Zie het overzicht van firewallregels voor meer informatie.
Firewallregels voor virtueel netwerk
Service-eindpunten voor virtuele netwerken breiden de connectiviteit van uw virtuele netwerk uit via de Azure-backbone. Met behulp van regels voor virtuele netwerken kunt u uw Azure Database for MySQL-server inschakelen om verbindingen van geselecteerde subnetten in een virtueel netwerk toe te staan. Zie het overzicht van het service-eindpunt van het virtuele netwerk voor meer informatie.
Privé IP-adres
Met Private Link kunt u via een privé-eindpunt verbinding maken met uw Azure Database for MySQL in Azure. Met Azure Private Link worden Azure-services binnen uw persoonlijke virtuele network (VNet) geplaatst. De PaaS-resources kunnen worden geopend met behulp van het privé-IP-adres, net zoals elke andere resource op het VNet. Zie het overzicht van private link voor meer informatie
Toegangsbeheer
Tijdens het maken van de Azure Database for MySQL-server geeft u referenties op voor een beheerdergebruiker. Deze beheerder kan worden gebruikt om extra MySQL-gebruikers te maken.
Bedreigingsbeveiliging
U kunt zich aanmelden voor Microsoft Defender voor opensource-relationele databases die afwijkende activiteiten detecteren die ongebruikelijke en mogelijk schadelijke pogingen tot toegang tot of misbruik van servers aangeven.
Auditlogboekregistratie is beschikbaar om activiteiten in uw databases bij te houden.
Volgende stappen
- Firewallregels inschakelen voor IP-adressen of virtuele netwerken