Banco de Dados do Azure para MySQL Criptografia dupla de infraestrutura

APLICA-SE A: Banco de Dados do Azure para MySQL – Servidor único

O banco de dados do Azure para MySQL usa a criptografia de armazenamento de data em repouso para dados usando chaves gerenciadas da Microsoft. Os dados, incluindo backups, são criptografados no disco e essa criptografia está sempre ativa e não pode ser desabilitada. A criptografia usa o módulo de criptografia do FIPS 140-2 validado e uma codificação de 256 de bits do AES para a criptografia de armazenamento do Azure.

A criptografia dupla de infraestrutura adiciona uma segunda camada de criptografia usando chaves gerenciadas pelo serviço. Ele usa o módulo de criptografia validado pelo FIPS 140-2, mas com um algoritmo de criptografia diferente. Isso fornece uma camada adicional de proteção para os dados inativos. A chave usada na criptografia dupla de infraestrutura também é gerenciada pelo serviço banco de dados do Azure para MySQL. A criptografia dupla de infraestrutura não é habilitada por padrão, pois a camada adicional de criptografia pode ter um impacto no desempenho.

Observação

Assim como a criptografia de dados em repouso, só há suporte para esse recurso no armazenamento "Uso Geral v2 (suporte até 16 TB)" disponível nos tipos de preços Uso Geral e Otimizado para Memória. Veja Conceitos de armazenamento para obter mais detalhes. Para obter outras limitações, veja a seção Limitação.

A criptografia da camada de infraestrutura tem a vantagem de ser implementada na camada mais próxima do dispositivo de armazenamento ou dos cabos de rede. O banco de dados do Azure para MySQL implementa as duas camadas de criptografia usando chaves gerenciadas pelo serviço. Embora ainda tecnicamente na camada de serviço, é muito próximo do hardware que armazena os dados inativos. Opcionalmente, você ainda pode habilitar a criptografia de dados em repouso usando a chave gerenciada pelo cliente para o servidor MySQL provisionado.

A implementação nas camadas de infraestrutura também dá suporte a uma diversidade de chaves. A infraestrutura deve estar ciente de diferentes clusters de máquinas e redes. Como tal, chaves diferentes são usadas para minimizar o raio de ataques de infraestrutura e uma variedade de falhas de hardware e rede.

Observação

O uso da criptografia dupla de infraestrutura terá um impacto de 5 a 10% sobre a produtividade do Banco de Dados do Azure para servidor MySQL devido ao processo de criptografia adicional.

Benefícios

A infraestrutura de criptografia dupla dados para o Banco de Dados do Azure para MySQL fornece os seguintes benefícios:

  1. Diversidade adicional de implementação de criptografia – a mudança planejada para a criptografia baseada em hardware vai diversificar ainda mais as implementações fornecendo uma implementação baseada em hardware, além da implementação baseada em software.
  2. Erros de implementação – duas camadas de criptografia na camada de infraestrutura protegem contra erros no gerenciamento de cache ou de memória em camadas superiores que expõem dados de texto não criptografado. Além disso, as duas camadas também garantem erros na implementação da criptografia em geral.

A combinação deles fornece proteção forte contra ameaças comuns e pontos fracos usados para atacar a criptografia.

Cenários com suporte com criptografia dupla de infraestrutura

Os recursos de criptografia fornecidos pelo Banco de Dados do Azure para MySQL podem ser usados juntos. Abaixo está um resumo dos vários cenários que você pode usar:

## Criptografia padrão Criptografia dupla de infraestrutura Criptografia de dados usando chaves gerenciadas pelo Cliente
1 Sim Não Não
2 Sim Sim Não
3 Sim Não Sim
4 Sim Sim Sim

Importante

  • O cenário 2 e 4 podem introduzir uma queda de 5-10% na taxa de transferência com base no tipo de carga de trabalho para o servidor do Banco de Dados do Azure para MySQL devido à camada adicional de criptografia de infraestrutura.
  • Configurar a criptografia dupla de infraestrutura para Banco de Dados do Azure para MySQL só é permitido durante a criação do servidor. Depois que o servidor for provisionado, você não poderá alterar a criptografia de armazenamento. No entanto, você ainda pode habilitar a Criptografia de dados usando chaves gerenciadas pelo cliente para o servidor criado com/sem criptografia dupla de infraestrutura.

Limitações

Para o Banco de Dados do Azure para MySQL, o suporte para criptografia dupla de infraestrutura tem poucas limitações.

  • O suporte para essa funcionalidade é limitado para os tipos de preço Uso Geral e Otimizado para Memória.

  • Esse recurso só tem suporte em regiões e servidores que dão suporte ao armazenamento de uso geral v2 (até 16 TB). Para obter a lista de regiões do Azure que dão suporte ao armazenamento de até 16 TB, veja a seção de armazenamento na documentação aqui

    Observação

    • Para todos os novos servidores MySQL criados nas regiões do Azure com suporte para armazenamento de uso geral v2, o suporte para criptografia com as chaves do gerenciador de clientes está disponível. O servidor PITR (restauração pontual) ou a réplica de leitura não está qualificada, embora teoricamente seja 'nova'.
    • Para validar se você provisionou o armazenamento de uso geral de servidor v2, você pode ir para a folha de tipo de preço no portal e ver o tamanho máximo de armazenamento compatível com o servidor provisionado. Caso você possa mover o controle deslizante até 4 TB, o servidor está no armazenamento de uso geral v1 e não dá suporte à criptografia com chaves gerenciadas pelo cliente. No entanto, os dados são criptografados usando chaves de serviço gerenciadas em todos os momentos. Se você tiver dúvidas, entre em contato com AskAzureDBforMySQL@service.microsoft.com.

Próximas etapas

Saiba como configurar a criptografia dupla de infraestrutura para o Banco de Dados do Azure para MySQL.