Segurança do Banco de Dados do Azure para MySQL
APLICA-SE A: Banco de Dados do Azure para MySQL – Servidor Único
Importante
O servidor único do Banco de Dados do Azure para MySQL está no caminho da desativação. É altamente recomendável que você atualize para o servidor flexível do Banco de Dados do Azure para MySQL. Para obter mais informações sobre a migração para o servidor flexível do Banco de Dados do Azure para MySQL, confira O que está acontecendo com o Servidor Único do Banco de Dados do Azure para MySQL?
Há várias camadas de segurança que estão disponíveis para proteger os dados em seu servidor do Banco de Dados do Azure para MySQL. Este artigo descreve essas opções de segurança.
Proteção e criptografia de informações
Em trânsito
O Banco de Dados do Azure para MySQL protege seus dados criptografando os dados em trânsito com o protocolo TLS. A criptografia (SSL/TLS) é imposta por padrão.
Em repouso
O serviço Banco de Dados do Azure para MySQL usa o módulo de criptografia validado por FIPS 140-2 para criptografia de armazenamento de dados em repouso. Os dados, incluindo backups, são criptografados no disco, incluindo os arquivos temporários criados durante a execução de consultas. O serviço usa a criptografia AES de 256 bits incluída na criptografia de armazenamento do Azure e as chaves são gerenciadas pelo sistema. A criptografia de armazenamento está sempre ativada e não pode ser desabilitada.
Segurança de rede
As conexões com um servidor de Banco de Dados do Azure para MySQL são encaminhadas primeiro por um gateway regional. O gateway tem um IP acessível publicamente, enquanto os endereços IP do servidor são protegidos. Para saber mais sobre o gateway, confira o artigo sobre arquitetura de conectividade.
Um servidor de Banco de Dados do Azure para MySQL criado recentemente tem um firewall que bloqueia todas as conexões externas. Embora atinjam o gateway, elas não têm permissão para se conectar ao servidor.
Regras de firewall de IP
As regras de firewall de IP permitem acesso ao servidor com base no endereço IP de origem de cada solicitação. Confira a visão geral das regras de firewall para obter mais informações.
Regras de firewall de rede virtual
Os pontos de extremidade de serviço de rede virtual estendem sua conectividade de rede virtual no backbone do Azure. Usando regras de rede virtual, você pode habilitar seu Banco de Dados do Azure para MySQL para permitir conexões de sub-redes selecionadas em uma rede virtual. Para saber mais, confira a visão geral do ponto de extremidade de serviço de rede virtual.
IP Privado
O Link Privado permite que você se conecte ao seu Banco de Dados do Azure para MySQL no Azure por meio de um ponto de extremidade privado. O Link Privado do Azure essencialmente traz os serviços do Azure dentro de sua VNet (Rede Virtual privada). Os recursos de PaaS podem ser acessados usando o endereço IP privado, assim como qualquer outro recurso na VNet. Para saber mais, confira visão geral do link privado
Gerenciamento de acesso
Ao criar o servidor do Banco de Dados do Azure para MySQL, você fornece credenciais para um usuário administrador. Tal administrador pode ser usado para criar usuários adicionais do MySQL.
Proteção contra ameaças
É possível optar pelo Microsoft Defender em bancos de dados relacionais de código aberto que detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar servidores.
O log de auditoria está disponível para acompanhar a atividade em seus bancos de dados.
Próximas etapas
- Habilitar regras de firewall para IPS ou redes virtuais