Encriptação dupla da Infraestrutura de Base de Dados do Azure para MySQL

APLICA-SE A: Base de Dados do Azure para MySQL - Servidor Único

Base de Dados do Azure para MySQL utiliza encriptação de armazenamento de dados em repouso para obter dados utilizando as chaves geridas pela Microsoft. Os dados, incluindo cópias de segurança, são encriptados no disco e esta encriptação está sempre acesa e não pode ser desativada. A encriptação utiliza o módulo criptográfico validado FIPS 140-2 e uma cifra AES de 256 bits para a encriptação de armazenamento Azure.

A encriptação dupla da infraestrutura adiciona uma segunda camada de encriptação usando chaves geridas pelo serviço. Utiliza o módulo criptográfico validado FIPS 140-2, mas com um algoritmo de encriptação diferente. Isto fornece uma camada adicional de proteção para os seus dados em repouso. A chave utilizada na infraestrutura de dupla encriptação também é gerida pelo serviço Base de Dados do Azure para MySQL. A dupla encriptação da infraestrutura não é ativada por padrão, uma vez que a camada adicional de encriptação pode ter um impacto de desempenho.

Nota

Tal como a encriptação de dados em repouso, esta funcionalidade é suportada apenas no armazenamento "Fins Gerais de armazenamento v2 (suporte até 16TB)" disponível nos níveis de preços Fins Gerais e Memory Optimized. Consulte Armazenamento conceitos para mais detalhes. Para outras limitações, consulte a secção de limitação .

A encriptação Infrastructure Layer tem o benefício de ser implementada na camada mais próxima do dispositivo de armazenamento ou dos fios de rede. Base de Dados do Azure para MySQL implementa as duas camadas de encriptação usando chaves geridas pelo serviço. Apesar de ainda tecnicamente na camada de serviço, está muito perto do hardware que armazena os dados em repouso. Pode ainda ativar opcionalmente a encriptação de dados em repouso utilizando a chave gerida pelo cliente para o servidor MySQL fortalhado.

A implementação nas camadas de infraestrutura também suporta uma diversidade de chaves. As infraestruturas devem estar cientes de diferentes aglomerados de máquinas e redes. Como tal, diferentes chaves são usadas para minimizar o raio de explosão de ataques de infraestrutura e uma variedade de falhas de hardware e rede.

Nota

A utilização da encriptação dupla infraestrutura terá um impacto de 5 a 10% na produção do seu servidor Base de Dados do Azure para MySQL devido ao processo de encriptação adicional.

Benefícios

A dupla encriptação da infraestrutura para Base de Dados do Azure para MySQL proporciona os seguintes benefícios:

  1. Diversidade adicional de implementação de cripto - A mudança planeada para encriptação baseada em hardware irá diversificar ainda mais as implementações, fornecendo uma implementação baseada em hardware, além da implementação baseada em software.
  2. Erros de implementação - Duas camadas de encriptação na camada de infraestrutura protegem contra quaisquer erros na gestão do caching ou da memória em camadas mais altas que expõem dados de texto simples. Além disso, as duas camadas também garantem contra erros na implementação da encriptação em geral.

A combinação destes proporciona uma forte proteção contra ameaças e fraquezas comuns usadas para atacar a criptografia.

Cenários suportados com infraestrutura dupla encriptação

As capacidades de encriptação fornecidas por Base de Dados do Azure para MySQL podem ser usadas em conjunto. Abaixo está um resumo dos vários cenários que pode utilizar:

## Encriptação predefinida Encriptação dupla de infraestrutura Encriptação de dados utilizando chaves geridas pelo Cliente
1 Sim Não Não
2 Sim Sim Não
3 Sim Não Sim
4 Sim Sim Sim

Importante

  • O cenário 2 e 4 podem introduzir uma queda de 5-10% na produção com base no tipo de carga de trabalho para Base de Dados do Azure para MySQL servidor devido à camada adicional de encriptação da infraestrutura.
  • Configurar a encriptação dupla da Infraestrutura para Base de Dados do Azure para MySQL só é permitida durante a criação do servidor. Uma vez que o servidor é provisionado, não é possível alterar a encriptação de armazenamento. No entanto, ainda é possível ativar a encriptação de Dados utilizando as chaves geridas pelo cliente para o servidor criado com/sem infraestrutura dupla encriptação.

Limitações

Para Base de Dados do Azure para MySQL, o suporte para a dupla encriptação de infraestruturas tem poucas limitações -

  • O suporte para esta funcionalidade está limitado a níveis de preços otimizados Fins Gerais e de memória.

  • Esta funcionalidade é suportada apenas em regiões e servidores, que suportam o armazenamento de finalidade geral v2 (até 16 TB). Para a lista de regiões de Azure que suportam o armazenamento até 16 TB, consulte a secção de armazenamento em documentação aqui

    Nota

    • Todos os novos servidores MySQL criados nas regiões Azure que suportam o armazenamento de propósito geral v2, o suporte para encriptação com chaves de gestor de clientes está disponível. O servidor Point In Time Restored (PITR) ou a réplica de leitura não se qualificam, embora em teoria sejam "novos".
    • Para validar se o seu servidor for provisionado para fins gerais de armazenamento v2, pode ir à lâmina de nível de preços no portal e ver o tamanho máximo de armazenamento suportado pelo seu servidor provisionado. Se conseguir mover o slider até 4TB, o seu servidor encontra-se no armazenamento de propósito geral v1 e não suporta a encriptação com as teclas geridas pelo cliente. No entanto, os dados são criptografados usando sempre as teclas geridas pelo serviço. Por favor, contacte AskAzureDBforMySQL@service.microsoft.com se tiver alguma pergunta.

Passos seguintes

Saiba como configurar a encriptação dupla infraestrutura para a base de dados Azure para o MySQL.