Возможность подключения SSL/TLS в Базе данных Azure для MariaDB
Важно!
База данных Azure для MariaDB находится на пути выхода на пенсию. Настоятельно рекомендуется выполнить миграцию в База данных Azure для MySQL. Дополнительные сведения о переходе на База данных Azure для MySQL см. в статье "Что происходит с База данных Azure для MariaDB?".
База данных Azure для MariaDB поддерживает подключение сервера базы данных к клиентским приложениям с помощью SSL (Secure Sockets Layer). Применение SSL-соединений между сервером базы данных и клиентскими приложениями обеспечивает защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением.
Примечание.
Основываясь на отзывах клиентов, мы продлили срок действия корневого сертификата для нашего существующего корневого ЦС в Балтиморе до 15 февраля 2021 г.
Важно!
Срок действия корневого сертификата SSL истекает 15 февраля 2021 г. Обновите приложение, чтобы использовать новый сертификат. Дополнительные сведения см. в разделе Запланированные обновления сертификатов
Параметры по умолчанию
По умолчанию в службе базы данных должно быть настроено обязательное использование SSL-соединений при подключении к MariaDB. Мы рекомендуем не отключать параметр SSL без необходимости.
При подготовке нового сервера базы данных Azure для MariaDB с помощью портала Azure и интерфейса командной строки применение SSL-соединений включается по умолчанию.
В некоторых случаях для безопасного подключения приложениям требуется локальный файл сертификата, созданный из файла сертификата доверенного центра сертификации. Сейчас клиенты могут использовать только предопределенный сертификат для подключения к серверу Базы данных Azure для MariaDB, расположенный по адресу https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pem.
Аналогичным образом, следующие ссылки указывают на сертификаты для серверов в национальных облаках: Azure для государственных организаций, Microsoft Azure, управляемые 21Vianet и Azure Для Германии.
Строки подключения для различных языков программирования отображаются на портале Azure. Они включают необходимые параметры SSL для подключения к базе данных. На портале Azure выберите свой сервер. В разделе Параметры выберите Строки подключения. Значение параметра SSL зависит от соединителя. Например, может использоваться "ssl=true", "sslmode=require", "sslmode=required" или другой вариант.
Чтобы узнать, как включить или отключить SSL-соединение при разработке приложения, ознакомьтесь со статьей, посвященной настройке SSL.
Принудительное применение TLS в Базе данных Azure для MariaDB
База данных Azure для MariaDB поддерживает шифрование для клиентов, подключающихся к серверу базы данных с помощью протокола TLS. TLS — это стандартный отраслевой протокол, который обеспечивает безопасные сетевые соединения между сервером базы данных и клиентскими приложениями, позволяя вам соблюдать нормативные требования.
Параметры протокола TLS
База данных Azure для MariaDB обеспечивает возможность принудительного применения версии TLS для клиентских подключений. Чтобы принудительно применить версию TLS, используйте параметр Минимальная версия TLS. Для этого параметра можно использовать следующие значения:
| Минимальная версия TLS | Поддерживаемая клиентом версия TLS |
|---|---|
| TLSEnforcementDisabled (по умолчанию) | TLS не требуется |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 и более поздние версии |
| TLS1_1 | TLS 1.1, TLS 1.2 и более поздние версии |
| TLS1_2 | TLS 1.2 и более поздние версии |
Например, если задать для параметра минимальной версии TLS значение 1.0, сервер разрешит подключения клиентов, использующих TLS 1.0, 1.1 и 1.2+. Если же этот параметр будет иметь значение 1.2, то подключаться смогут только клиенты, использующие протокол TLS 1.2 и выше, а подключения с версиям TLS 1.0 и TLS 1.1 будут отклонены.
Примечание.
По умолчанию для Базы данных Azure для MariaDB принудительно не задана минимальная версия TLS (параметр TLSEnforcementDisabled).
После принудительного применения минимальной версии TLS вы не сможете позже отключить эту защиту.
Сведения о настройке параметра TLS для Базы данных Azure для MariaDB см. в разделе Настройка параметра TLS.
Поддержка шифра Базой данных Azure для MariaDB
При обмене данными по протоколу SSL или TLS наборы шифров проходят проверку, и только поддерживаемые наборы шифров могут использоваться для связи с сервером базы данных. Проверка набора шифров контролируется на уровне шлюза, а не на самом узле. Если наборы шифров не соответствуют одному из перечисленных ниже комплектов, входящие клиентские соединения будут отклонены.
Поддерживаемые наборы шифров
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Следующие шаги
- Дополнительные сведения о правилах брандмауэра сервера
- Дополнительные сведения о настройке SSL
- Дополнительные сведения о настройке TLS