Azure Database for MySQL Dubbel kryptering för infrastruktur
GÄLLER FÖR:
Azure Database for MySQL – enskild server
Viktigt
Azure Database for MySQL – Enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till Azure Database for MySQL – flexibel server. Mer information om hur du migrerar till Azure Database for MySQL – flexibel server finns i Vad händer med Azure Database for MySQL enskild server?
Azure Database for MySQL använder lagringskryptering av vilande data för data med hjälp av Microsofts hanterade nycklar. Data, inklusive säkerhetskopior, krypteras på disken och den här krypteringen är alltid aktiverad och kan inte inaktiveras. Krypteringen använder FIPS 140-2-verifierad kryptografimodul och ett AES 256-bitars chiffer för Azure Storage-kryptering.
Dubbel infrastrukturkryptering lägger till ett andra krypteringslager med tjänsthanterade nycklar. Den använder FIPS 140-2-verifierad kryptografimodul, men med en annan krypteringsalgoritm. Detta ger ytterligare ett skyddslager för dina vilande data. Nyckeln som används i dubbel infrastrukturkryptering hanteras också av Azure Database for MySQL-tjänsten. Dubbel infrastrukturkryptering är inte aktiverat som standard eftersom det ytterligare krypteringslagret kan ha en prestandapåverkan.
Anteckning
Precis som datakryptering i vila stöds den här funktionen endast på "Generell användning storage v2 (stöd för upp till 16 TB)" tillgängligt i prisnivåerna Generell användning och Minnesoptimerad. Mer information finns i Lagringsbegrepp . Andra begränsningar finns i avsnittet om begränsning .
InfrastrukturLagerkryptering har fördelen att implementeras på det lager som är närmast lagringsenheten eller nätverksledningarna. Azure Database for MySQL implementerar de två krypteringsskikten med tjänsthanterade nycklar. Även om det fortfarande är tekniskt sett i tjänstlagret är det mycket nära maskinvaran som lagrar vilande data. Du kan fortfarande aktivera datakryptering i vila med hjälp av kundhanterad nyckel för den etablerade MySQL-servern.
Implementeringen i infrastrukturlagren stöder också en mängd olika nycklar. Infrastrukturen måste vara medveten om olika kluster av datorer och nätverk. Därför används olika nycklar för att minimera explosionsradien för infrastrukturattacker och en mängd olika maskinvaru- och nätverksfel.
Anteckning
Om du använder dubbel infrastrukturkryptering påverkas dataflödet för din Azure Database for MySQL server med 5–10 % på grund av den ytterligare krypteringsprocessen.
Fördelar
Dubbel infrastrukturkryptering för Azure Database for MySQL ger följande fördelar:
- Ytterligare mångfald av kryptoimplementering – Den planerade övergången till maskinvarubaserad kryptering kommer att ytterligare diversifiera implementeringarna genom att tillhandahålla en maskinvarubaserad implementering utöver den programvarubaserade implementeringen.
- Implementeringsfel – Två krypteringslager på infrastrukturnivå skyddar mot eventuella fel vid cachelagring eller minneshantering i högre lager som exponerar klartextdata. Dessutom säkerställer de två lagren även mot fel i implementeringen av krypteringen i allmänhet.
Kombinationen av dessa ger ett starkt skydd mot vanliga hot och svagheter som används för att attackera kryptografi.
Scenarier som stöds med dubbel infrastrukturkryptering
Krypteringsfunktionerna som tillhandahålls av Azure Database for MySQL kan användas tillsammans. Nedan visas en sammanfattning av de olika scenarier som du kan använda:
| ## | Standardkryptering | Dubbel infrastrukturkryptering | Datakryptering med kundhanterade nycklar |
|---|---|---|---|
| 1 | Ja | Nej | Nej |
| 2 | Ja | Ja | Nej |
| 3 | Ja | Nej | Ja |
| 4 | Ja | Ja | Ja |
Viktigt
- Scenario 2 och 4 kan medföra 5–10 procents minskning av dataflödet baserat på arbetsbelastningstypen för Azure Database for MySQL server på grund av det extra lagret av infrastrukturkryptering.
- Konfiguration av dubbel infrastrukturkryptering för Azure Database for MySQL tillåts endast när servern skapas. När servern har etablerats kan du inte ändra lagringskryptering. Du kan dock fortfarande aktivera datakryptering med hjälp av kundhanterade nycklar för servern som skapats med/utan dubbel infrastrukturkryptering.
Begränsningar
För Azure Database for MySQL har stödet för dubbel infrastrukturkryptering få begränsningar –
Stödet för den här funktionen är begränsat till prisnivåerna Generell användning och Minnesoptimerad.
Den här funktionen stöds bara i regioner och servrar, som stöder generell lagring v2 (upp till 16 TB). En lista över Azure-regioner som stöder lagring på upp till 16 TB finns i avsnittet om lagring i dokumentationen här
Anteckning
- Alla nya MySQL-servrar som skapats i Azure-regionerna med stöd för generell lagring v2, stöd för kryptering med kundhanterarnycklar är tillgängligt. Pitr-servern (Point In Time Restored) eller skrivskyddad replik kvalificerar sig inte, men i teorin är de "nya".
- Om du vill kontrollera om den etablerade serverns allmänna lagring v2, kan du gå till prisnivåbladet i portalen och se den maximala lagringsstorlek som stöds av din etablerade server. Om du kan flytta skjutreglaget upp till 4 TB är servern på generell lagring v1 och stöder inte kryptering med kundhanterade nycklar. Data krypteras dock alltid med hjälp av tjänsthanterade nycklar. AskAzureDBforMySQL@service.microsoft.com Kontakta om du har några frågor.
Nästa steg
Lär dig hur du konfigurerar dubbel infrastrukturkryptering för Azure Database for MySQL.