Dubbelkryptering i Azure Database for MySQL-infrastruktur
GÄLLER FÖR:
Azure Database for MySQL – enskild server
Viktigt!
Azure Database for MySQL – enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till en flexibel Azure Database for MySQL-server. Mer information om hur du migrerar till en flexibel Azure Database for MySQL-server finns i Vad händer med Azure Database for MySQL – enskild server?
Azure Database for MySQL använder lagringskryptering av vilande data för data med hjälp av Microsofts hanterade nycklar. Data, inklusive säkerhetskopior, krypteras på disken och den här krypteringen är alltid aktiverad och kan inte inaktiveras. Krypteringen använder FIPS 140-2-verifierad kryptografimodul och ett AES 256-bitars chiffer för Azure Storage-kryptering.
Infrastruktur med dubbel kryptering lägger till ett andra krypteringslager med tjänsthanterade nycklar. Den använder FIPS 140-2-verifierad kryptografimodul, men med en annan krypteringsalgoritm. Detta ger ytterligare ett skyddslager för dina vilande data. Nyckeln som används i Dubbel kryptering för infrastruktur hanteras också av Azure Database for MySQL-tjänsten. Infrastrukturdubblettkryptering är inte aktiverat som standard eftersom det ytterligare krypteringslagret kan ha en prestandapåverkan.
Kommentar
Precis som datakryptering i vila stöds den här funktionen endast på "Generell lagring v2 (stöd för upp till 16 TB)" lagring som är tillgänglig på prisnivåerna Generell användning och Minnesoptimerad. Mer information finns i Lagringsbegrepp . Andra begränsningar finns i avsnittet om begränsning .
Kryptering på infrastrukturnivå har fördelen att implementeras på det lager som är närmast lagringsenheten eller nätverksledningarna. Azure Database for MySQL implementerar de två krypteringsskikten med hjälp av tjänsthanterade nycklar. Även om det fortfarande är tekniskt sett i tjänstskiktet är det mycket nära maskinvaran som lagrar data i vila. Du kan fortfarande aktivera datakryptering i vila med hjälp av kundhanterad nyckel för den etablerade MySQL-servern.
Implementering i infrastrukturlagren stöder också en mångfald av nycklar. Infrastrukturen måste vara medveten om olika kluster av datorer och nätverk. Därför används olika nycklar för att minimera explosionsradien för infrastrukturattacker och en mängd olika maskinvaru- och nätverksfel.
Kommentar
Om du använder infrastruktur med dubbel kryptering påverkas dataflödet för Azure Database for MySQL-servern med 5–10 % på grund av den ytterligare krypteringsprocessen.
Förmåner
Infrastruktur med dubbel kryptering för Azure Database for MySQL medför följande fördelar:
- Ytterligare mångfald av kryptoimplementering – Den planerade övergången till maskinvarubaserad kryptering kommer att ytterligare diversifiera implementeringarna genom att tillhandahålla en maskinvarubaserad implementering utöver den programvarubaserade implementeringen.
- Implementeringsfel – Två krypteringslager på infrastrukturnivå skyddar mot eventuella fel vid cachelagring eller minneshantering i högre lager som exponerar klartextdata. Dessutom säkerställer de två lagren även mot fel i implementeringen av krypteringen i allmänhet.
Kombinationen av dessa ger ett starkt skydd mot vanliga hot och svagheter som används för att attackera kryptografi.
Scenarier som stöds med dubbel kryptering i infrastrukturen
Krypteringsfunktionerna som tillhandahålls av Azure Database for MySQL kan användas tillsammans. Nedan visas en sammanfattning av de olika scenarier som du kan använda:
| ## | Standardkryptering | Dubbel infrastrukturkryptering | Datakryptering med kundhanterade nycklar |
|---|---|---|---|
| 1 | Ja | Nej | Nej |
| 2 | Ja | Ja | Nej |
| 3 | Ja | Nej | Ja |
| 4 | Ja | Ja | Ja |
Viktigt!
- Scenario 2 och 4 kan medföra en minskning av dataflödet med 5–10 procent baserat på arbetsbelastningstypen för Azure Database for MySQL-servern på grund av det ytterligare lagret av infrastrukturkryptering.
- Konfigurera dubbelkryptering av infrastruktur för Azure Database for MySQL tillåts endast under serverskapandet. När servern har etablerats kan du inte ändra lagringskryptering. Du kan dock fortfarande aktivera datakryptering med hjälp av kundhanterade nycklar för servern som skapats med/utan dubbel kryptering i infrastrukturen.
Begränsningar
För Azure Database for MySQL har stödet för dubbelkryptering för infrastruktur få begränsningar –
Stöd för den här funktionen är begränsat till prisnivåer för generell användning och minnesoptimerad .
Den här funktionen stöds endast i regioner och servrar, som stöder allmän lagring v2 (upp till 16 TB). En lista över Azure-regioner som stöder lagring upp till 16 TB finns i avsnittet om lagring i dokumentationen här
Kommentar
- Alla nya MySQL-servrar som skapats i Azure-regionerna med stöd för generell lagring v2, stöd för kryptering med kundhanterarnycklar är tillgängligt. Pitr-servern (Point In Time Restored) eller read-repliken kvalificerar sig inte, men i teorin är de "nya".
- Om du vill kontrollera om den etablerade serverns allmänna lagring v2 kan du gå till bladet prisnivå i portalen och se den maximala lagringsstorlek som stöds av den etablerade servern. Om du kan flytta skjutreglaget upp till 4 TB är servern på allmän lagring v1 och stöder inte kryptering med kundhanterade nycklar. Data krypteras dock alltid med hjälp av tjänsthanterade nycklar. Kontakta AskAzureDBforMySQL@service.microsoft.com om du har några frågor.
Nästa steg
Lär dig hur du konfigurerar dubbelkryptering av infrastruktur för Azure Database for MySQL.