Azure Database for MySQL 中的安全性

适用于: Azure Database for MySQL - 单一服务器

重要

Azure Database for MySQL 单一服务器即将停用。 强烈建议升级到 Azure Database for MySQL 灵活服务器。 若要详细了解如何迁移到 Azure Database for MySQL 灵活服务器,请参阅 Azure Database for MySQL 单一服务器发生了什么情况?

可以通过多层安全性来保护 Azure Database for MySQL 服务器上的数据。 本文概述了这些安全选项。

信息保护和加密

动态

Azure Database for MySQL 使用传输层安全性来加密动态数据,通过这种方式来保护数据。 默认情况下,强制实施加密 (SSL/TLS)。

静态

Azure Database for MySQL 服务使用 FIPS 140-2 验证的加密模块对静态数据进行存储加密。 数据(包括备份)在磁盘上加密,包括运行查询时创建的临时文件。 该服务使用包含在 Azure 存储加密中的 AES 256 位密码,并且密钥由系统进行管理。 存储加密始终处于启用状态,无法禁用。

网络安全性

到 Azure Database for MySQL 服务器的连接首先通过区域性网关进行路由。 网关 IP 可以公开访问,而服务器 IP 地址则受保护。 有关网关的详细信息,请参阅连接体系结构文章

新创建的 Azure Database for MySQL 服务器有一个防火墙,可以阻止所有外部连接。 它们可以到达网关,但不能连接到服务器。

IP 防火墙规则

IP 防火墙规则基于每个请求的起始 IP 地址授予对服务器的访问权限。 有关详细信息,请参阅防火墙规则概述

虚拟网络防火墙规则

虚拟网络服务终结点将虚拟网络连接扩展到 Azure 主干网。 使用虚拟网络规则,Azure Database for MySQL 服务器就会允许从虚拟网络中的所选子网进行连接。 有关详细信息,请参阅虚拟网络服务终结点概述

专用 IP

使用专用链接可以通过专用终结点连接到 Azure 中的 Azure Database for MySQL。 Azure 专用链接实质上是将 Azure 服务引入专用虚拟网络 (VNet) 中。 就像 VNet 中的任何其他资源一样,可以使用专用 IP 地址访问 PaaS 资源。 有关详细信息,请参阅专用链接概述

访问管理

在创建 Azure Database for MySQL 服务器时,我们会提供管理员用户的凭据。 可以通过此管理员创建其他 MySQL 用户。

威胁防护

可以选择使用用于开源关系数据库的 Microsoft Defender 来检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用服务器。

审核日志记录可用于跟踪数据库中的活动。

后续步骤