將 MySQL 資料庫從內部部署環境遷移至 適用於 MySQL 的 Azure 資料庫 時,確保強固的安全性至關重要。 本文深入探討在移轉期間保護您的數據的重要安全性考慮和最佳做法。 藉由使用 Azure 的完整安全性功能,例如進階威脅防護、加密和訪問控制,您可以保護資料庫免於潛在的弱點和威脅。 本指南提供實作安全移轉策略所需的深入解析,解決數據加密、網路安全性和合規性等重要層面。 無論您的目標是要增強數據保護、符合法規需求,或確保資料庫的完整性,本文都可讓您了解達成安全且成功的移轉。
必要條件
將 MySQL 內部部署移轉至 適用於 MySQL 的 Azure 資料庫:商務持續性和災害復原 (BCDR)
概觀
移至雲端式服務並不表示整個因特網一律可以存取它。 Azure 提供最佳的類別安全性,可確保數據工作負載持續受到不良動作專案和Rouge 程式的保護。
驗證
適用於 MySQL 的 Azure 資料庫 支援 MySQL 用戶連線的基本驗證機制,但也支援與 Microsoft Entra ID 整合。 此安全性整合的運作方式是在 MySQL 登入程式期間發出類似密碼的令牌。 設定 Active Directory 整合 非常簡單,不僅支持使用者,而且Microsoft Entra 群組。
這項緊密整合可讓系統管理員和應用程式利用 Azure Identity Protection 增強的安全性功能來呈現任何身分識別問題。
注意
MySQL 5.7 和更新版本支援這項安全性功能。 只要提供 選項,clear-text即可支援大部分的應用程式驅動程式。
威脅保護
如果使用者或應用程式認證遭到入侵,記錄可能會反映任何失敗的登入嘗試。 遭入侵的認證可讓不良執行者存取及下載數據。 Azure 威脅防護 可以監看登入中的異常狀況(例如不尋常的位置、罕見的使用者或暴力密碼破解攻擊)和其他可疑活動。 系統管理員可以在未正確的情況下 look 收到通知。
稽核記錄
MySQL 具有強大的內建稽核記錄功能。 根據預設,此稽核記錄功能會在 適用於 MySQL 的 Azure 資料庫 中停用。 您可以藉由變更 audit\_log\_enabled 伺服器參數來啟用伺服器層級記錄。 啟用之後,即可透過 Azure 監視器 和 Log Analytics 來存取記錄,方法是開啟 診斷記錄。
若要查詢使用者連線相關事件,請執行下列 KQL 查詢:
AzureDiagnostics
| where ResourceProvider =="MICROSOFT.DBFORMYSQL"
| where Category == 'MySqlAuditLogs' and event\_class\_s == "connection\_log"
| project TimeGenerated, LogicalServerName\_s, event\_class\_s, event\_subclass\_s
, event\_time\_t, user\_s , ip\_s , sql\_text\_s
| order by TimeGenerated asc
加密
根據預設,MySQL 實例中的數據會在待用時加密。 任何自動備份也會加密,以防止數據可能外洩給未經授權的合作物件。 此加密通常是使用建立實例時所建立的金鑰來執行。 除了此預設加密金鑰之外,系統管理員可以選擇 攜帶您自己的金鑰(BYOK)。
使用客戶管理的金鑰策略時,瞭解密鑰生命週期管理的責任非常重要。 客戶密鑰會儲存在 Azure 金鑰保存庫,然後透過原則存取。 請務必遵循金鑰管理的所有建議,遺失加密金鑰等同於數據存取遺失。
除了客戶管理的金鑰,請使用服務層級金鑰來 新增雙重加密。 實作這項功能可以提供高度加密的待用數據,但確實會降低加密效能。 應該執行測試。
您可以使用 SSL/TLS 在傳輸期間加密數據。 如先前所述,可能需要 修改您的應用程式 以支援這項變更,並設定適當的 TLS 驗證設定。
防火牆
設定使用者且待用數據加密后,移轉小組應該檢閱網路數據流。 適用於 MySQL 的 Azure 資料庫 提供數種機制,藉由限制只存取授權的使用者、應用程式和裝置來保護網路層。
保護 MySQL 實例的前線是實 作防火牆規則。 透過內部或外部IP存取實例時,IP 位址只能限制為有效的位置。 如果 MySQL 實體註定要只提供內部應用程式,則 限制公用存取。
將應用程式連同 MySQL 工作負載一起移至 Azure 時,中樞和輪輻模式中可能會有多個虛擬網路設定,需要設定 虛擬網絡 對等互連。
私人連結
若要限制對內部 Azure 資源的 適用於 MySQL 的 Azure 資料庫 存取,請啟用 Private Link。 Private Link 可確保 MySQL 實例已獲指派私人 IP,而不是公用 IP 位址。
注意
必須考慮許多其他 基本 Azure 網路考慮 ,但不是本指南的重點。
檢閱一組可跨所有 Azure 資源實作的潛在 安全性基準 工作。 參考連結中所述的所有專案都不適用於特定數據工作負載或 Azure 資源。
安全性檢查清單
盡可能使用Microsoft Entra 驗證。
啟用進階線程保護。
啟用所有稽核功能。
請考慮自備金鑰 (BYOK) 策略。
實作防火牆規則。
針對不會透過因特網移動的工作負載,使用私人端點。