適用於 MySQL 的 Azure 資料庫基礎結構雙重加密

適用於: 適用於 MySQL 的 Azure 資料庫 - 單一伺服器

適用於 MySQL 的 Azure 資料庫會針對使用 Microsoft 受控金鑰資料,使用儲存體加密待用資料。 加密磁碟上的所有資料 (包括備份資料),且此加密功能會一直保持開啟,無法停用。 此加密功能會使用 FIPS 140-2 驗證的密碼編譯模組和 AES 256 位元加密來執行 Azure 儲存體加密。

基礎結構雙重加密會使用服務管理的金鑰,以新增第二層加密。 其會使用 FIPS 140-2 驗證的密碼編譯模組,但使用不同的加密演算法。 這會為您的待用資料多增加一層保護。 基礎結構雙重加密中使用的金鑰也由適用於 MySQL 的 Azure 資料庫服務來管理。 基礎結構雙重加密預設為不啟用,因為多增加一層加密會對效能造成影響。

注意

如同待用資料加密,此功能僅支援常規用途和記憶體優化定價層中的「常規用途儲存體 v2 (支援最多 16TB)」儲存體。 如需詳細資訊,請參閱儲存體概念。 如需其他限制,請參閱限制一節。

基礎結構層加密的優點,是可以在最接近儲存裝置或網路線路的層實作。 適用於 MySQL 的 Azure 資料庫會使用服務管理的金鑰來實作兩層加密。 雖然從技術上來說,仍然在服務層,但非常接近儲存待用資料的硬體。 您仍然可以選擇使用客戶自控金鑰,為佈建的 MySQL 伺服器啟用待用資料加密。

在基礎結構層的實作方式也支援使用各種不同的金鑰。 基礎結構必須了解各種不同的電腦和網路叢集。 因此,可以使用不同的金鑰來降低基礎結構攻擊,以及各種硬體和網路失敗的爆炸半徑。

注意

由於額外的加密程式,使用基礎結構雙重加密會對適用於 MySQL 的 Azure 資料庫伺服器輸送量造成 5-10% 的影響。

優點

在適用於 MySQL 的 Azure 資料庫中使用基礎結構雙重加密有下列優點:

  1. 增加加密實作的多樣性 - 有計劃地移至以硬體為基礎的加密,會增加實作方式的多樣性,因為除了以軟體為基礎的實作外,還可提供以硬體為基礎的實作。
  2. 實作錯誤 - 基礎結構層的兩層加密可防止公開純文字資料的較高層發生快取或記憶體管理錯誤。 此外,兩層加密也可確保一般加密實作時不會發生錯誤。

這些加密組合提供強大的防護力,可以防止用來攻擊密碼編譯的常見威脅和弱點。

基礎結構雙重加密的支援案例

適用於 MySQL 的 Azure 資料庫所提供的加密功能可以一起使用。 以下是您可以使用的各種案例摘要:

## 預設加密 基礎結構雙重加密 使用客戶自控金鑰進行資料加密
1
2
3
4

重要

  • 因為基礎結構加密的額外層,案例 2 和 4 可以根據適用於 MySQL 的 Azure 資料庫伺服器的工作負載類型,導入 5-10% 的輸送量下降。
  • 只有在伺服器建立期間,才允許針對適用於 MySQL 的 Azure 資料庫設定基礎結構雙重加密。 伺服器佈建完成之後,您就無法變更儲存體加密。 不過,您仍然可以針對使用/不使用基礎結構雙重加密所建立伺服器,啟用使用客戶自控金鑰的資料加密。

限制

對於適用於 MySQL 的 Azure 資料庫,基礎結構雙重加密的支援有一些限制 -

  • 此功能的支援僅限於常規用途記憶體最佳化定價層。

  • 只有在一般用途儲存體 v2 (最多 16 TB) 的區域和伺服器上,才支援這項功能。 如需支援最多 16 TB 儲存體的 Azure 區域清單,請參閱此處文件的儲存體章節

    注意

    • 所有在支援一般用途儲存體 v2 的 Azure 區域中建立的新 MySQL 伺服器,使用客戶管理員金鑰進行加密都可用。 時間點復原 (PITR) 伺服器或讀取複本雖然在理論上是「新的」,但不符合資格。
    • 若要驗證佈建的伺服器一般用途儲存體 v2,您可以移至入口網站中的定價層刀鋒視窗,並查看佈建伺服器所支援的儲存體大小上限。 如果您可以移動滑杆到最多 4TB,表示您的伺服器位於一般用途儲存體 v1 上,且不支援使用客戶管理的金鑰進行加密。 不過,資料會隨時使用服務管理金鑰來加密。 如果您有任何問題,請聯絡 AskAzureDBforMySQL@service.microsoft.com。

後續步驟

了解如何針對適用於 MySQL 的 Azure 資料庫設定基礎結構雙重加密