適用於 MySQL 的 Azure 資料庫基礎結構雙重加密
適用於:
適用於 MySQL 的 Azure 資料庫 - 單一伺服器
重要
適用於 MySQL 的 Azure 資料庫單一伺服器位於淘汰路徑上。 強烈建議您升級至適用於 MySQL 的 Azure 資料庫彈性伺服器。 如需移轉至適用於 MySQL 的 Azure 資料庫彈性伺服器的詳細資訊,請參閱 適用於 MySQL 的 Azure 資料庫單一伺服器會發生什麼事?
適用於 MySQL 的 Azure 資料庫使用 Microsoft 受控金鑰組待 用資料的儲存體 加密。 資料,包括備份,都會在磁片上加密,而且此加密一律為開啟且無法停用。 加密會使用 FIPS 140-2 驗證的密碼編譯模組和 AES 256 位加密進行 Azure 儲存體加密。
基礎結構雙重加密會使用服務管理的金鑰來新增第二層加密。 它會使用 FIPS 140-2 驗證的密碼編譯模組,但使用不同的加密演算法。 這會為待用資料提供額外的保護層。 基礎結構雙重加密中使用的金鑰也會由適用於 MySQL 的 Azure 資料庫服務管理。 基礎結構雙重加密預設不會啟用,因為額外的加密層可能會影響效能。
注意
與待用資料加密一樣,這項功能僅支援「一般用途儲存體 v2(最多支援 16TB)」儲存體,且可在一般用途和記憶體優化定價層中使用。 如需詳細資訊,請參閱 儲存體概念 。 如需其他限制,請參閱 限制 一節。
基礎結構層加密的優點是在最接近儲存裝置或網路線的層實作。 適用於 MySQL 的 Azure 資料庫使用服務管理的金鑰實作兩層加密。 雖然在服務層技術上仍然很接近儲存待用資料的硬體。 您仍然可以選擇性地使用已布建 MySQL 伺服器的客戶受控金鑰 來啟用待用 資料加密。
基礎結構層的實作也支援索引鍵的多樣性。 基礎結構必須留意電腦和網路的不同叢集。 因此,不同的金鑰可用來將基礎結構攻擊的爆破半徑降到最低,以及各種硬體和網路失敗。
注意
由於額外的加密程式,使用基礎結構雙重加密會對適用於 MySQL 的 Azure 資料庫伺服器的輸送量造成 5-10% 的影響。
福利
適用於 MySQL 的 Azure 資料庫的基礎結構雙重加密提供下列優點:
- 密碼編譯實 作的額外多樣性 - 計畫移至硬體型加密,除了以軟體為基礎的實作之外,還會提供硬體型實作,進一步將實作多樣化。
- 實作錯誤 - 基礎結構層的兩層加密可防範較高層中快取或記憶體管理中公開純文字資料的任何錯誤。 此外,這兩個層級也可確保在一般加密實作時發生錯誤。
這些組合提供強式保護,防範用來攻擊密碼編譯的常見威脅和弱點。
基礎結構雙重加密的支援案例
適用於 MySQL 的 Azure 資料庫所提供的加密功能可以一起使用。 以下是您可以使用的各種案例摘要:
| ## | 預設加密 | 基礎結構雙重加密 | 使用客戶管理的金鑰進行資料加密 |
|---|---|---|---|
| 1 | 是 | 否 | 否 |
| 2 | 是 | 是 | 否 |
| 3 | 是 | 否 | 是 |
| 4 | 是 | 是 | 是 |
重要
- 案例 2 和 4 可以根據適用於 MySQL 的 Azure 資料庫伺服器的工作負載類型,導入 5-10% 的輸送量下降,因為基礎結構加密的額外層。
- 只有在伺服器建立期間,才允許設定適用於 MySQL 的 Azure 資料庫的基礎結構雙重加密。 布建伺服器之後,您無法變更儲存體加密。 不過,您仍然可以針對使用/不使用基礎結構雙重加密所建立之伺服器的客戶自控金鑰來啟用資料加密。
限制
針對適用於 MySQL 的 Azure 資料庫,支援基礎結構雙重加密有幾個限制 -
此功能的支援僅限於 一般用途 和 記憶體優化 定價層。
只有區域和伺服器才支援此功能,其支援一般用途儲存體 v2(最多 16 TB)。 如需支援儲存體最多 16 TB 的 Azure 區域清單,請參閱這裡的檔 中的儲存體一節
注意
- 在支援一般用途儲存體 v2 的 Azure 區域中 建立的所有新 MySQL 伺服器,都 支援 使用客戶管理員金鑰進行加密。 還原時間點 (PITR) 伺服器或讀取複本在理論上不會符合「新」資格。
- 若要驗證布建的伺服器一般用途儲存體 v2,您可以移至入口網站中的定價層刀鋒視窗,並查看布建伺服器所支援的儲存體大小上限。 如果您可以將滑杆移至 4TB,您的伺服器位於一般用途儲存體 v1 上,且不支援使用客戶管理的金鑰進行加密。 不過,資料會隨時使用服務管理金鑰來加密。 如果您有任何問題,請連絡 AskAzureDBforMySQL@service.microsoft.com 。
下一步
瞭解如何 為適用于 MySQL 的 Azure 資料庫設定基礎結構雙重加密。