適用於 MySQL 的 Azure 資料庫安全性
適用於:
適用於 MySQL 的 Azure 資料庫 - 單一伺服器
重要
適用於 MySQL 的 Azure 資料庫單一伺服器位於淘汰路徑上。 強烈建議您升級至適用於 MySQL 的 Azure 資料庫彈性伺服器。 如需移轉至適用於 MySQL 的 Azure 資料庫彈性伺服器的詳細資訊,請參閱 適用於 MySQL 的 Azure 資料庫單一伺服器會發生什麼事?
有多層安全性可供保護適用於 MySQL 的 Azure 資料庫伺服器上的資料。 本文概述這些安全性選項。
資訊保護和加密
傳輸中
適用於 MySQL 的 Azure 資料庫使用傳輸層安全性加密傳輸中的資料來保護您的資料。 預設會強制執行加密 (SSL/TLS)。
待用
適用於 MySQL 的 Azure 資料庫服務會使用 FIPS 140-2 驗證的密碼編譯模組來儲存待用資料的加密。 資料,包括備份,都會在磁片上加密,包括在執行查詢時建立的暫存檔。 該服務使用包含在 Azure 儲存體加密中的 AES 256 位元加密,且金鑰是由系統進行管理。 儲存體加密會一律啟用,且無法停用。
網路安全性
連線到適用於 MySQL 的 Azure 資料庫伺服器會先透過區域閘道路由傳送。 閘道具有可公開存取的 IP,而伺服器 IP 位址則受到保護。 如需閘道的詳細資訊,請流覽 連線架構一文 。
新建立適用於 MySQL 的 Azure 資料庫伺服器具有封鎖所有外部連線的防火牆。 雖然它們到達閘道,但不允許它們連線到伺服器。
IP 防火牆規則
IP 防火牆規則會根據每個要求的來源 IP 位址授與伺服器存取權。 如需詳細資訊, 請參閱防火牆規則概觀 。
虛擬網路防火牆規則
虛擬網路服務端點會透過 Azure 骨幹擴充虛擬網路連線能力。 使用虛擬網路規則,您可以啟用適用於 MySQL 的 Azure 資料庫伺服器,以允許虛擬網路中所選子網的連線。 如需詳細資訊,請參閱 虛擬網路服務端點概觀 。
私人 IP
Private Link 可讓您透過私人端點連線到 Azure 中的適用於 MySQL 的 Azure 資料庫。 Azure Private Link 基本上會將 Azure 服務帶入私人虛擬網路 (VNet) 內部。 PaaS 資源可使用私人 IP 位址來存取,就像 VNet 中的任何其他資源一樣。 如需詳細資訊,請參閱 私人連結概觀
存取管理
建立適用於 MySQL 的 Azure 資料庫伺服器時,您會為系統管理員使用者提供認證。 此系統管理員可用來建立其他 MySQL 使用者。
威脅保護
您可以加入宣告 適用于開放原始碼關係資料庫的 Microsoft Defender,以偵測異常活動,指出存取或惡意探索伺服器時發生異常且可能有害的嘗試。
稽核記錄 可用來追蹤資料庫中的活動。