SSL-/TLS-kapcsolat az Azure Database for MariaDB-ben
Fontos
Az Azure Database for MariaDB a nyugdíjazási útvonalon van. Határozottan javasoljuk, hogy migráljon az Azure Database for MySQL-be. További információ az Azure Database for MySQL-be való migrálásról: Mi történik az Azure Database for MariaDB-vel?
Az Azure Database for MariaDB támogatja az adatbázis-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kikényszerítése elősegíti a „köztes” támadások elleni védelmet, mert titkosítja a kiszolgáló és az alkalmazás közötti streameket.
Megjegyzés:
Az ügyfelek visszajelzése alapján 2021. február 15-ig (2021.02.15.) meghosszabbítottuk meglévő Baltimore Root CA főtanúsítvány-elavulását.
Fontos
Az SSL főtanúsítványa 2021. február 15-től (2021. 02. 15.) lejár. Frissítse az alkalmazást az új tanúsítvány használatára. További információ: tervezett tanúsítványfrissítések
Alapértelmezett beállítások
Alapértelmezés szerint az adatbázis-szolgáltatást úgy kell konfigurálni, hogy SSL-kapcsolatokat igényeljen a MariaDB-hez való csatlakozáskor. Javasoljuk, hogy lehetőség szerint ne tiltsa le az SSL-beállítást.
Ha új Azure Database for MariaDB-kiszolgálót épít ki az Azure Portalon és a PARANCSSOR-on keresztül, alapértelmezés szerint engedélyezve lesz az SSL-kapcsolatok kényszerítése.
Bizonyos esetekben az alkalmazásoknak egy megbízható hitelesítésszolgáltatói (CA) tanúsítványfájlból létrehozott helyi tanúsítványfájlt kell létrehozniuk a biztonságos csatlakozáshoz. Az ügyfelek jelenleg csak az előre definiált tanúsítványt használhatják a következő helyen https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pemtalálható Azure Database for MariaDB-kiszolgálóhoz való csatlakozáshoz.
Hasonlóképpen, a következő hivatkozások a független felhők kiszolgálóinak tanúsítványaira mutatnak: Az Azure Government, a 21Vianet által üzemeltetett Microsoft Azure és az Azure Germany.
Csatlakozás különböző programozási nyelvekhez tartozó sztringek az Azure Portalon jelennek meg. Ezek a kapcsolati sztring tartalmazzák az adatbázishoz való csatlakozáshoz szükséges SSL-paramétereket. Az Azure Portalon válassza ki a kiszolgálót. A Gépház címsor alatt válassza ki a Csatlakozás ion sztringeket. Az SSL-paraméter az összekötőtől függően változik, például "ssl=true" vagy "sslmode=required" vagy "sslmode=required" és egyéb változatok.
Ha tudni szeretné, hogyan engedélyezheti vagy tilthatja le az SSL-kapcsolatot az alkalmazás fejlesztése során, tekintse meg az SSL konfigurálását ismertető témakört.
TLS-kényszerítés az Azure Database for MariaDB-ben
Az Azure Database for MariaDB támogatja az adatbázis-kiszolgálóhoz a Transport Layer Security (TLS) használatával csatlakozó ügyfelek titkosítását. A TLS egy szabványos iparági protokoll, amely biztonságos hálózati kapcsolatokat biztosít az adatbázis-kiszolgáló és az ügyfélalkalmazások között, lehetővé téve a megfelelőségi követelmények betartását.
TLS settings
Az Azure Database for MariaDB lehetővé teszi a TLS-verzió kikényszerítését az ügyfélkapcsolatokhoz. A TLS-verzió kényszerítéséhez használja a Minimális TLS verzióbeállítást . A beállításhoz a következő értékek engedélyezettek:
| Minimális TLS-beállítás | Az ügyfél TLS-verziója támogatott |
|---|---|
| TL Standard kiadás nforcementDisabled (alapértelmezett) | Nincs szükség TLS-re |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 és újabb |
| TLS1_1 | TLS 1.1, TLS 1.2 és újabb |
| TLS1_2 | TLS 1.2-es és újabb verzió |
Ha például a Minimális TLS beállítási verzió értékét TLS 1.0-ra állítja, akkor a kiszolgáló engedélyezi a TLS 1.0, 1.1 és 1.2+-t használó ügyfelek közötti kapcsolatokat. Ha ezt 1.2-re állítja, az azt jelenti, hogy csak a TLS 1.2+-t használó ügyfelek kapcsolatait engedélyezi, és a TLS 1.0 és a TLS 1.1 összes kapcsolatát a rendszer elutasítja.
Megjegyzés:
Alapértelmezés szerint az Azure Database for MariaDB nem kényszeríti ki a minimális TLS-verziót (a beállítást TLSEnforcementDisabled).
A minimális TLS-verzió kényszerítése után később nem tilthatja le a minimális verziókényszerítést.
Az Azure Database for MariaDB TLS-beállításának beállításáról a TLS-beállítás konfigurálása című témakörben olvashat.
Az Azure Database for MariaDB titkosítási támogatása
Az SSL-/TLS-kommunikáció részeként a titkosítási csomagok érvényesítve vannak, és csak a támogató titkosítási öltönyök kommunikálhatnak az adatbázis-kiszolgálóval. A titkosítási csomag érvényesítése az átjárórétegben van szabályozva, és nem kifejezetten a csomóponton. Ha a titkosítócsomagok nem egyeznek az alább felsorolt csomagok egyikével, a rendszer elutasítja a bejövő ügyfélkapcsolatokat.
A titkosítási csomag támogatott
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
További lépések
- További információ a kiszolgálói tűzfalszabályokról
- Ismerje meg, hogyan konfigurálhatja az SSL-t
- Tudnivalók a TLS konfigurálásáról