Konektivitas SSL/TLS di Azure Database for MariaDB
Penting
Azure Database for MariaDB berada di jalur penghentian. Kami sangat menyarankan Anda bermigrasi ke Azure Database for MySQL. Untuk informasi selengkapnya tentang migrasi ke Azure Database for MySQL, lihat Apa yang terjadi pada Azure Database for MariaDB?.
Azure Database for MariaDB mendukung menyambungkan server database Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database dan aplikasi klien Anda membantu melindungi dari serangan "man in the middle" dengan mengenkripsi aliran data antara server dan aplikasi Anda.
Catatan
Berdasarkan umpan balik dari pelanggan, kami telah memperpanjang penghentian sertifikat akar untuk CA Baltimore Root kami yang ada hingga 15 Februari 2021 (15/02/2021).
Penting
Sertifikat akar SSL diatur ke kedaluwarsa pada 15 Februari 2021 (15/02/2021). Perbarui aplikasi Anda untuk menggunakan sertifikat baru. Untuk mempelajari lebih lanjut, lihat pembaruan sertifikat yang direncanakan
Pengaturan default
Secara default, layanan database harus dikonfigurasi untuk memerlukan koneksi aman saat menyambungkan ke MariaDB. Sebaiknya hindari menonaktifkan opsi SSL jika memungkinkan.
Saat memprovisikan server Azure Database for MariaDB baru melalui portal Azure dan CLI, penerapan koneksi aman diaktifkan secara default.
Dalam beberapa kasus, aplikasi memerlukan file sertifikat lokal yang dihasilkan dari file sertifikat Otoritas Sertifikat (CA) tepercaya agar tersambung dengan aman. Saat ini pelanggan hanya dapat menggunakan sertifikat yang telah ditentukan sebelumnya untuk menyambungkan ke server Azure Database for MariaDB yang berlokasi di https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pem.
Demikian pula, tautan berikut menunjuk ke sertifikat untuk server di sovereign cloud: Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet, dan Azure Jerman.
String koneksi untuk berbagai bahasa komputer ditampilkan di portal Microsoft Azure. String koneksi tersebut mencakup parameter SSL yang diperlukan untuk menyambungkan ke database Anda. Di portal Azure, pilih server Anda. Di bawah judul Pengaturan, pilih String koneksi. Parameter SSL bervariasi berdasarkan konektor, misalnya "ssl=true" atau "sslmode=require" atau "sslmode=required" dan variasi lainnya.
Untuk mempelajari cara mengaktifkan atau menonaktifkan koneksi aman saat mengembangkan aplikasi, lihat Cara mengonfigurasi SSL.
Penerapan TLS di Azure Database for MariaDB
Azure Database for MariaDB mendukung enkripsi untuk klien yang tersambung ke server database Anda menggunakan Keamanan Lapisan Transportasi (TLS). TLS adalah protokol standar industri yang memastikan koneksi jaringan terenkripsi antara server database dan aplikasi klien, sehingga Anda dapat memenuhi persyaratan kepatuhan.
pengaturan TLS
Azure Database for MariaDB menyediakan kemampuan untuk menerapkan versi TLS untuk koneksi klien. Untuk menerapkan versi TLS, gunakan pengaturan opsi versi TLS minimum. Nilai-nilai berikut ini diperbolehkan untuk pengaturan opsi ini:
| Pengaturan TLS minimum | Versi TLS klien yang didukung |
|---|---|
| TLSEnforcementDisabled (default) | Tidak memerlukan TLS |
| TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 dan yang lebih tinggi |
| TLS1_1 | TLS 1.1, TLS 1.2 dan yang lebih tinggi |
| TLS1_2 | TLS versi 1.2 dan yang lebih tinggi |
Misalnya, mengatur nilai versi pengaturan TLS minimum ke TLS 1.0 berarti server Anda akan mengizinkan koneksi dari klien yang menggunakan TLS 1.0, 1.1, dan 1.2+. Atau, dengan mengaturnya ke 1.2, Anda hanya mengizinkan koneksi dari klien yang menggunakan TLS 1.2+ dan semua koneksi dengan TLS 1.0 dan TLS 1.1 akan ditolak.
Catatan
Secara default, Azure Database for MariaDB tidak menerapkan versi TLS minimum (pengaturan TLSEnforcementDisabled).
Setelah menerapkan versi TLS minimum, Anda tidak dapat menonaktifkan penerapan versi minimum nanti.
Untuk mempelajari cara mengatur pengaturan TLS untuk Azure Database for MariaDB Anda, lihat Cara mengonfigurasi pengaturan TLS.
Dukungan Cipher oleh Azure Database for MariaDB
Sebagai bagian dari komunikasi SSL/TLS, suite cipher divalidasi dan hanya suite cipher pendukung yang diizinkan untuk berkomunikasi ke server database. Validasi rangkaian cipher dikontrol di lapisan gateway dan tidak secara eksplisit pada simpul itu sendiri. Jika rangkaian cipher tidak cocok dengan salah satu suite yang tercantum di bawah, koneksi klien yang masuk akan ditolak.
Rangkaian cipher didukung
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Langkah berikutnya
- Pelajari selengkapnya tentang aturan firewall server
- Lihat cara mengonfigurasi SSL
- Lihat cara mengonfigurasi TLS