Azure Database for MySQL의 보안
적용 대상:
Azure Database for MySQL - 단일 서버
Important
Azure Database for MySQL 단일 서버는 사용 중지 경로에 있습니다. Azure Database for MySQL 유연한 서버로 업그레이드하는 것이 좋습니다. Azure Database for MySQL 유연한 서버로 마이그레이션하는 방법에 대한 자세한 내용은 Azure Database for MySQL 단일 서버에 대한 새로운 소식을 참조하세요.
Azure Database for MySQL 서버의 데이터를 보호하는 데 사용할 수 있는 여러 보안 계층이 있습니다. 이 문서에서는 이러한 보안 옵션에 대해 간략히 설명합니다.
정보 보호 및 암호화
전송 중
Azure Database for MySQL은 전송 중인 데이터를 전송 계층 보안으로 암호화하여 데이터를 보호합니다. 암호화(SSL/TLS)는 기본값으로 적용됩니다.
미사용
Azure Database for MySQL 서비스는 미사용 데이터의 스토리지 암호화를 위해 FIPS 140-2 유효성 검사 암호화 모듈을 사용합니다. 백업을 포함한 데이터는 디스크에서 암호화되며, 쿼리를 실행하는 동안 만든 임시 파일은 제외됩니다. 이 서비스는 Azure 스토리지 암호화에 포함된 AES 256비트 암호화를 사용하며, 키는 시스템에서 관리됩니다. 스토리지 암호화는 항상 켜져 있고 해제할 수 없습니다.
네트워크 보안
그러나 Azure Database for MySQL 서버의 연결은 먼저 공개적으로 액세스할 수 있는 지역 게이트웨이를 통해 라우팅됩니다. 게이트웨이에는 공개적으로 액세스 가능한 IP가 있고 서버 IP 주소는 보호됩니다. 게이트웨이에 대한 자세한 내용은 연결 아키텍처 문서를 참조하세요.
새로 만든 Azure Database for MySQL 서버에는 모든 외부 연결을 차단하는 방화벽이 있습니다. 이는 게이트웨이에 연결 되지만 서버에 연결할 수는 없습니다.
IP 방화벽 규칙
IP 방화벽 규칙은 각 요청의 기존 IP 주소를 기준으로 하여 데이터베이스 액세스 권한을 부여합니다. 자세한 정보는 방화벽 규칙 개요를 참조하세요.
Virtual Network 방화벽 규칙
가상 네트워크 서비스 엔드포인트는 Azure 백본을 통해 가상 네트워크 연결을 확장합니다. 가상 네트워크 규칙을 사용하여 Azure Database for MySQL 서버가 선택한 가상 네트워크의 서브넷에서 연결을 허용하도록 설정할 수 있습니다. 자세한 정보는 가상 네트워크 서비스 엔드포인트 개요를 참조하세요.
프라이빗 IP
Private Link를 사용하면 프라이빗 엔드포인트를 통해 Azure에서 Azure Database for MySQL로 연결할 수 있습니다. Azure Private Link는 기본적으로 개인 VNet(Virtual Network) 내에 Azure 서비스를 제공합니다. PaaS 리소스는 VNet의 다른 리소스와 마찬가지로 개인 IP 주소를 사용하여 액세스할 수 있습니다. 자세한 정보는 프라이빗 링크 개요를 참조하세요.
액세스 관리
Azure Database for MySQL 서버를 만드는 동안 관리자 계정 사용자에 대한 자격 증명을 제공합니다. 이 관리자를 사용하여 추가로 MySQL 사용자를 만들 수 있습니다.
위협 보호
서버에 액세스하거나 악용하려는 흔치 않고 잠재적으로 유해한 시도를 나타내는 비정상 활동을 검색하는 오픈 소스 관계형 데이터베이스용 Microsoft Defender에 옵트인 할 수 있습니다.
감사 로깅을 사용하여 데이터베이스의 활동을 추적할 수 있습니다.