Segurança na Base de Dados do Azure para MySQL

  • Artigo

APLICA-SE A: Banco de Dados do Azure para MySQL - Servidor Único

Importante

O servidor único do Banco de Dados do Azure para MySQL está no caminho de desativação. É altamente recomendável que você atualize para o Banco de Dados do Azure para o servidor flexível MySQL. Para obter mais informações sobre como migrar para o Banco de Dados do Azure para servidor flexível MySQL, consulte O que está acontecendo com o Banco de Dados do Azure para Servidor Único MySQL?

Há várias camadas de segurança disponíveis para proteger os dados em seu banco de dados do Azure para o servidor MySQL. Este artigo destaca essas opções de segurança.

Proteção e encriptação de informações

Em trânsito

O Banco de Dados do Azure para MySQL protege seus dados criptografando dados em trânsito com o Transport Layer Security. A criptografia (SSL/TLS) é imposta por padrão.

Em inatividade

O serviço Banco de Dados do Azure para MySQL usa o módulo criptográfico validado FIPS 140-2 para criptografia de armazenamento de dados em repouso. Os dados, incluindo backups, são criptografados no disco, incluindo os arquivos temporários criados durante a execução de consultas. O serviço utiliza a cifra AES de 256 bits incluída na encriptação de armazenamento do Azure, sendo as chaves geridas pelo sistema. A encriptação de armazenamento está sempre ativada e não pode ser desativada.

Segurança da rede

As conexões com um Banco de Dados do Azure para servidor MySQL são primeiro roteadas por meio de um gateway regional. O gateway tem um IP acessível publicamente, enquanto os endereços IP do servidor estão protegidos. Para obter mais informações sobre o gateway, visite o artigo sobre arquitetura de conectividade.

Um banco de dados do Azure recém-criado para o servidor MySQL tem um firewall que bloqueia todas as conexões externas. Embora eles alcancem o gateway, eles não têm permissão para se conectar ao servidor.

Regras de firewall de IP

As regras de firewall de IP concedem acesso ao servidor com base no endereço IP de origem de cada pedido. Consulte a visão geral das regras de firewall para obter mais informações.

Regras de firewall de rede virtual

Os pontos de extremidade do serviço de rede virtual estendem sua conectividade de rede virtual pelo backbone do Azure. Usando regras de rede virtual, você pode habilitar seu Banco de Dados do Azure para o servidor MySQL para permitir conexões de sub-redes selecionadas em uma rede virtual. Para obter mais informações, consulte a visão geral do ponto de extremidade do serviço de rede virtual.

IP privado

O Private Link permite que você se conecte ao seu Banco de Dados do Azure para MySQL no Azure por meio de um ponto de extremidade privado. O Azure Private Link essencialmente traz os serviços do Azure dentro da sua Rede Privada Virtual (VNet). Os recursos de PaaS podem ser acedidos através do endereço IP privado, como qualquer outro recurso na VNet. Para obter mais informações, consulte a visão geral do link privado

Gestão de acesso

Ao criar o Banco de Dados do Azure para o servidor MySQL, você fornece credenciais para um usuário administrador. Este administrador pode ser usado para criar usuários MySQL adicionais.

Proteção contra ameaças

Você pode optar pelo Microsoft Defender para bancos de dados relacionais de código aberto que detetam atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar servidores.

O log de auditoria está disponível para rastrear a atividade em seus bancos de dados.

Próximos passos