Private Link para a Base de Dados do Azure para MySQL

APLICA-SE A: Base de Dados do Azure para MySQL - Servidor Único

A Ligação Privada permite-lhe estabelecer ligação a vários serviços PaaS no Azure através de um ponto final privado. O Azure Private Link essencialmente traz os serviços do Azure dentro da sua Rede Privada Virtual (VNet). Os recursos de PaaS podem ser acedidos através do endereço IP privado, como qualquer outro recurso na VNet.

Para uma lista de serviços PaaS que suportam Private Link funcionalidade, reveja a documentação Private Link. Um ponto final privado é um endereço IP privado numa VNet e Sub-rede específicas.

Nota

A funcionalidade de links privados só está disponível para servidores Base de Dados do Azure para MySQL nos níveis de preços Fins Gerais ou Otimizados de Memória. Certifique-se de que o servidor de base de dados está num destes níveis de preços.

Data exfiltration prevention (Prevenção da transferência de dados não autorizada)

A ex-filtração de dados em Base de Dados do Azure para MySQL é quando um utilizador autorizado, como um administrador de base de dados, é capaz de extrair dados de um sistema e movê-lo para outro local ou sistema fora da organização. Por exemplo, o utilizador transfere os dados para uma conta de armazenamento detida por terceiros.

Considere um cenário com um utilizador a executar a Workbench MySQL dentro de uma Máquina Virtual Azure (VM) que está a ligar-se a um servidor Base de Dados do Azure para MySQL a provisionado nos EUA Ocidentais. O exemplo a seguir mostra como limitar o acesso com pontos finais públicos em Base de Dados do Azure para MySQL utilizando controlos de acesso à rede.

  • Desative todo o tráfego de serviço Azure para Base de Dados do Azure para MySQL através do ponto final público, definindo Allow Azure Services to OFF. Certifique-se de que nenhum endereço IP ou gamas são permitidos aceder ao servidor através de regras de firewall ou de pontos finais de serviço de rede virtual.

  • Apenas permita o tráfego para o Base de Dados do Azure para MySQL utilizando o endereço IP privado do VM. Para obter mais informações, consulte os artigos sobre as regras de Service Endpoint e VNet firewall.

  • No Azure VM, reduza o âmbito de ligação de saída utilizando grupos de segurança de rede (NSGs) e tags de serviço da seguinte forma

    • Especifique uma regra NSG para permitir o tráfego para tag de serviço = SQL. WestUs - apenas permitindo a ligação a Base de Dados do Azure para MySQL nos EUA
    • Especificar uma regra NSG (com uma prioridade superior) para negar o tráfego da Tag de Serviço = SQL - negar ligações à Atualização a Base de Dados do Azure para MySQL em todas as regiões

No final desta configuração, o Azure VM só pode ligar-se a Base de Dados do Azure para MySQL na região oeste dos EUA. No entanto, a conectividade não se restringe a um único Base de Dados do Azure para MySQL. O VM ainda pode ligar-se a qualquer Base de Dados do Azure para MySQL na região oeste dos EUA, incluindo as bases de dados que não fazem parte da subscrição. Embora tenhamos reduzido o âmbito da exfiltração de dados no cenário acima para uma região específica, não o eliminámos completamente.

Com Private Link, pode agora configurar controlos de acesso à rede como os NSGs para restringir o acesso ao ponto final privado. Os recursos individuais do Azure PaaS são então mapeados para pontos finais privados específicos. Um insider malicioso só pode aceder ao recurso PaaS mapeado (por exemplo, um Base de Dados do Azure para MySQL) e nenhum outro recurso.

Conectividade no local em peering privado

Quando se conecta ao ponto final público a partir de máquinas no local, o seu endereço IP precisa de ser adicionado à firewall baseada em IP utilizando uma regra de firewall ao nível do servidor. Embora esta modelo funcione bem para permitir o acesso a máquinas individuais para dev ou testar cargas de trabalho, é difícil de gerir em um ambiente de produção.

Com Private Link, pode permitir o acesso transversal ao ponto final privado utilizando a Rota Expresso (ER), o perspérico privado ou o túnel VPN. Podem posteriormente desativar todos os acessos através do ponto final público e não utilizar a firewall baseada em IP.

Nota

Em alguns casos, os Base de Dados do Azure para MySQL e a sub-rede VNet estão em diferentes subscrições. Nestes casos, deve assegurar as seguintes configurações:

  • Certifique-se de que ambas as subscrições têm o fornecedor de recursos Microsoft.DBforMySQL registado. Para mais informações, consulte o gestor de recursos-registo

Processo de Criação

São necessários pontos finais privados para permitir Private Link. Isto pode ser feito utilizando os seguintes guias de como fazer.

Processo de aprovação

Uma vez que o administrador de rede cria o ponto final privado (PE), o administrador MySQL pode gerir a ligação de ponto final privado (PEC) para Base de Dados do Azure para MySQL. Esta separação de direitos entre a administração da rede e a DBA é útil para a gestão da conectividade Base de Dados do Azure para MySQL.

  • Navegue para o Base de Dados do Azure para MySQL recurso do servidor no portal do Azure.
    • Selecione as ligações de ponto final privado no painel esquerdo
    • Mostra uma lista de todas as ligações privadas de ponto final (PECs)
    • Ponto final privado correspondente (PE) criado

select the private endpoint portal

  • Selecione um PEC individual da lista selecionando-o.

select the private endpoint pending approval

  • O administrador do servidor MySQL pode optar por aprovar ou rejeitar um PEC e, opcionalmente, adicionar uma resposta de texto curta.

select the private endpoint message

  • Após aprovação ou rejeição, a lista refletirá o estado apropriado juntamente com o texto de resposta

select the private endpoint final state

Os clientes podem ligar-se ao ponto final privado a partir do mesmo VNet, VNet espreitado na mesma região ou em regiões, ou através da ligação VNet-to-VNet entre regiões. Além disso, os clientes podem ligar-se a partir de instalações usando o ExpressRoute, o perspório privado ou o túnel VPN. Abaixo está um diagrama simplificado mostrando os casos de uso comum.

select the private endpoint overview

Ligação a partir de um Azure VM em Rede Virtual (VNet)

Configure vNet olhando para estabelecer conectividade com o Base de Dados do Azure para MySQL de um VM Azure em um VNet esprevado.

Ligação a partir de um VM Azure em ambiente VNet-to-VNet

Configure a ligação de gateway VNet-to-VNet VPN para estabelecer conectividade a um Base de Dados do Azure para MySQL de um VM Azure numa região ou subscrição diferente.

Ligação a partir de um ambiente no local sobre VPN

Para estabelecer a conectividade de um ambiente no local até à Base de Dados do Azure para MySQL, escolha e implemente uma das opções:

As seguintes situações e resultados são possíveis quando se utiliza Private Link em combinação com as regras de firewall:

  • Se não configurar quaisquer regras de firewall, então, por defeito, nenhum tráfego será capaz de aceder ao Base de Dados do Azure para MySQL.

  • Se configurar o tráfego público ou um ponto final de serviço e criar pontos finais privados, então diferentes tipos de tráfego de entrada são autorizados pela regra de firewall correspondente.

  • Se não configurar qualquer ponto final de tráfego público ou serviço e criar pontos finais privados, então o Base de Dados do Azure para MySQL só é acessível através dos pontos finais privados. Se não configurar o tráfego público ou um ponto final de serviço, depois de todos os pontos finais privados aprovados serem rejeitados ou eliminados, nenhum tráfego poderá aceder ao Base de Dados do Azure para MySQL.

Negar o acesso público a Base de Dados do Azure para MySQL

Se pretender confiar apenas em pontos finais privados para aceder aos seus Base de Dados do Azure para MySQL, pode desativar a definição de todos os pontos finais públicos (isto é, regras de firewall e pontos finais de serviço VNet) definindo a configuração de Acesso à Rede Pública de Negação no servidor de base de dados.

Quando esta definição é definida como SIM, apenas as ligações através de pontos finais privados são permitidas à sua Base de Dados do Azure para MySQL. Quando esta definição estiver definida como NO, os clientes podem ligar-se ao seu Base de Dados do Azure para MySQL com base nas definições do seu ponto final de firewall ou de serviço VNet. Além disso, uma vez definido o valor do acesso à rede privada, os clientes não podem adicionar e/ou atualizar as regras existentes de 'Firewall' e 'VNet service endpoint'.

Nota

Esta funcionalidade encontra-se disponível em todas as regiões do Azure onde Base de Dados do Azure para MySQL - O servidor único suporta os níveis de preços Fins Gerais e Otimizados de Memória.

Esta definição não tem qualquer impacto nas configurações SSL e TLS para o seu Base de Dados do Azure para MySQL.

Para aprender a configurar o Acesso à Rede Pública de Negação para o seu Base de Dados do Azure para MySQL a partir de portal do Azure, consulte como configurar o Acesso à Rede Pública de Negação.

Passos seguintes

Para saber mais sobre Base de Dados do Azure para MySQL funcionalidades de segurança, consulte os seguintes artigos: