SSL/TLS-anslutning i Azure Database for MariaDB

Azure Database for MariaDB stöder anslutning av databas servern till klient program med hjälp av Secure Sockets Layer (SSL). Framtvingande av SSL-anslutningar mellan databasservern och klientprogrammen hjälper till att skydda mot ”man in the middle”-attacker genom att kryptera dataströmmen mellan servern och programmet.

Standardinställningar

Som standard ska databas tjänsten konfigureras för att kräva SSL-anslutningar vid anslutning till MariaDB. Vi rekommenderar att du inte inaktiverar SSL-alternativet när det är möjligt.

När du konfigurerar en ny Azure Database for MariaDB-server via Azure Portal och CLI är tvingande av SSL-anslutningar aktiverat som standard.

I vissa fall kräver program en lokal certifikat fil som genereras från en certifikat utfärdare för betrodda certifikat utfärdare för att ansluta säkert. För närvarande kan kunder bara använda det fördefinierade certifikatet för att ansluta till en Azure Database for MariaDB-server som finns på https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pem .

På samma sätt pekar följande länkar till certifikaten för servrar i suveräna moln: Azure Government, Azure Kinaoch Azure Germany.

Anslutnings strängar för olika programmeringsspråk visas i Azure Portal. Dessa anslutnings strängar innehåller de SSL-parametrar som krävs för att ansluta till databasen. I Azure Portal väljer du servern. Under rubriken Inställningar väljer du anslutnings strängarna. SSL-parametern varierar beroende på anslutningen, till exempel "SSL = true" eller "sslmode = Kräv" eller "sslmode = required" och andra variationer.

Information om hur du aktiverar eller inaktiverar SSL-anslutning när du utvecklar program finns i så här konfigurerar du SSL.

TLS-tvång i Azure Database for MariaDB

Azure Database for MariaDB stöder kryptering för klienter som ansluter till din databas server med hjälp av Transport Layer Security (TLS). TLS är ett bransch standard protokoll som garanterar säkra nätverks anslutningar mellan din databas server och klient program, så att du kan följa kraven för efterlevnad.

TLS-inställningar

Azure Database for MariaDB ger möjlighet att genomdriva TLS-versionen för klient anslutningarna. Om du vill framtvinga TLS-versionen använder du inställningen minsta TLS-version . Följande värden är tillåtna för den här alternativ inställningen:

Om du till exempel anger värdet för lägsta TLS-inställnings version till TLS 1,0 betyder det att servern tillåter anslutningar från klienter som använder TLS 1,0, 1,1 och 1.2 +. Du kan också ställa in detta på 1,2 innebär att du bara tillåter anslutningar från klienter som använder TLS 1.2 + och alla anslutningar med TLS 1,0 och TLS 1,1 kommer att avvisas.

Information om hur du anger TLS-inställningen för Azure Database for MariaDB finns i Konfigurera TLS-inställningen.

Chiffrering stöder Azure Database for MariaDB

Som en del av SSL/TLS-kommunikationen verifieras chiffersviter och endast stöd för chiffersviter är tillåtna för att kommunicera med databas servern. Verifieringen av chiffersviter styrs i Gateway-lagret och inte uttryckligen på själva noden. Om chiffersviter inte matchar någon av paketen i listan nedan, kommer inkommande klient anslutningar att avvisas.

Chiffrering stöds

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Nästa steg

• Läs mer om regler för Server brand vägg
• Lär dig hur du konfigurerar SSL
• Lär dig hur du konfigurerar TLS