MariaDB için Azure Veritabanı'da SSL/TLS bağlantısı
Önemli
MariaDB için Azure Veritabanı kullanımdan kaldırılıyor. MySQL için Azure Veritabanı geçiş yapmanızı kesinlikle öneririz. MySQL için Azure Veritabanı geçiş hakkında daha fazla bilgi için bkz. MariaDB için Azure Veritabanı ne oluyor?.
MariaDB için Azure Veritabanı, Güvenli Yuva Katmanı (SSL) kullanarak veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarının zorunlu tutulması, sunucuya uygulamanız arasındaki veri akışını şifreleyerek "bağlantıyı izinsiz izleme" saldırılarına karşı korumaya yardımcı olur.
Dekont
Müşterilerimizden gelen geri bildirimlere dayanarak mevcut Baltimore Kök CA'mız için kök sertifika kullanımdan kaldırma işlemini 15 Şubat 2021'e kadar uzattık (15.02.2021).
Önemli
SSL kök sertifikasının süresi 15 Şubat 2021'den (15.02.2021) itibaren sona erecek şekilde ayarlandı. Lütfen uygulamanızı yeni sertifikayı kullanacak şekilde güncelleştirin. Daha fazla bilgi edinmek için bkz. planlı sertifika güncelleştirmeleri
Varsayılan ayarlar
Varsayılan olarak, veritabanı hizmeti MariaDB'ye bağlanırken SSL bağlantıları gerektirecek şekilde yapılandırılmalıdır. Mümkün olduğunda SSL seçeneğini devre dışı bırakmaktan kaçınmanızı öneririz.
Azure portalı ve CLI aracılığıyla yeni bir MariaDB için Azure Veritabanı sunucusu sağlanırken, SSL bağlantılarının uygulanması varsayılan olarak etkinleştirilir.
Bazı durumlarda, uygulamaların güvenli bir şekilde bağlanması için güvenilen bir Sertifika Yetkilisi (CA) sertifika dosyasından oluşturulan bir yerel sertifika dosyası gerekir. Şu anda müşteriler önceden tanımlanmış sertifikayı yalnızca konumunda https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pembulunan bir MariaDB için Azure Veritabanı sunucusuna bağlanmak için kullanabilir.
Benzer şekilde, aşağıdaki bağlantılar bağımsız bulutlardaki sunucuların sertifikalarına işaret eder: Azure Kamu, 21Vianet tarafından sağlanan Microsoft Azure ve Azure Almanya.
Azure portalında çeşitli programlama dilleri için Bağlan ion dizeleri gösterilir. Bu bağlantı dizesi, veritabanınıza bağlanmak için gerekli SSL parametrelerini içerir. Azure portalında sunucunuzu seçin. Ayarlar başlığı altında Bağlan ion dizelerini seçin. SSL parametresi bağlayıcıya göre değişir; örneğin"ssl=true" veya "sslmode=require" ya da "sslmode=required" ve diğer çeşitlemeler.
Uygulama geliştirirken SSL bağlantısını etkinleştirmeyi veya devre dışı bırakmayı öğrenmek için bkz. SSL'yi yapılandırma.
MariaDB için Azure Veritabanı'da TLS zorlaması
MariaDB için Azure Veritabanı, Aktarım Katmanı Güvenliği (TLS) kullanarak veritabanı sunucunuza bağlanan istemciler için şifrelemeyi destekler. TLS, veritabanı sunucunuzla istemci uygulamaları arasında güvenli ağ bağlantıları sağlayarak uyumluluk gereksinimlerine uymanızı sağlayan endüstri standardı bir protokoldür.
TLS ayarları
MariaDB için Azure Veritabanı, istemci bağlantıları için TLS sürümünü zorunlu kılma olanağı sağlar. TLS sürümünü zorunlu kılmak için En Düşük TLS sürümü seçeneği ayarını kullanın. Bu seçenek ayarı için aşağıdaki değerlere izin verilir:
En düşük TLS ayarı | desteklenen istemci TLS sürümü |
---|---|
TLSEnforcementDisabled (varsayılan) | TLS gerekmez |
TLS1_0 | TLS 1.0, TLS 1.1, TLS 1.2 ve üzeri |
TLS1_1 | TLS 1.1, TLS 1.2 ve üzeri |
TLS1_2 | TLS sürüm 1.2 ve üzeri |
Örneğin, Minimum TLS ayar sürümünün değerini TLS 1.0 olarak ayarlamak, sunucunuzun TLS 1.0, 1.1 ve 1.2+ kullanan istemcilerden gelen bağlantılara izin verileceği anlamına gelir. Alternatif olarak, bunu 1.2 olarak ayarlamak yalnızca TLS 1.2+ kullanan istemcilerden gelen bağlantılara izin verileceği ve TLS 1.0 ve TLS 1.1 ile tüm bağlantıların reddedileceği anlamına gelir.
Dekont
Varsayılan olarak, MariaDB için Azure Veritabanı en düşük TLS sürümünü (ayarıTLSEnforcementDisabled
) zorlamaz.
En düşük TLS sürümünü zorunlu kıldıktan sonra en düşük sürüm zorlamayı devre dışı bırakamazsınız.
MariaDB için Azure Veritabanı tls ayarını nasıl ayarlayacağınızı öğrenmek için bkz. TLS ayarını yapılandırma.
MariaDB için Azure Veritabanı tarafından şifreleme desteği
SSL/TLS iletişiminin bir parçası olarak, şifreleme paketleri doğrulanır ve yalnızca destek şifreleme uygunlarının veritabanı sunucusuyla iletişim kurmasına izin verilir. Şifreleme paketi doğrulaması, ağ geçidi katmanında denetlenür ve düğümün kendisinde açıkça denetlenmemektedir. Şifreleme paketleri aşağıda listelenen paketlerden biriyle eşleşmiyorsa, gelen istemci bağlantıları reddedilir.
Desteklenen şifreleme paketi
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Sonraki adımlar
- Sunucu güvenlik duvarı kuralları hakkında daha fazla bilgi edinin
- SSL'yi yapılandırmayı öğrenin
- TLS'yi yapılandırmayı öğrenin