Поделиться через

Шифрование данных для Базы данных Azure для MySQL с помощью портала Azure

В этой статье показано, как настроить шифрование данных и управлять ими для Базы данных Azure для MySQL, которая фокусируется на шифровании неактивных данных, которые защищают данные, хранящиеся в базе данных.

В этой статье вы узнаете, как:

  • Задайте шифрование данных для Базы данных Azure для MySQL.
  • Настройте шифрование данных для восстановления.
  • настройка шифрования данных для серверов реплик.

Конфигурация доступа к хранилищу ключей Azure теперь поддерживает два типа моделей разрешений : управление доступом на основе ролей Azure и политика доступа к Хранилищу. В статье описывается настройка шифрования данных для Базы данных Azure для MySQL с помощью политики доступа к Хранилищу.

Вы можете использовать Azure RBAC в качестве модели разрешений для предоставления доступа к Azure Key Vault. Для этого требуется встроенная или настраиваемая роль, которая имеет следующие три разрешения. Назначьте эту роль через "назначения ролей" с помощью вкладки "Управление доступом (IAM)" в хранилище ключей.

  • KeyVault/vaults/key/wrap/action
  • KeyVault/vaults/key/unwrap/action
  • KeyVault/vaults/keys/read. Для HSM, управляемого Azure Key Vault, вам также потребуется назначить назначение роли "Управляемый пользователь шифрования шифрования криптографии HSM" в RBAC.

Типы шифрования

База данных Azure для MySQL поддерживает два основных типа шифрования для защиты данных. Шифрование неактивных данных гарантирует, что все данные, хранящиеся в базе данных, включая резервные копии и журналы, защищены от несанкционированного доступа путем шифрования его на диске. Шифрование при передаче (также называемое шифрованием связи) защищает данные по мере перемещения между клиентскими приложениями и сервером базы данных, как правило, с помощью протоколов TLS/SSL. Вместе эти типы шифрования обеспечивают комплексную защиту данных как во время его хранения, так и при передаче.

  • Шифрование неактивных данных: защищает данные, хранящиеся в базе данных, резервных копиях и журналах. Это основное внимание этой статьи.
  • Шифрование связи (шифрование при передаче): защищает данные по мере перемещения между клиентом и сервером, обычно с помощью протоколов TLS/SSL.

Необходимые компоненты

    > [! Примечание. > С помощью бесплатной учетной записи Azure теперь можно использовать гибкий сервер Базы данных Azure для MySQL бесплатно в течение 12 месяцев. Дополнительные сведения см. в статье "Использование бесплатной учетной записи Azure", чтобы бесплатно попробовать База данных Azure для MySQL — гибкий сервер.

Настройка соответствующих разрешений для ключевых операций

  1. В Key Vault выберите элемент Политики доступа и нажмите кнопку Создать.

Снимок экрана: политика доступа Key Vault на портале Azure.

  1. На вкладке Разрешения выберите следующие разрешения ключа: Get, List, Wrap Key, Unwrap Key.

  2. На вкладке Субъект выберите элемент "Управляемое удостоверение, назначаемое пользователем".

Снимок экрана: вкладка

  1. Нажмите кнопку создания.

Настройка ключей, управляемых клиентом

Чтобы настроить ключ, управляемый клиентом, выполните следующие действия.

  1. На портале перейдите к экземпляру гибкого сервера База данных Azure для MySQL, а затем в разделе "Безопасность" выберите шифрование данных.

Снимок экрана: страница шифрования данных.

  1. На странице Шифрование данных в разделе Удостоверение не назначено выберите элемент Изменить удостоверение.

  2. В диалоговом окне "Выбор назначенного пользователем* управляемого удостоверения" выберите демонстрационную идентификацию umi и нажмите кнопку "Добавить**".

Снимок экрана: выбор демонстрационного удостоверения UMI на странице назначенных управляемых удостоверений.

  1. Справа от элемента Метод выбора ключа выберите элемент Выбрать ключ и укажите хранилище ключей и пару ключей или выберите элемент Введите идентификатор ключа.

Снимок экрана: метод выбора ключа для отображения пользователя.

  1. Выберите Сохранить.

Использование шифрования данных для восстановления

Чтобы использовать шифрование данных в рамках операции восстановления, выполните следующие действия.

  1. На портале Azure перейдите на страницу обзора сервера и выберите "Восстановить".     1. На вкладке "Безопасность " укажите удостоверение и ключ.

Снимок экрана: страница обзора.

  1. Выберите "Изменить удостоверение" и выберите управляемое удостоверение, назначаемое пользователем, и выберите "Добавить" для выбора ключа, можно выбрать хранилище ключей и пару ключей или ввести идентификатор ключа.

Снимок экрана: страница изменения удостоверения.

Использование шифрования данных для серверов-реплик

После шифрования экземпляра гибкого сервера База данных Azure для MySQL с помощью управляемого ключа клиента, хранящегося в Key Vault, также шифруется любая только что созданная копия сервера.

  1. Чтобы настроить репликацию, в разделе Параметры последовательно выберите элементы Репликация и Добавить реплику.

Снимок экрана: страница репликации.

  1. В диалоговом окне "Добавление сервера реплики в Базу данных Azure для MySQL" выберите соответствующий параметр Вычислительная среда и хранилище, а затем нажмите кнопку ОК.

Снимок экрана: страница

    > [! ВАЖНО. При попытке шифрования гибкого сервера Базы данных Azure для MySQL с помощью управляемого клиентом ключа, уже имеющего реплики, рекомендуется настроить одну или несколько реплик, добавив управляемое удостоверение и ключ.

Связанный контент

  • Last updated on