Migrace místního MySQL do služby Azure Database for MySQL: Zabezpečení
Zajištění robustního zabezpečení je při migraci databází MySQL z místních prostředí do Služby Azure Database for MySQL nejdůležitější. Tento článek se zabývá důležitými aspekty zabezpečení a osvědčenými postupy pro ochranu dat během migrace. Pomocí komplexních funkcí zabezpečení Azure, jako je rozšířená ochrana před hrozbami, šifrování a řízení přístupu, můžete chránit databáze před potenciálními ohroženími zabezpečení a hrozbami. Tato příručka poskytuje přehledy potřebné k implementaci zabezpečené strategie migrace, řešení kritických aspektů, jako je šifrování dat, zabezpečení sítě a dodržování předpisů. Bez ohledu na to, jestli chcete zlepšit ochranu dat, splnit zákonné požadavky nebo zajistit integritu databází, tento článek vám poskytne znalosti, abyste dosáhli bezpečné a úspěšné migrace.
Požadavky
Přehled
Přechod na cloudovou službu neznamená, že k ní má vždy přístup celý internet. Azure poskytuje nejlepší zabezpečení ve třídě, které zajišťuje nepřetržitou ochranu datových úloh před špatnými aktéry a programy nenáležných herců.
Ověřování
Azure Database for MySQL podporuje základní mechanismy ověřování pro připojení uživatelů MySQL, ale podporuje také integraci s ID Microsoft Entra. Tato integrace zabezpečení funguje tak, že vydává tokeny, které fungují jako hesla během procesu přihlášení k MySQL. Konfigurace integrace služby Active Directory je neuvěřitelně jednoduchá a podporuje nejen uživatele, ale i skupiny Microsoft Entra.
Tato úzká integrace umožňuje správcům a aplikacím využívat rozšířené funkce zabezpečení služby Azure Identity Protection k zobrazení jakýchkoli problémů s identitou.
Poznámka:
Tuto funkci zabezpečení podporuje MySQL 5.7 a novější. Většina ovladačů aplikací se podporuje, pokud clear-text je k dispozici možnost.
Ochrana před hrozbami
Pokud dojde k ohrožení přihlašovacích údajů uživatele nebo aplikace, protokoly pravděpodobně neodráží žádné neúspěšné pokusy o přihlášení. Ohrožené přihlašovací údaje můžou umožnit špatným účastníkům přístup k datům a jejich stažení. Azure Threat Protection může sledovat anomálie v přihlášeních (jako jsou neobvyklá umístění, vzácné uživatele nebo útoky hrubou silou) a další podezřelé aktivity. Správci můžou být upozorněni v případě, že něco není look v pořádku.
Protokolování auditu
MySQL má robustní integrovanou funkci protokolu auditu. Ve výchozím nastavení je tato funkce protokolu auditu ve službě Azure Database for MySQL zakázaná . Protokolování na úrovni serveru je možné povolit změnou parametru audit\_log\_enabled serveru. Po povolení se k protokolům dostanete přes Azure Monitor a Log Analytics zapnutím protokolování diagnostiky.
Pokud chcete zadat dotaz na události související s připojením uživatele, spusťte následující dotaz KQL:
AzureDiagnostics
| where ResourceProvider =="MICROSOFT.DBFORMYSQL"
| where Category == 'MySqlAuditLogs' and event\_class\_s == "connection\_log"
| project TimeGenerated, LogicalServerName\_s, event\_class\_s, event\_subclass\_s
, event\_time\_t, user\_s , ip\_s , sql\_text\_s
| order by TimeGenerated asc
Šifrování
Data v instanci MySQL se ve výchozím nastavení šifrují v klidovém stavu. Všechny automatizované zálohy jsou také šifrované, aby se zabránilo potenciálnímu úniku dat neoprávněným stranám. Toto šifrování se obvykle provádí s klíčem, který se vytvoří při vytvoření instance. Kromě tohoto výchozího šifrovacího klíče mají správci možnost použít vlastní klíč (BYOK).
Při použití klíčové strategie spravované zákazníkem je důležité porozumět zodpovědnostem souvisejícím se správou životního cyklu klíčů. Klíče zákazníků se ukládají ve službě Azure Key Vault a pak se k němu přistupují prostřednictvím zásad. Je důležité dodržovat všechna doporučení pro správu klíčů, ztráta šifrovacího klíče odpovídá ztrátě přístupu k datům.
Kromě klíče spravovaného zákazníkem použijte klíče na úrovni služby k přidání dvojitého šifrování. Implementace této funkce může poskytovat vysoce šifrovaná neaktivní uložená data, ale obsahuje sankce za výkon šifrování. Mělo by se provést testování.
Data je možné během přenosu šifrovat pomocí protokolu SSL/TLS. Jak jsme už probírali dříve, může být nutné upravit aplikace tak, aby tuto změnu podporovaly, a také nakonfigurovat příslušná nastavení ověření protokolu TLS.
Brána firewall
Po nastavení uživatelů a šifrování neaktivních uložených dat by měl migrační tým zkontrolovat toky síťových dat. Azure Database for MySQL poskytuje několik mechanismů zabezpečení síťových vrstev omezením přístupu jenom autorizovaným uživatelům, aplikacím a zařízením.
Frontline obrany pro ochranu instance MySQL spočívá v implementaci pravidel brány firewall. IP adresy můžou být omezené jenom na platná umístění při přístupu k instanci prostřednictvím interních nebo externích IP adres. Pokud je instance MySQL určená pouze pro obsluhu interních aplikací, omezte veřejný přístup.
Při přesunu aplikace do Azure spolu s úlohou MySQL je pravděpodobné, že v hvězdicovém vzoru existuje několik virtuálních sítí, které vyžadují konfiguraci partnerského vztahu virtuálních sítí.
Privátní propojení
Pokud chcete omezit přístup ke službě Azure Database for MySQL na interní prostředky Azure, povolte službu Private Link. Private Link zajišťuje, že instance MySQL má přiřazenou privátní IP adresu místo veřejné IP adresy.
Poznámka:
Existuje mnoho dalších základních aspektů sítí Azure, které je potřeba vzít v úvahu, které se nezaměřují na tuto příručku.
Projděte si sadu potenciálních úloh standardních hodnot zabezpečení, které je možné implementovat napříč všemi prostředky Azure. Ne všechny položky popsané v referenčním odkazu se vztahují na konkrétní datové úlohy nebo prostředky Azure.
Kontrolní seznam zabezpečení
Pokud je to možné, použijte ověřování Microsoft Entra.
Povolte rozšířenou ochranu vláken.
Povolte všechny funkce auditování.
Zvažte strategii BYOK (Bring-Your-Own-Key).
Implementujte pravidla brány firewall.
Využijte privátní koncové body pro úlohy, které nepřecestují přes internet.