Punkt odniesienia zabezpieczeń platformy Azure dla Azure Database for MySQL — serwer elastyczny
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do Azure Database for MySQL — serwer elastyczny. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące Azure Database for MySQL — serwer elastyczny.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender for Cloud.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje, które nie mają zastosowania do Azure Database for MySQL — serwer elastyczny został wykluczony. Aby zobaczyć, jak Azure Database for MySQL — serwer elastyczny całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktów odniesienia zabezpieczeń serwera elastycznego Azure Database for MySQL.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na Azure Database for MySQL — serwer elastyczny, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Product Category | Bazy danych |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: wdrażanie usługi w sieci wirtualnej. Przypisz prywatne adresy IP do zasobu (jeśli ma to zastosowanie), chyba że istnieje silny powód, aby przypisać publiczne adresy IP bezpośrednio do zasobu.
Dokumentacja: Dostęp do sieci prywatnej dla Azure Database for MySQL — serwer elastyczny
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jej podsieciach. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie uzyskiwaniu dostępu do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i modułów równoważenia obciążenia platformy Azure.
Dokumentacja: Sieć dla mySQL — serwer elastyczny
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Link prywatny platformy Azure
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure, które obsługują funkcję Private Link, w celu ustanowienia prywatnego punktu dostępu dla zasobów.
Dokumentacja: Tworzenie Private Link dla Azure Database for MySQL i zarządzanie nimi — serwer elastyczny przy użyciu portalu
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wyłącz dostęp do sieci publicznej przy użyciu reguły filtrowania listy ACL adresów IP na poziomie usługi lub przełącznika przełączania na potrzeby dostępu do sieci publicznej.
Dokumentacja: Dostęp do sieci publicznej dla Azure Database for MySQL — serwer elastyczny
Microsoft Defender do monitorowania chmury
Azure Policy wbudowanych definicji — Microsoft.DBforMySQL:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Prywatny punkt końcowy powinien być włączony dla serwerów MySQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, umożliwiając łączność prywatną z Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie tożsamościami.
IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie Azure AD wymagane do uzyskania dostępu do płaszczyzny danych
Opis: Usługa obsługuje uwierzytelnianie Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.
Dokumentacja: uwierzytelnianie usługi Active Directory — Azure Database for MySQL — serwer elastyczny
Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: Unikaj używania lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Dokumentacja: Szybki start: tworzenie serwera elastycznego Azure Database for MySQL przy użyciu Azure Portal
Im-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Dokumentacja: Szyfrowanie danych kluczy zarządzanych przez klienta — Azure Database for MySQL — serwer elastyczny
Jednostki usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Im-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Klient może włączyć uwierzytelnianie usługi AAD w celu wykorzystania dostępu warunkowego
Wskazówki dotyczące konfiguracji: Definiowanie odpowiednich warunków i kryteriów dostępu warunkowego usługi Azure Active Directory (Azure AD) w obciążeniu. Rozważ typowe przypadki użycia, takie jak blokowanie lub udzielanie dostępu z określonych lokalizacji, blokowanie ryzykownego zachowania logowania lub wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji.
Dokumentacja: uwierzytelnianie usługi Active Directory — Azure Database for MySQL — serwer elastyczny
Im-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych w usłudze Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Konta Administracja lokalnych
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: Unikaj używania lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Dokumentacja: Szybki start: tworzenie serwera elastycznego Azure Database for MySQL przy użyciu Azure Portal
PA-7: Przestrzegaj zasady wystarczającej liczby administracji (najniższych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: w scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych, użyj skrytki klienta do przejrzenia, a następnie zatwierdź lub odrzuć każde z żądań dostępu do danych firmy Microsoft.
Ochrona danych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Zapobieganie wyciekom/utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych przesyłanych
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa obsługuje szyfrowanie danych przesyłanych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Protokół TLS i PROTOKÓŁ SSL w usłudze MySQL — elastyczny
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.DBforMySQL:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Azure Database for MySQL obsługuje łączenie serwera Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, Wyłączone | 1.0.1 |
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
DP-5: W razie potrzeby użyj opcji klucza zarządzanego przez klienta w szyfrowaniu magazynowanych danych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu klucza cmK
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Szyfrowanie danych kluczy zarządzanych przez klienta — Azure Database for MySQL — serwer elastyczny
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.DBforMySQL:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Serwery MySQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów MySQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | AuditIfNotExists, Disabled | 1.0.4 |
DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację Key Vault platformy Azure dla dowolnych kluczy klienta, wpisów tajnych lub certyfikatów. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub po przejściu na emeryturę lub naruszenie klucza. Jeśli konieczne jest użycie klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) z kluczem szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywoływają odwołania za pośrednictwem identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wytycznymi, aby przeprowadzić początkowe generowanie kluczy i transfer kluczy.
Dokumentacja: Szyfrowanie danych kluczy zarządzanych przez klienta — Azure Database for MySQL — serwer elastyczny
DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault dla wszystkich certyfikatów klienta. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używaj tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla usługi/oferty produktu
Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Udostępniona |
Wskazówki dotyczące konfiguracji: Azure Database for MySQL serwer elastyczny zapewnia użytkownikom możliwość konfigurowania dzienników inspekcji. Dzienniki inspekcji mogą służyć do śledzenia aktywności na poziomie bazy danych, w tym połączeń, administratorów, DDL i zdarzeń DML. Te typy dzienników są często używane na potrzeby zapewniania zgodności.
Dokumentacja: Dzienniki inspekcji na serwerze elastycznym Azure Database for MySQL
Tworzenie i przywracanie kopii zapasowych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Natywne możliwości tworzenia kopii zapasowej usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Tworzenie kopii zapasowej i przywracanie na serwerze elastycznym Azure Database for MySQL
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.DBforMySQL:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for MySQL | Azure Database for MySQL umożliwia wybranie opcji nadmiarowości serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także są replikowane do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, Wyłączone | 1.0.1 |