Compartilhar via

Criptografia de dados para o Banco de Dados do Azure para MySQL com o portal do Azure

Este artigo mostra como configurar e gerenciar a criptografia de dados para o Banco de Dados do Azure para MySQL, que se concentra na criptografia em repouso, que protege os dados armazenados no banco de dados.

Neste artigo, você aprenderá a:

  • Defina a criptografia de dados para o Banco de Dados do Azure para MySQL.
  • Configure a criptografia de dados para restauração.
  • Configure a criptografia de dados para servidores de réplica.

A configuração de acesso do cofre de chaves do Azure agora dá suporte a dois tipos de modelos de permissão: Controle de acesso baseado em função do Azure e Política de acesso do cofre. O artigo descreve como configurar a criptografia de dados para o Banco de Dados do Azure para MySQL usando uma política de acesso do Cofre.

Você pode optar por usar o RBAC do Azure como um modelo de permissão para conceder acesso ao Azure Key Vault. Para fazer isso, você precisa de um papel interno ou personalizado que tenha as três permissões abaixo e atribuí-lo por meio de "atribuições de função", usando a guia Controle de Acesso (IAM) no Key Vault.

  • KeyVault/vaults/keys/wrap/action
  • KeyVault/vaults/keys/unwrap/action
  • KeyVault/vaults/keys/read. Para o HSM gerenciado pelo Azure Key Vault, você também precisará atribuir a atribuição de função "Usuário de Criptografia de Serviço de Criptografia HSM Gerenciado" no RBAC.

Tipos de criptografia

O Banco de Dados do Azure para MySQL dá suporte a dois tipos primários de criptografia para ajudar a proteger seus dados. A criptografia em repouso garante que todos os dados armazenados no banco de dados, incluindo backups e logs, estejam protegidos contra acesso não autorizado criptografando-os em disco. A criptografia em trânsito (também conhecida como criptografia de comunicações) protege os dados à medida que se move entre seus aplicativos cliente e o servidor de banco de dados, normalmente usando protocolos TLS/SSL. Juntos, esses tipos de criptografia fornecem proteção abrangente para seus dados enquanto eles são armazenados e transmitidos.

  • Criptografia em repouso: protege os dados armazenados no banco de dados, backups e logs. Este é o foco principal deste artigo.
  • Criptografia de Comunicações (Criptografia em Trânsito): protege os dados à medida que viajam entre o cliente e o servidor, normalmente usando protocolos TLS/SSL.

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa.
  • Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.

    > [! OBSERVAÇÃO] > Com uma conta gratuita do Azure, agora você pode experimentar o Servidor Flexível do Banco de Dados do Azure para MySQL gratuitamente por 12 meses. Para mais informações, consulte Usar uma conta gratuita do Azure para experimentar o Banco de Dados do Azure para MySQL – servidor flexível gratuito.

Definir as permissões apropriadas para operações de chave

  1. No Key Vault, selecione Políticas de Acesso e selecione Criar.

Captura de tela da Política de Acesso do Key Vault no portal do Azure.

  1. Na guia Permissões, selecione as seguintes Permissões de chave – Get, List, Wrap Key , Unwrap Key.

  2. Na guia Entidade de Segurança, selecione a Identidade Gerenciada atribuída pelo usuário.

Captura de tela da guia Entidade de segurança no portal do Azure.

  1. Selecione Criar.

Configurar a chave gerenciada pelo cliente

Para configurar a chave gerenciada pelo cliente, siga estas etapas.

  1. No portal, navegue até a instância do Servidor Flexível do Banco de Dados do Azure para MySQL e, em Segurança, selecione Criptografia de dados.

Captura de tela da página de criptografia de dados.

  1. Na página Criptografia de dados, em Nenhuma identidade atribuída, selecione Alterar identidade.

  2. Na caixa de diálogo Selecionar identidade gerenciada* atribuída pelo usuário , selecione a identidade demo-umi e selecione Adicionar**.

Captura de tela de como selecionar demo-umi na página de identidade gerenciada atribuída.

  1. À direita do Método de seleção de chave, Selecione uma chave e especifique um cofre de chaves e um par de chaves ou selecione Inserir um identificador de chave.

Captura de tela do método de seleção de chave para mostrar o usuário.

  1. Clique em Salvar.

Usar criptografia de dados para restauração

Para usar a criptografia de dados como parte de uma operação de restauração, siga estas etapas.

  1. No portal do Azure, navegue até a página Visão geral do servidor e selecione Restaurar.     1. Na guia Segurança , especifique a identidade e a chave.

Captura de tela da página de visão geral.

  1. Selecione Alterar identidade e escolha a Identidade gerenciada atribuída pelo usuário e clique em Adicionar para selecionar a Chave. Você pode selecionar um cofre de chaves e um par de chaves ou inserir um identificador de chaves

Captura de tela da página Alterar identidade.

Usar criptografia de dados para servidores de réplica

Depois que a instância do Servidor Flexível do Banco de Dados do Azure para MySQL for criptografada com a chave gerenciada do cliente armazenada no Key Vault, qualquer cópia recém-criada do servidor também será criptografada.

  1. Para a replicação de configuração, em Configurações, selecione Replicação e, em seguida, Adicionar réplica.

Captura de tela da página Replicação.

  1. Na caixa de diálogo Adicionar servidor de Réplica ao Banco de Dados do Azure para MySQL, selecione a opção apropriada Computação e armazenamento e selecione OK.

Captura de tela da página Computação e Armazenamento.

    > [! IMPORTANTE] Ao tentar criptografar um Servidor Flexível do Banco de Dados do Azure para MySQL com uma chave gerenciada pelo cliente que já tenha réplicas, recomendamos configurar uma ou mais réplicas adicionando a identidade gerenciada e a chave.

Conteúdo relacionado

  • Last updated on