Partilhar via

Criptografia de dados para o Banco de Dados do Azure para MySQL com o portal do Azure

Este artigo mostra como configurar e gerenciar a criptografia de dados para o Banco de Dados do Azure para MySQL, que se concentra na criptografia em repouso, que protege os dados armazenados no banco de dados.

Neste artigo, você aprenderá a:

  • Defina a criptografia de dados para o Banco de Dados do Azure para MySQL.
  • Configure a criptografia de dados para restauração.
  • Configure a criptografia de dados para servidores de réplica.

A configuração de acesso ao cofre de chaves do Azure agora oferece suporte a dois tipos de modelos de permissão - controle de acesso baseado em função do Azure e política de acesso do Vault. O artigo descreve como configurar a criptografia de dados para o Banco de Dados do Azure para MySQL usando uma política de acesso ao Vault.

Você pode optar por usar o RBAC do Azure como um modelo de permissão para conceder acesso ao Cofre da Chave do Azure. Para fazer isso, você precisa de uma função interna ou personalizada que tenha as três permissões abaixo e atribuí-la por meio de "atribuições de função" usando a guia Controle de acesso (IAM) no keyvault:

  • KeyVault/cofres/chaves/envólucro/ação
  • KeyVault/vaults/chaves/desembrulhar/ação
  • KeyVault/vaults/chaves/leitura. Para o HSM gerenciado pelo Azure Key Vault, você também precisará atribuir a atribuição de função "Usuário de criptografia do serviço de criptografia HSM gerenciado" no RBAC.

Tipos de encriptação

O Banco de Dados do Azure para MySQL dá suporte a dois tipos principais de criptografia para ajudar a proteger seus dados. A criptografia em repouso garante que todos os dados armazenados no banco de dados, incluindo backups e logs, sejam protegidos contra acesso não autorizado, criptografando-os no disco. A criptografia em trânsito (também conhecida como criptografia de comunicações) protege os dados à medida que eles se movem entre os aplicativos cliente e o servidor de banco de dados, normalmente usando protocolos TLS/SSL. Juntos, esses tipos de criptografia fornecem proteção abrangente para seus dados, tanto enquanto são armazenados quanto enquanto são transmitidos.

  • Criptografia em repouso: protege os dados armazenados no banco de dados, backups e logs. Este é o foco principal deste artigo.
  • Criptografia de comunicações (criptografia em trânsito): Protege os dados enquanto eles viajam entre o cliente e o servidor, normalmente usando protocolos TLS/SSL.

Pré-requisitos

  • Uma conta do Azure com uma subscrição ativa.
  • Se você não tiver uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.

    > [! NOTA] > Com uma conta gratuita do Azure, agora você pode experimentar o Banco de Dados do Azure para o Servidor Flexível MySQL gratuitamente por 12 meses. Para obter mais informações, consulte Usar uma conta gratuita do Azure para experimentar o Banco de Dados do Azure para MySQL - Servidor Flexível gratuitamente.

Definir as permissões adequadas para operações de chave

  1. No Cofre da Chave, selecione Políticas de acesso e, em seguida, selecione Criar.

Captura de ecrã da Política de Acesso ao Cofre da Chave no portal do Azure.

  1. Na guia Permissões, selecione as seguintes permissões de chave - Obter , Lista , Chave de encapsulamento , Desembrulhar chave.

  2. Na guia Principal, selecione a Identidade Gerenciada atribuída pelo usuário.

Captura de ecrã do separador principal no portal do Azure.

  1. Selecione Criar.

Configurar chave gerenciada pelo cliente

Para configurar a chave gerenciada pelo cliente, siga estas etapas.

  1. No portal, navegue até a instância do Servidor Flexível do Banco de Dados do Azure para MySQL e, em Segurança, selecione Criptografia de dados.

Captura de ecrã da página de encriptação de dados.

  1. Na página Criptografia de dados, em Nenhuma identidade atribuída , selecione Alterar identidade ,

  2. Na caixa de diálogo Selecionar identidade gerenciada atribuída ao usuário*, selecione a identidade demo-umi e selecione Adicionar**.

Captura de tela mostrando a seleção do demo-umi na página de identidade gerenciada atribuída.

  1. À direita do método de seleção de chaves, selecione uma chave e especifique um cofre de chaves e um par de chaves ou selecione Inserir um identificador de chave.

Captura de tela do método de seleção de teclas para mostrar ao usuário.

  1. Selecione Guardar.

Usar criptografia de dados para restauração

Para usar a criptografia de dados como parte de uma operação de restauração, siga estas etapas.

  1. No portal do Azure, navegue até a página Visão geral do seu servidor e selecione Restaurar.     1. Na guia Segurança , você especifica a identidade e a chave.

Captura de tela da página de visão geral.

  1. Selecione Alterar identidade e selecione a identidade gerenciada atribuída ao usuário e selecione AdicionarPara selecionar a chave , você pode selecionar um cofre de chaves e um par de chaves ou inserir um identificador de chave

SCreenshot da página de alteração de identidade.

Usar criptografia de dados para servidores de réplica

Depois que sua instância do Banco de Dados do Azure para Servidor Flexível MySQL é criptografada com a chave gerenciada de um cliente armazenada no Cofre da Chave, qualquer cópia recém-criada do servidor também é criptografada.

  1. Para a replicação de configuração, em Configurações , selecione Replicação e, em seguida, selecione Adicionar réplica.

Captura de ecrã da página Replicação.

  1. Na caixa de diálogo Adicionar Servidor de Réplica ao Banco de Dados do Azure para MySQL, selecione a opção Computação + armazenamento apropriada e selecione OK.

Captura de ecrã da página Computação + Armazenamento.

    > [! IMPORTANTE] Ao tentar criptografar um Banco de Dados do Azure para o Servidor Flexível MySQL com uma chave gerenciada pelo cliente que já tenha réplicas, recomendamos configurar uma ou mais réplicas adicionando a identidade gerenciada e a chave.

Conteúdos relacionados

  • Last updated on