Delen via

Gegevensversleuteling voor Azure Database for MySQL met Azure Portal

In dit artikel leest u hoe u gegevensversleuteling instelt en beheert voor Azure Database for MySQL, dat zich richt op versleuteling in rust, waardoor gegevens die zijn opgeslagen in de database worden beschermd.

In dit artikel leert u het volgende:

  • Gegevensversleuteling instellen voor Azure Database for MySQL.
  • Configureer gegevensversleuteling voor herstel.
  • Configureer gegevensversleuteling voor replicaservers.

Azure Key Vault-toegangsconfiguratie ondersteunt nu twee typen machtigingsmodellen: op rollen gebaseerd toegangsbeheer van Azure en toegangsbeleid voor de kluis. In het artikel wordt beschreven hoe u gegevensversleuteling configureert voor Azure Database for MySQL met behulp van een kluistoegangsbeleid.

U kunt ervoor kiezen om Azure RBAC als machtigingsmodel te gebruiken om toegang te verlenen tot Azure Key Vault. Hiervoor hebt u een ingebouwde of aangepaste rol nodig die de onderstaande drie machtigingen heeft en deze toewijst via 'roltoewijzingen' met behulp van het tabblad Toegangsbeheer (IAM) in de sleutelkluis:

  • KeyVault/kluizen/sleutels/wrap/actie
  • KeyVault/kluizen/sleutels/uitpakken/actie
  • KeyVault/kluizen/sleutels/lezen. Voor door Azure Key Vault beheerde HSM moet u ook de roltoewijzing Managed HSM Crypto Service Encryption User toewijzen in RBAC.

Versleutelingstypen

Azure Database for MySQL ondersteunt twee primaire typen versleuteling om uw gegevens te beschermen. Versleuteling op rust zorgt ervoor dat alle gegevens die zijn opgeslagen in de database, inclusief back-ups en logboeken, worden beschermd tegen onbevoegde toegang door versleuteling op de schijf. Met versleuteling tijdens overdracht (ook wel communicatieversleuteling genoemd) worden gegevens beveiligd terwijl deze worden verplaatst tussen uw clienttoepassingen en de databaseserver, meestal met behulp van TLS/SSL-protocollen. Samen bieden deze versleutelingstypen uitgebreide beveiliging voor uw gegevens, zowel wanneer deze worden opgeslagen als wanneer ze worden verzonden.

  • Versleuteling at rest: beschermt gegevens die zijn opgeslagen in de database, back-ups en logboeken. Dit is de primaire focus van dit artikel.
  • Communicatieversleuteling (versleuteling in transit):beschermt gegevens tijdens het reizen tussen de client en de server, meestal met behulp van TLS/SSL-protocollen.

Vereisten

  • Een Azure-account met een actief abonnement.
  • Als u geen Azure-abonnement hebt, maakt u een gratis Azure-account voordat u begint.

    > [! OPMERKING] > Met een gratis Azure-account kunt u azure Database for MySQL Flexible Server nu 12 maanden gratis proberen. Zie Een gratis Azure-account gebruiken om Gratis Azure Database for MySQL - Flexible Server te proberen voor meer informatie.

De juiste machtigingen instellen voor sleutelbewerkingen

  1. Selecteer toegangsbeleid in Key Vault en selecteer vervolgens Maken.

Schermopname van Key Vault-toegangsbeleid in Azure Portal.

  1. Selecteer op het tabblad Machtigingen de volgende sleutelmachtigingen : Ophalen , Weergeven , Sleutel teruglopen, Sleutel uitpakken.

  2. Selecteer op het tabblad Principal de door de gebruiker toegewezen beheerde identiteit.

Schermopname van het tabblad Principal in Azure Portal.

  1. Selecteer Maken.

Door de klant beheerde sleutel configureren

Volg deze stappen om de door de klant beheerde sleutel in te stellen.

  1. Navigeer in de portal naar uw exemplaar van Azure Database for MySQL Flexible Server en selecteer vervolgens onder Beveiliging gegevensversleuteling.

Schermopname van de pagina voor gegevensversleuteling.

  1. Selecteer Op de pagina Gegevensversleuteling onder Geen identiteit toegewezen , selecteer Identiteit wijzigen,

  2. Selecteer in het dialoogvenster Door de gebruiker toegewezen* beheerde identiteit selecteren de demo-umi-identiteit en selecteer vervolgens Toevoegen**.

Schermopname van het selecteren van de demo-umi op de pagina toegewezen beheerde identiteit.

  1. Selecteer rechts van de sleutelselectiemethode een sleutel en geef een sleutelkluis en sleutelpaar op of selecteer Een sleutel-id invoeren.

Schermopname van de methode voor sleutelselectie om de gebruiker weer te geven.

  1. Selecteer Opslaan.

Gegevensversleuteling gebruiken voor herstel

Als u gegevensversleuteling wilt gebruiken als onderdeel van een herstelbewerking, volgt u deze stappen.

  1. Ga in Azure Portal naar de pagina Overzicht voor uw server en selecteer Herstellen.     1. Op het tabblad Beveiliging geeft u de identiteit en de sleutel op.

Schermopname van overzichtspagina.

  1. Selecteer Identiteit wijzigen en selecteer de door de gebruiker toegewezen beheerde identiteit en selecteer Toevoegenom de sleutel te selecteren. U kunt een sleutelkluis en sleutelpaar selecteren of een sleutel-id invoeren

SCreenshot van de pagina identiteit wijzigen.

Gegevensversleuteling gebruiken voor replicaservers

Nadat uw Azure Database for MySQL Flexible Server-exemplaar is versleuteld met de beheerde sleutel van een klant die is opgeslagen in Key Vault, wordt elke nieuw gemaakte kopie van de server ook versleuteld.

  1. Als u replicatie wilt configureren, selecteert u Replicatie onder Instellingen en selecteert u vervolgens Replica toevoegen.

Schermopname van de pagina Replicatie.

  1. Selecteer in het dialoogvenster Replicaserver toevoegen aan Azure Database for MySQL de juiste optie Compute en opslag en selecteer VERVOLGENS OK.

Schermopname van de pagina Compute + Storage.

    > [! BELANGRIJK] Bij het versleutelen van een Azure Database for MySQL Flexibele server met een door de klant beheerde sleutel die al replica's bevat, raden we u aan een of meer replica's te configureren door de beheerde identiteit en sleutel toe te voegen.

Gerelateerde inhoud