Sichern Sie Ihre Azure Database für MySQL Server

Azure Database for MySQL ist ein vollständig verwalteter Datenbankdienst, der integrierte Hochverfügbarkeit, automatisierte Sicherungen und Skalierungsfunktionen bereitstellt. Die Sicherung Ihrer MySQL-Datenbankbereitstellungen ist entscheidend, um vertrauliche Daten zu schützen und die Einhaltung von Branchenstandards aufrechtzuerhalten.

In diesem Artikel erfahren Sie, wie Sie Ihre Azure-Datenbank für die Bereitstellung von MySQL Server sichern.

Netzwerksicherheit

Der Abschnitt "Netzwerksicherheit" führt Sie durch das Verhindern des öffentlichen Zugriffs und die Verwendung der Netzwerkfeatures, um Ihre MySQL-Datenbank in eine sichere, segmentierte Cloud-Netzwerkarchitektur zu integrieren. Konzeptionelle Informationen finden Sie unter Konnektivitäts- und Netzwerkkonzepte für Azure-Datenbank für MySQL – Flexible Server.

Um die Sicherheit Ihres MySQL-Datenbankservers zu verbessern, sollten Sie die folgenden bewährten Methoden berücksichtigen:

• Deaktivieren Sie den Zugriff auf öffentliche Netzwerke: Deaktivieren Sie den öffentlichen Netzwerkzugriff für Ihre MySQL, um die Gefährdung des Internets zu verhindern. Diese Aktion stellt sicher, dass nur vertrauenswürdige Netzwerke auf Ihre Datenbank zugreifen können.
• Private Endpunkte: Verwenden Sie private Endpunkte , um eine sichere Verbindung mit Ihrer MySQL in Ihrem virtuellen Netzwerk herzustellen.
• Alternativ können Sie die Integration virtueller Netzwerke verwenden: Verwenden Sie die Virtuelle Netzwerkintegration , um Ihre MySQL mit Ihrem virtuellen Netzwerk zu verbinden. Diese Integration ermöglicht den sicheren Zugriff von Ihren Azure-Ressourcen und vom Server aus auf verbrauchte Ressourcen, z. B. KI.
• Legacyfirewallregeln: Wenn Sie den Zugriff von bestimmten IP-Adressen zulassen müssen, verwenden Sie Legacyfirewallregeln und Dienstendpunkte. Dieser Ansatz wird jedoch nicht empfohlen. Verwenden Sie stattdessen private Endpunkte oder Virtual Network-Integration.

Die Netzwerksicherheitsartikel sind in den Abschnitten zum Netzwerk aufgeführt:

• Konnektivitäts- und Netzwerkkonzepte für Azure-Datenbank für MySQL
• Privater Link für Azure-Datenbank für MySQL
• Privater Netzwerkzugriff mithilfe der Integration des virtuellen Netzwerks für Azure-Datenbank für MySQL
• Öffentlicher Netzwerkzugriff für Azure-Datenbank für MySQL

Identitätsverwaltung

Der Abschnitt „Identitätsverwaltung“ konzentriert sich auf die Authentifizierung, die Sicherung von Identitäten und Zugriffssteuerungen mithilfe zentralisierter Identitäts- und Zugriffsverwaltungssysteme. Er behandelt bewährte Methoden wie starke Authentifizierungsmechanismen und verwaltete Identitäten für Anwendungen.

• Verwenden Sie Entra anstelle der lokalen Datenbankauthentifizierung: Sie sollten die lokale Authentifizierung für Ihren MySQL-Server nicht zulassen. Verwenden Sie stattdessen nur die Microsoft Entra-Authentifizierung (nicht gemischter Modus), um den Zugriff auf Ihre Datenbank zu verwalten. Microsoft Entra bietet eine zentrale Authentifizierung mit starken Sicherheitskontrollen und Defender for Identity-Echtzeitschutz. Weitere Informationen finden Sie im Allgemeinen zu Microsoft Entra und zur Microsoft Entra-Authentifizierung mit Azure Database for MySQL.

• Verwenden Sie verwaltete Identitäten für den sicheren Anwendungszugriff: Verwenden Sie verwaltete Identitäten in Azure, um Anwendungen und Dienste sicher zu authentifizieren, ohne Anmeldeinformationen verwalten zu müssen. Verwaltete Identitäten bieten eine sichere und vereinfachte Möglichkeit für den Zugriff auf Ressourcen wie Azure Database for MySQL. Weitere Informationen finden Sie unter Verwaltete Identitäten.

• Erzwingen der Sicherheit durch Richtlinien für bedingten Zugriff: Richten Sie Richtlinien für bedingten Zugriff in Microsoft Entra ein, um Sicherheitskontrollen basierend auf Benutzer-, Standort- oder Gerätekontext zu erzwingen. Diese Richtlinien ermöglichen die dynamische Durchsetzung von Sicherheitsanforderungen auf der Grundlage des Risikos, wodurch der allgemeine Sicherheitsstatus verbessert wird. Weitere Informationen finden Sie unter Microsoft Entra Conditional Access.

• Die lokale Authentifizierung basiert auf den Authentifizierungsfunktionen von MySQL: Wenn Sie die lokale Authentifizierung verwenden müssen, stellen Sie sicher, dass Sie der offiziellen MySQL-Dokumentation zur Zugriffssteuerung und Kontoverwaltung folgen. Azure-spezifische Anweisungen zum Verwalten von MySQL-Benutzern finden Sie unter "Erstellen von Benutzern in Azure-Datenbank für MySQL".

Zugriffskontrolle

Der Abschnitt "Zugriffssteuerung" konzentriert sich auf die Absicherung des Zugriffsniveaus basierend auf dem Prinzip der minimalen Rechte, um das Risiko eines nicht autorisierten Zugriffs zu reduzieren.

• Einschränken und Verwalten von erhöhten Berechtigungen.
• Erzwingen der mehrstufigen Authentifizierung.
• Sicherstellen, dass privilegierte Aktionen protokolliert und überwacht werden.

Zu den Sicherheitsdiensten, Features und bewährten Methoden für die Zugriffssteuerung gehören:

• Verwenden Sie Entra-Rollen für die Zugriffssteuerung: Implementieren Sie Azure Role-Based Access Control (RBAC), um den Zugriff auf Azure-Datenbank für MySQL-Ressourcen zu verwalten. Weisen Sie Rollen basierend auf dem Ansatz der geringsten Rechte zu, um sicherzustellen, dass Benutzer und Anwendungen nur über erforderliche Berechtigungen verfügen. Weitere Informationen finden Sie unter Azure Role Based Access Control (RBAC) im Allgemeinen und Einrichten der Microsoft Entra-Authentifizierung für Azure-Datenbank für MySQL.

• Folgen Sie den bewährten Methoden von Entra:

  • Nutzen Sie die mehrstufige Authentifizierung (Multifactor Authentication, MFA), um eine zusätzliche Sicherheitsebene für den Benutzerzugriff hinzuzufügen.
  • Implementieren Sie Privileged Identity Management (PIM), um den Zugriff zu verwalten, zu steuern und zu überwachen.
  • Richtlinien für bedingten Zugriff, Just-In-Time (JIT)-Zugriff zum Schutz von Benutzern und Datenbanken.

• Verwalten lokaler Datenbankbenutzer, Rollen und Berechtigungen: Verwenden Sie die integrierte Rollenverwaltung von MySQL, um den Zugriff auf Datenbankebene zu steuern. Erstellen Sie benutzerdefinierte Rollen mit bestimmten Berechtigungen, um den Ansatz der geringsten Rechte zu erzwingen. Überprüfen und überwachen Sie diese Rollen regelmäßig, um die Einhaltung von Sicherheitsrichtlinien sicherzustellen. Weitere Informationen finden Sie unter Create users in Azure Database for MySQL.

Datenschutz

Der Abschnitt „Datenschutz“ konzentriert sich auf die Sicherung vertraulicher ruhender Daten und Daten im Transit. Er stellt sicher, dass Daten verschlüsselt sind, der Zugriff kontrolliert wird und vertrauliche Informationen vor unbefugtem Zugriff geschützt sind. Er hebt die Verwendung von Verschlüsselung, sicheren Verbindungen und Datenmaskierung hervor, um die Datenintegrität und Vertraulichkeit zu schützen.

Im Folgenden finden Sie einige mögliche Sicherheitsdienste, Features und bewährte Methoden für den Datenschutzabschnitt:

Verschlüsseln von Daten während der Übertragung

• Überprüfen Sie TLS-Verbindungen: Azure MySQL verwendet TLS immer zum Verschlüsseln von Daten während der Übertragung zwischen Ihrer Anwendung und der Datenbank. Sie sollten Ihre Anwendung so konfigurieren, dass das verwendete Zertifikat überprüft wird, z. B. die Stammzertifizierungsstelle, abgelaufene Zertifikate, Übereinstimmung mit Hostnamen und Zertifikatsperrung. Diese Übung schützt vertrauliche Informationen vor Abhör- und Man-in-the-Middle-Angriffen. Weitere Informationen finden Sie unter Transport Layer Security (TLS) in Azure Database for MySQL.

• Stellen Sie sicher, dass der Client über die neuesten TLS-Zertifikate verfügt: Stellen Sie sicher, dass Ihre Clientanwendungen die neuesten TLS-Zertifikate installiert haben, um sichere Verbindungen zu unterstützen. Diese Vorgehensweise hilft dabei, Verbindungsfehler zu verhindern und sicherzustellen, dass Ihre Anwendung sichere Verbindungen mit dem MySQL-Server herstellen kann. Weitere Informationen finden Sie unter Transport Layer Security (TLS) in Azure Database for MySQL.

• Erfordert die Verwendung von TLS 1.3: Konfigurieren Sie Ihren MySQL-Server so, dass TLS 1.3 für alle Verbindungen erforderlich ist. Diese Konfiguration stellt sicher, dass nur die neueste und sicherste Version des Protokolls verwendet wird, die eine bessere Sicherheit und Leistung bietet. Weitere Informationen finden Sie unter Transport Layer Security (TLS) in Azure Database for MySQL.

Verschlüsselung im Ruhezustand

• Ruhende Daten werden immer transparent mit SMK verschlüsselt: Azure-Datenbank für MySQL verschlüsselt ruhende Daten automatisch mithilfe von dienstverwalteten Schlüsseln (SMK). Diese Verschlüsselung stellt sicher, dass Ihre Daten geschützt sind, ohne dass eine zusätzliche Konfiguration erforderlich ist. Sie basiert auf der zugrunde liegenden Azure-Speicherinfrastruktur. Sie umfasst den primären Server, Replikate, Point-in-Time-Recovery (PITR) und Sicherungen. Weitere Informationen finden Sie unter Datenverschlüsselung für Azure-Datenbank für MySQL mit dem Azure-Portal.

• Verwenden Sie kundenseitig verwaltete Schlüssel für zusätzliche Kontrolle: Wenn Sie mehr Kontrolle über Verschlüsselungsschlüssel benötigen, verwenden Sie kundenseitig verwaltete Schlüssel (CMK), die in Azure Key Vault oder Azure HSM gespeichert sind. Mit dieser Option können Sie Ihre Verschlüsselungsschlüssel verwalten und mehr Sicherheits- und Complianceoptionen bieten. Weitere Informationen finden Sie unter "Datenverschlüsselung" mit vom Kunden verwalteten Schlüsseln für Die Azure-Datenbank für MySQL.

• Einrichten der automatischen Schlüsselrotation in KV oder verwaltetem HSM: Wenn Sie kundenseitig verwaltete Schlüssel verwenden, konfigurieren Sie die automatische Schlüsselrotation in Azure Key Vault, um sicherzustellen, dass Ihre Verschlüsselungsschlüssel regelmäßig aktualisiert werden. Azure Database for MySQL unterstützt automatische Aktualisierungen der Schlüsselversion, nachdem ein Schlüssel gedreht wurde. Weitere Informationen und Key Vault-Details finden Sie unter Konfigurieren der automatischen Schlüsselrotation in Azure Managed HSM oder Verstehen der automatischen Rotation in Azure Key Vault.

• Verschlüsseln Sie ultravertrauliche Daten mit clientseitiger Verschlüsselung: Bei ultravertraulichen Daten sollten Sie die clientseitige Verschlüsselung implementieren. Dieser Ansatz umfasst das Verschlüsseln von Daten, bevor Sie sie an die Datenbank senden, um sicherzustellen, dass nur verschlüsselte Daten in der Datenbank gespeichert werden. Diese Vorgehensweise bietet eine größere Sicherheitsebene, da die Datenbank selbst und daher Datenbankadmins keinen Zugriff auf die unverschlüsselten Daten haben.

Protokollierung und Bedrohungserkennung

Im Abschnitt „Protokollierung und Bedrohungserkennung“ werden Steuerelemente zum Erkennen von Bedrohungen in Azure-Umgebungen behandelt.

Sicherheitsdienste, Features und bewährte Methoden für die Protokollierung und Bedrohungserkennung:

• Aktivieren der Sammlung von Diagnoseprotokollen: Stellen Sie sicher, dass die Diagnoseprotokollierung aktiviert ist, indem Sie die Kategorie „Gruppe überwachen“ auswählen. Verwenden Sie Azure-Richtlinie, um Folgendes zu implementieren:

  • Richtlinie Aktivieren der Protokollierung nach Kategoriegruppe für Azure-Datenbank für MySQL-Server (microsoft.dbformysql/servers) in Log Analytics
  • Initiative Aktivieren Sie die Ressourcenprotokollierung der Auditkategoriegruppe für unterstützte Ressourcen in Log Analytics

• Verwenden Sie Microsoft Defender für Open-Source relationale Datenbanken: Verwenden Sie Microsoft Defender für Open-Source relationale Datenbanken, um den Sicherheitsstatus Ihrer flexiblen Serverinstanz von PostgreSQL zu verbessern. Dieser Dienst bietet erweiterten Bedrohungsschutz, Sicherheitsrisikobewertungen und Sicherheitsempfehlungen, die auf Open Source-Datenbanken zugeschnitten sind. Weitere Informationen und Details finden Sie unter Übersicht über Microsoft Defender für Open-Source relationale Datenbanken.

Verwandte Inhalte

• Azure-Sicherheitsbasisplan für Azure-Datenbank für MySQL – Flexibler ServerL