Encriptação de dados para o Azure Database para MySQL com o portal do Azure

Este artigo mostra-lhe como configurar e gerir a encriptação de dados em repouso para o Azure Database for MySQL - Flexible Server utilizando o portal Azure.

Neste artigo, você aprenderá a:

  • Definir encriptação de dados para Azure Database for MySQL.
  • Configurar a encriptação dos dados para operações de restauro da base de dados.
  • Configurar a encriptação de dados para servidores réplica.

Tipos de encriptação

O Azure Database for MySQL suporta dois tipos principais de encriptação para ajudar a proteger os seus dados.

  • A encriptação em repouso garante que todos os dados armazenados na base de dados, incluindo cópias de segurança e registos, estão protegidos contra acessos não autorizados através da sua encriptação no disco.
  • A encriptação em trânsito protege os dados à medida que estes se deslocam entre as suas aplicações clientes e o servidor de base de dados coberto na Segurança da Camada de Transporte (TLS) no Azure Database for MySQL.

Modelos de permissões para o acesso ao Azure Key Vault

A configuração de acesso ao cofre de chaves Azure suporta agora dois tipos de modelos de permissões - controlo de acesso baseado em funções Azure e política de acesso ao Vault. O artigo descreve como configurar a encriptação de dados para o Azure Database for MySQL usando uma política de acesso ao Vault.

Pode optar por usar o Azure RBAC como modelo de permissões para conceder acesso ao Azure Key Vault. Para tal, precisa de uma função incorporada ou personalizada que tenha as três permissões e atribuí-la através de "atribuição de funções" usando a aba de controlo de acesso (IAM) no cofre de chaves.

  • KeyVault/cofres/chaves/empacotar/ação
  • KeyVault/cofres/chaves/desembrulhar/ação
  • KeyVault/cofres/chaves/leitura.

Para o HSM gerido pelo Azure Key Vault, terá de atribuir a função de "Utilizador de Encriptação do Serviço Cripto do HSM Gerido".

Pré-requisitos

Defina as permissões adequadas para operações de chave

  1. No Cofre de Chaves, selecione políticas de Acesso e depois selecione Criar.

    Captura de ecrã da Política de Acesso ao Key Vault no portal Azure.

  2. No separador Permissões , selecione as seguintes permissões de chave - Obter , Listar , Enrolar a Chave , Desdobrar a Chave.

  3. No separador Principal , selecione a Identidade Gerida Atribuída pelo Utilizador.

    Captura de ecrã do separador principal do portal Azure.

  4. Selecione Criar.

Configurar chave gerida pelo cliente

Para configurar a chave gerida pelo cliente, siga estes passos.

  1. No portal, navegue até à sua instância Azure Database for MySQL Flexible Server e, depois, em Segurança , selecione Encriptação de Dados.

    Captura de ecrã da página de encriptação de dados.

  2. Na página de encriptação de dados , em Sem identidade atribuída , selecione Alterar identidade ,

  3. Na caixa de diálogo Selecionar identidade gerida atribuída pelo utilizador , selecione a demo-umi identidade e depois selecione Adicionar.

    Captura de ecrã da seleção do demo-umi na página de identidade gerida atribuída.

  4. À direita do método de seleção de chaves , ou selecione uma chave e especifique um cofre de chaves e um par de chaves, ou selecione Introduzir um identificador de chave.

    Captura de ecrã do método de seleção de teclas para mostrar ao utilizador.

  5. Selecione Guardar.

Use encriptação de dados para restauro

Para usar encriptação de dados como parte de uma operação de restauro, siga estes passos.

  1. No portal Azure, navegue até à página de Visão Geral do seu servidor e selecione Restaurar.

  2. No separador Segurança , especifica a identidade e a chave.

    Captura de ecrã da página de visão geral.

  3. Selecione Alterar identidade e selecione a identidade gerida atribuída pelo Utilizador e selecione Adicionar

    Para selecionar a Chave , pode selecionar um cofre de chaves e um par de chaves ou inserir um identificador de chave

    Captura de ecrã da página de alteração de identidade.

Usar encriptação de dados para servidores réplica

Depois de a sua instância Azure Database for MySQL Flexible Server ser encriptada com a chave gerida do cliente armazenada no Key Vault, qualquer cópia recém-criada do servidor também é encriptada.

  1. Para replicar a configuração, em Definições , selecione Replicação e depois selecione Adicionar réplica.

    Captura de ecrã da página de Replicação.

  2. Na caixa de diálogo Adicionar Servidor Réplica à Azure Database para MySQL, selecione a opção Computar + armazenamento apropriada e depois selecione OK.

    Captura de ecrã da página Compute + Storage.

    Importante

    Ao tentar encriptar uma Base de Dados do Azure para MySQL Flexible Server com uma chave gerida pelo cliente que já possua réplicas, recomendamos configurar uma ou mais réplicas adicionando a identidade gerida e a chave.

Conteúdo relacionado

  • Last updated on