Dvojité šifrování infrastruktury Azure Database for PostgreSQL
PLATÍ PRO:
Azure Database for PostgreSQL – Jednoúčelový server
Důležité
Jednoúčelový server Azure Database for PostgreSQL je na cestě vyřazení. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for PostgreSQL. Další informace o migraci na flexibilní server Azure Database for PostgreSQL najdete v tématu Co se děje s jednoúčelovým serverem Azure Database for PostgreSQL?
Azure Database for PostgreSQL používá šifrování neaktivních uložených dat úložiště pro data pomocí spravovaných klíčů Microsoftu. Data, včetně záloh, se šifrují na disku a toto šifrování je vždy zapnuté a nejde je zakázat. Šifrování používá kryptografický modul ověřený standardem FIPS 140-2 a 256bitovou šifru AES pro šifrování úložiště Azure.
Dvojité šifrování infrastruktury přidává druhou vrstvu šifrování pomocí klíčů spravovaných službou. Používá kryptografický modul ověřený protokolEM FIPS 140-2, ale s jiným šifrovacím algoritmem. To poskytuje další vrstvu ochrany neaktivních uložených dat. Klíč používaný ve dvojitém šifrování infrastruktury spravuje také služba Azure Database for PostgreSQL. Dvojité šifrování infrastruktury není ve výchozím nastavení povolené, protože další vrstva šifrování může mít vliv na výkon.
Poznámka:
Tato funkce se podporuje pouze pro cenové úrovně Pro obecné účely a Optimalizováno pro paměť ve službě Azure Database for PostgreSQL.
Šifrování vrstvy infrastruktury má výhodu implementace na vrstvě, která je nejblíže úložnému zařízení nebo síťovým drátům. Azure Database for PostgreSQL implementuje dvě vrstvy šifrování pomocí klíčů spravovaných službou. I když je technicky vzato ve vrstvě služby, je velmi blízko hardwaru, který ukládá neaktivní uložená data. Šifrování neaktivních uložených dat můžete volitelně povolit pomocí klíče spravovaného zákazníkem pro zřízený server PostgreSQL.
Implementace ve vrstvách infrastruktury také podporuje rozmanitost klíčů. Infrastruktura musí znát různé clustery počítačů a sítí. Různé klíče se používají k minimalizaci poloměru výbuchu útoků na infrastrukturu a různých selhání hardwaru a sítě.
Poznámka:
Použití dvojitého šifrování infrastruktury bude mít vliv na výkon serveru Azure Database for PostgreSQL kvůli dalšímu procesu šifrování.
Zaměstnanecké výhody
Dvojité šifrování infrastruktury pro Službu Azure Database for PostgreSQL poskytuje následující výhody:
- Další rozmanitost implementace kryptografie – plánovaný přechod na hardwarové šifrování dále rozšíří implementace tím, že kromě softwarové implementace poskytne implementaci založenou na hardwaru.
- Chyby implementace – Dvě vrstvy šifrování vrstvy infrastruktury chrání před všemi chybami při ukládání do mezipaměti nebo správy paměti ve vyšších vrstvách, které zpřístupňují data prostého textu. Kromě toho tyto dvě vrstvy také zajišťují proti chybám při implementaci šifrování obecně.
Kombinace těchto možností poskytuje silnou ochranu před běžnými hrozbami a slabými místy používanými k útoku na kryptografii.
Podporované scénáře s dvojitým šifrováním infrastruktury
Možnosti šifrování poskytované službou Azure Database for PostgreSQL je možné používat společně. Níže najdete souhrn různých scénářů, které můžete použít:
| ## | Výchozí šifrování | Dvojité šifrování infrastruktury | Šifrování dat pomocí klíčů spravovaných zákazníkem |
|---|---|---|---|
| 0 | Ano | Ne | Ne |
| 2 | Ano | Ano | Ne |
| 3 | Ano | Ne | Ano |
| 4 | Ano | Ano | Ano |
Důležité
- Scénář 2 a 4 budou mít vliv na výkon na server Azure Database for PostgreSQL kvůli další vrstvě šifrování infrastruktury.
- Konfigurace dvojitého šifrování infrastruktury pro Službu Azure Database for PostgreSQL je povolená pouze během vytváření serveru. Po zřízení serveru nemůžete změnit šifrování úložiště. Přesto ale můžete povolit šifrování dat pomocí klíčů spravovaných zákazníkem pro server vytvořený s dvojitým šifrováním infrastruktury nebo bez infrastruktury.
Omezení
Pro Službu Azure Database for PostgreSQL má podpora dvojitého šifrování infrastruktury pomocí klíče spravovaného službou následující omezení:
Podpora této funkce je omezená na cenové úrovně Pro obecné účely a Optimalizováno pro paměť.
Tato funkce se podporuje jenom v oblastech a serverech, které podporují úložiště až 16 TB. Seznam oblastí Azure podporujících úložiště až 16 TB najdete v dokumentaci k úložišti.
Poznámka:
- Všechny nové servery PostgreSQL vytvořené v oblastech uvedených výše podporují také šifrování dat pomocí klíčů správce zákazníka. V tomto případě se servery vytvořené prostřednictvím obnovení k určitému bodu v čase (PITR) nebo replik pro čtení neovalifikují jako "nové".
- Pokud chcete ověřit, jestli váš zřízený server podporuje až 16 TB, můžete přejít do okna cenové úrovně na portálu a zjistit, jestli se posuvník úložiště dá přesunout až do 16 TB. Pokud můžete posuvník přesunout až do 4 TB, server nemusí podporovat šifrování pomocí klíčů spravovaných zákazníkem; data se ale šifrují pomocí klíčů spravovaných službou. Pokud máte nějaké dotazy, kontaktujte AskAzureDBforPostgreSQL@service.microsoft.com nás.
Další kroky
Zjistěte, jak nastavit dvojité šifrování infrastruktury pro službu Azure Database for PostgreSQL.