Zabezpečení na jednoúčelovém serveru Azure Database for PostgreSQL

  • Článek

PLATÍ PRO: Azure Database for PostgreSQL – Jednoúčelový server

Důležité

Jednoúčelový server Azure Database for PostgreSQL je na cestě vyřazení. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for PostgreSQL. Další informace o migraci na flexibilní server Azure Database for PostgreSQL najdete v tématu Co se děje s jednoúčelovým serverem Azure Database for PostgreSQL?

K dispozici je několik vrstev zabezpečení, které chrání data na serveru Azure Database for PostgreSQL. Tento článek popisuje tyto možnosti zabezpečení.

Ochrana a šifrování informací

Při přenosu

Azure Database for PostgreSQL zabezpečuje vaše data šifrováním přenášených dat pomocí transportní vrstvy Security. Šifrování (SSL/TLS) se ve výchozím nastavení vynucuje.

Při nečinnosti

Služba Azure Database for PostgreSQL používá kryptografický modul ověřený standardem FIPS 140-2 pro šifrování neaktivních uložených dat. Data, včetně záloh, jsou na disku zašifrovaná, včetně dočasných souborů vytvořených při spouštění dotazů. Služba používá 256bitové šifrování AES, které je součástí šifrování úložiště Azure, a klíče jsou spravované systémem. Šifrování úložiště je vždycky aktivní a není možné ho zakázat.

Zabezpečení sítě

Připojení na server Azure Database for PostgreSQL se nejprve směrují přes regionální bránu. Brána má veřejně přístupnou IP adresu, zatímco IP adresy serveru jsou chráněné. Další informace o bráně najdete v článku o architektuře připojení.

Nově vytvořený server Azure Database for PostgreSQL má bránu firewall, která blokuje všechna externí připojení. I když se dostanou k bráně, nemůžou se připojit k serveru.

Pravidla brány firewall protokolu IP

Pravidla firewallu protokolu IP udělují přístup k serverům na základě zdrojové IP adresy každého požadavku. Další informace najdete v přehledu pravidel brány firewall.

Pravidla brány firewall virtuální sítě

Koncové body služby virtuální sítě rozšiřují připojení virtuální sítě přes páteřní síť Azure. Pomocí pravidel virtuální sítě můžete serveru Azure Database for PostgreSQL povolit připojení z vybraných podsítí ve virtuální síti. Další informace najdete v přehledu koncového bodu služby virtuální sítě.

Privátní IP adresa

Private Link umožňuje připojení k jednoúčelovém serveru Azure Database for PostgreSQL v Azure prostřednictvím privátního koncového bodu. Azure Private Link v podstatě přináší služby Azure do vaší privátní virtuální sítě. K prostředkům PaaS je možné přistupovat přes privátní IP adresu stejně jako k jakýmkoli jiným prostředkům ve virtuální síti. Další informace najdete v přehledu služby Private Link.

Správa přístupu

Při vytváření serveru Azure Database for PostgreSQL zadáte přihlašovací údaje pro roli správce. Tuto roli správce můžete použít k vytvoření dalších rolí PostgreSQL.

K serveru se můžete připojit také pomocí ověřování Microsoft Entra.

Ochrana před hrozbami

Můžete se přihlásit ke službě Advanced Threat Protection , která detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k serverům nebo jejich zneužití.

Protokolování auditu je k dispozici ke sledování aktivit v databázích.

Migrace z Oracle

Oracle podporuje transparentní šifrování dat (TDE) k šifrování dat tabulek a tabulkových prostorů. Ve službě Azure Database for PostgreSQL se data automaticky šifrují na různých úrovních. Podívejte se na část Neaktivní v klidovém stavu na této stránce a také se podívejte na různá témata zabezpečení, včetně klíčů spravovaných zákazníkem a dvojitého šifrování infrastruktury. Můžete také zvážit použití rozšíření pgcrypto , které je podporováno v Azure for PostgreSQL.

Další kroky