Zabezpečení na jednoúčelovém serveru Azure Database for PostgreSQL
PLATÍ PRO: Azure Database for PostgreSQL – Jednoúčelový server
Důležité
Jednoúčelový server Azure Database for PostgreSQL je na cestě vyřazení. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for PostgreSQL. Další informace o migraci na flexibilní server Azure Database for PostgreSQL najdete v tématu Co se děje s jednoúčelovým serverem Azure Database for PostgreSQL?
K dispozici je několik vrstev zabezpečení, které chrání data na serveru Azure Database for PostgreSQL. Tento článek popisuje tyto možnosti zabezpečení.
Ochrana a šifrování informací
Při přenosu
Azure Database for PostgreSQL zabezpečuje vaše data šifrováním přenášených dat pomocí transportní vrstvy Security. Šifrování (SSL/TLS) se ve výchozím nastavení vynucuje.
Při nečinnosti
Služba Azure Database for PostgreSQL používá kryptografický modul ověřený standardem FIPS 140-2 pro šifrování neaktivních uložených dat. Data, včetně záloh, jsou na disku zašifrovaná, včetně dočasných souborů vytvořených při spouštění dotazů. Služba používá 256bitové šifrování AES, které je součástí šifrování úložiště Azure, a klíče jsou spravované systémem. Šifrování úložiště je vždycky aktivní a není možné ho zakázat.
Zabezpečení sítě
Připojení na server Azure Database for PostgreSQL se nejprve směrují přes regionální bránu. Brána má veřejně přístupnou IP adresu, zatímco IP adresy serveru jsou chráněné. Další informace o bráně najdete v článku o architektuře připojení.
Nově vytvořený server Azure Database for PostgreSQL má bránu firewall, která blokuje všechna externí připojení. I když se dostanou k bráně, nemůžou se připojit k serveru.
Pravidla brány firewall protokolu IP
Pravidla firewallu protokolu IP udělují přístup k serverům na základě zdrojové IP adresy každého požadavku. Další informace najdete v přehledu pravidel brány firewall.
Pravidla brány firewall virtuální sítě
Koncové body služby virtuální sítě rozšiřují připojení virtuální sítě přes páteřní síť Azure. Pomocí pravidel virtuální sítě můžete serveru Azure Database for PostgreSQL povolit připojení z vybraných podsítí ve virtuální síti. Další informace najdete v přehledu koncového bodu služby virtuální sítě.
Privátní IP adresa
Private Link umožňuje připojení k jednoúčelovém serveru Azure Database for PostgreSQL v Azure prostřednictvím privátního koncového bodu. Azure Private Link v podstatě přináší služby Azure do vaší privátní virtuální sítě. K prostředkům PaaS je možné přistupovat přes privátní IP adresu stejně jako k jakýmkoli jiným prostředkům ve virtuální síti. Další informace najdete v přehledu služby Private Link.
Správa přístupu
Při vytváření serveru Azure Database for PostgreSQL zadáte přihlašovací údaje pro roli správce. Tuto roli správce můžete použít k vytvoření dalších rolí PostgreSQL.
K serveru se můžete připojit také pomocí ověřování Microsoft Entra.
Ochrana před hrozbami
Můžete se přihlásit ke službě Advanced Threat Protection , která detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k serverům nebo jejich zneužití.
Protokolování auditu je k dispozici ke sledování aktivit v databázích.
Migrace z Oracle
Oracle podporuje transparentní šifrování dat (TDE) k šifrování dat tabulek a tabulkových prostorů. Ve službě Azure Database for PostgreSQL se data automaticky šifrují na různých úrovních. Podívejte se na část Neaktivní v klidovém stavu na této stránce a také se podívejte na různá témata zabezpečení, včetně klíčů spravovaných zákazníkem a dvojitého šifrování infrastruktury. Můžete také zvážit použití rozšíření pgcrypto , které je podporováno v Azure for PostgreSQL.
Další kroky
- Povolení pravidel brány firewall pro IP adresy nebo virtuální sítě
- Další informace o ověřování Microsoft Entra ve službě Azure Database for PostgreSQL