Seguridad en Azure Database for PostgreSQL con un único servidor

  • Artículo

Se aplica a: Azure Database for PostgreSQL: servidor único

Importante

El servicio de servidor único de Azure Database for PostgreSQL está en proceso de retirada. Se recomienda encarecidamente actualizar a Azure Database for PostgreSQL: servidor flexible. Para más información sobre la migración al servidor flexible de Azure Database for PostgreSQL, consulte ¿Qué sucede con el servicio de servidor único de Azure Database for PostgreSQL?.

Existen varios niveles de seguridad disponibles para proteger los datos en el servidor de Azure Database for PostgreSQL. En este artículo se describen esas opciones de seguridad.

Protección y cifrado de información

En tránsito

Azure Database for PostgreSQL protege los datos mediante el cifrado de datos en tránsito con Seguridad de la capa de transporte. El cifrado (SSL/TLS) se aplica de forma predeterminada.

En reposo

El servicio Azure Database for PostgreSQL usa el módulo criptográfico con validación FIPS 140-2 para el cifrado del almacenamiento de los datos en reposo. Los datos, incluidas las copias de seguridad, se cifran en el disco, junto con los archivos temporales creados mientras se ejecutan las consultas. El servicio usa el cifrado AES de 256 bits que se incluye en el cifrado de almacenamiento de Azure y las claves las administra el sistema. El cifrado de almacenamiento siempre está activado y no se puede deshabilitar.

Seguridad de las redes

Las conexiones a un servidor de Azure Database for PostgreSQL se enrutan primero a través de una puerta de enlace regional. La puerta de enlace tiene una dirección IP accesible públicamente, mientras que las direcciones IP del servidor están protegidas. Para obtener más información sobre la puerta de enlace, consulte el artículo referente a la arquitectura de conectividad.

Un servidor de Azure Database for PostgreSQL recién creado tiene un firewall que bloquea todas las conexiones externas. Aunque lleguen a la puerta de enlace, no tienen permiso para conectarse al servidor.

Reglas de firewall de IP

Las reglas de firewall de IP otorgan acceso a los servidores según la dirección IP de origen de cada solicitud. Consulte la información general sobre las reglas de firewall para obtener más información.

Reglas de firewall de red virtual

Los puntos de conexión de servicio de red virtual amplían la conectividad de la red virtual a través de la red troncal de Azure. Cuando se usan reglas de red virtual, el servidor de Azure Database for PostgreSQL se puede habilitar para permitir conexiones desde subredes seleccionadas en una red virtual. Para obtener más información, consulte la información general sobre los puntos de conexión de servicio de red virtual.

Dirección IP privada

Private Link le permite conectarse a su servidor único de Azure Database for PostgreSQL en Azure a través de un punto de conexión privado. En esencia, Azure Private Link incorpora los servicios de Azure dentro de su red virtual privada (VNet). Se puede acceder a los recursos de PaaS mediante la dirección IP privada, al igual que cualquier otro recurso de la red virtual. Para más información, vea la información general de Private Link.

Administración de acceso

Al crear el servidor de Azure Database for PostgreSQL, se deben proporcionar las credenciales de un rol de usuario administrador. Este rol de administrador se puede usar para crear más roles de MySQL.

También se puede conectar al servidor con la autenticación de Microsoft Entra.

Protección contra amenazas

Puede optar por usar Advanced Threat Protection, que detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus servidores o de aprovechar sus vulnerabilidades.

Existe un registro de auditoría disponible para realizar un seguimiento de las actividades en las bases de datos.

Migración desde Oracle

Oracle admite Cifrado de datos transparente (TDE) para cifrar los datos de tabla y espacio de tabla. En Azure para PostgreSQL, los datos se cifran automáticamente en diferentes capas. Consulte la sección "En reposo" de esta página y haga también referencia a diversos temas de seguridad, incluidos claves administradas por el cliente y cifrado doble de infraestructura. También puede considerar la posibilidad de usar la extensión pgcrypto que se admite en Azure para PostgreSQL.

Pasos siguientes