Sécurité dans Azure Database pour PostgreSQL – Serveur unique

  • Article

S’APPLIQUE À : Azure Database pour PostgreSQL – Serveur unique

Important

Azure Database pour PostgreSQL - Serveur unique est en voie de mise hors service. Nous vous recommandons vivement de procéder à une mise à niveau vers un serveur flexible Azure Database pour PostgreSQL. Pour plus d’informations sur la migration vers le Serveur flexible Azure Database pour PostgreSQL, consultez l’article Qu’arrive-t-il au Serveur unique Azure Database pour PostgreSQL ?.

Il existe plusieurs couches de sécurité qui permettent de protéger les données de votre serveur Azure Database pour PostgreSQL. Cet article décrit ces différentes options de sécurité.

Protection et chiffrement des informations

En transit

Azure Database pour PostgreSQL sécurise vos données en chiffrant les données en transit à l’aide du protocole TLS (Transport Layer Security). Le chiffrement (SSL/TLS) est appliqué par défaut.

Au repos

Le service Azure Database pour PostgreSQL utilise le module de chiffrement conforme à la norme FIPS 140-2 pour chiffrer le stockage des données au repos. Toutes les données, notamment les sauvegardes, sont chiffrées sur le disque, y compris les fichiers temporaires créés durant l’exécution des requêtes. Le service utilise le chiffrement AES 256 bits inclus dans le chiffrement de stockage Azure, et les clés sont gérées par le système. Le chiffrement de stockage est toujours activé et ne peut pas être désactivé.

Sécurité du réseau

Les connexions à un serveur Azure Database pour PostgreSQL sont d’abord routées via une passerelle régionale. La passerelle a une adresse IP accessible publiquement, tandis que les adresses IP du serveur sont protégées. Pour plus d’informations sur la passerelle, consultez l’article Architecture de connectivité.

Tout serveur Azure Database pour PostgreSQL est créé avec un pare-feu qui bloque toutes les connexions externes. Ces connexions peuvent atteindre la passerelle, mais elles ne permettent pas l’accès au serveur.

Règles de pare-feu IP

Les règles de pare-feu IP octroient l’accès aux serveurs en fonction de l’adresse IP d’origine de chaque requête. Pour plus d’informations, consultez la vue d’ensemble des règles de pare-feu.

Règles de pare-feu de réseau virtuel

Les points de terminaison de service de réseau virtuel étendent votre connectivité de réseau virtuel via le réseau principal Azure. En utilisant des règles de réseau virtuel, vous pouvez faire en sorte que votre serveur Azure Database pour PostgreSQL autorise les connexions à partir de certains sous-réseaux d’un réseau virtuel. Pour plus d’informations, consultez la vue d’ensemble des points de terminaison de service de réseau virtuel.

IP privée

Private Link vous permet de vous connecter à votre serveur unique Azure Database pour PostgreSQL via un point de terminaison privé. Azure Private Link intègre essentiellement les services Azure à votre Réseau virtuel privé. Vous pouvez accéder aux ressources PaaS à l’aide de l’adresse IP privée, comme toute autre ressource dans le réseau virtuel. Pour plus d’informations, consultez la présentation de Private Link

Gestion de l’accès

Quand vous créez un serveur Azure Database pour PostgreSQL, vous fournissez les informations d’identification d’un rôle Administrateur. Ce rôle Administrateur permet de créer d’autres rôles PostgreSQL.

Vous pouvez également vous connecter au serveur à l’aide de l’authentification Microsoft Entra.

Protection contre les menaces

Vous pouvez activer le service Advanced Threat Protection qui détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des serveurs.

La fonctionnalité d’enregistrement d’audit vous permet de suivre l’activité dans vos bases de données.

Effectuer une migration depuis Oracle

Oracle prend en charge TDE (Transparent Data Encryption) pour chiffrer les données de table et d’espace disque logique. Dans Azure pour PostgreSQL, les données sont automatiquement chiffrées au niveau de différentes couches. Consultez la section « Au repos » de cette page et reportez-vous également à différents sujets relatifs à la sécurité, notamment les clés gérées par le client et Chiffrement double d’infrastructure. Vous pouvez également envisager d’utiliser l’extension pgcrypto, qui est prise en charge dans Azure pour PostgreSQL.

Étapes suivantes