Sicurezza in Database di Azure per PostgreSQL - Server singolo
SI APPLICA A:
Database di Azure per PostgreSQL - Server singolo
Importante
Database di Azure per PostgreSQL - Server singolo si trova nel percorso di ritiro. È consigliabile eseguire l'aggiornamento a Database di Azure per PostgreSQL - Server flessibile. Per altre informazioni sulla migrazione a Database di Azure per PostgreSQL - Server flessibile, vedere What's happening to Database di Azure per PostgreSQL Single Server?.
Sono disponibili più livelli di sicurezza per proteggere i dati nel server Database di Azure per PostgreSQL. Questo articolo descrive queste opzioni di sicurezza.
Crittografia e protezione delle informazioni
In transito
Database di Azure per PostgreSQL protegge i dati crittografando i dati in transito con Transport Layer Security. La crittografia (SSL/TLS) viene applicata per impostazione predefinita.
Inattivi
Il servizio Database di Azure per PostgreSQL usa il modulo crittografico convalidato FIPS 140-2 per la crittografia dei dati archiviati inattivi. I dati, inclusi i backup, vengono crittografati su disco, compresi i file temporanei creati durante l'esecuzione delle query. Il servizio usa la crittografia AES a 256 bit inclusa nella crittografia di archiviazione di Azure e le chiavi vengono gestite dal sistema. La crittografia dell'archiviazione è sempre attiva e non può essere disabilitata.
Sicurezza di rete
le Connessione a un server Database di Azure per PostgreSQL vengono prima instradate tramite un gateway a livello di area. Il gateway ha un indirizzo IP accessibile pubblicamente, mentre gli indirizzi IP del server sono protetti. Per altre informazioni sul gateway, vedere l'articolo sull'architettura della connettività.
Un server Database di Azure per PostgreSQL appena creato dispone di un firewall che blocca tutte le connessioni esterne. Anche se raggiungono il gateway, non sono autorizzati a connettersi al server.
Regole del firewall IP
Le regole del firewall IP concedono l'accesso ai server in base all'indirizzo IP di origine di ogni richiesta. Per altre informazioni, vedere panoramica delle regole del firewall.
Regole del firewall della rete virtuale
Gli endpoint servizio di rete virtuale estendono la connettività di rete virtuale tramite il backbone di Azure. Usando le regole di rete virtuale è possibile abilitare il server Database di Azure per PostgreSQL per consentire le connessioni da subnet selezionate in una rete virtuale. Per altre informazioni, vedere panoramica dell'endpoint servizio di rete virtuale.
IP privato
collegamento privato consente di connettersi al server singolo Database di Azure per PostgreSQL in Azure tramite un endpoint privato. Collegamento privato di Azure in pratica porta i servizi di Azure all'interno della rete virtuale privata. È possibile accedere alle risorse PaaS usando l'indirizzo IP privato come per qualsiasi altra risorsa nella rete virtuale. Per altre informazioni, vedere la panoramica del collegamento privato
Gestione degli accessi
Durante la creazione del server Database di Azure per PostgreSQL, è possibile specificare le credenziali per un ruolo di amministratore. Questo ruolo di amministratore può essere usato per creare ruoli PostgreSQL aggiuntivi.
È anche possibile connettersi al server usando l'autenticazione Microsoft Entra.
Protezione dalle minacce
È possibile acconsentire esplicitamente ad Advanced Threat Protection che rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i server.
La registrazione di controllo è disponibile per tenere traccia delle attività nei database.
Migrazione da Oracle
Oracle supporta Transparent Data Encryption (TDE) per crittografare i dati delle tabelle e degli spazi di tabella. In Azure per PostgreSQL i dati vengono crittografati automaticamente a vari livelli. Vedere la sezione "Inattivi" in questa pagina e fare riferimento anche a vari argomenti sulla sicurezza, tra cui chiavi gestite dal cliente e crittografia doppia dell'infrastruttura. È anche possibile usare l'estensione pgcrypto supportata in Azure per PostgreSQL.
Passaggi successivi
- Abilitare le regole del firewall per indirizzi IP o reti virtuali
- Informazioni sull'autenticazione di Microsoft Entra in Database di Azure per PostgreSQL