Sicurezza nel database di Azure per PostgreSQL-server singoloSecurity in Azure Database for PostgreSQL - Single Server

Sono disponibili più livelli di sicurezza per proteggere i dati nel database di Azure per il server PostgreSQL.There are multiple layers of security that are available to protect the data on your Azure Database for PostgreSQL server. Questo articolo descrive le opzioni di sicurezza.This article outlines those security options.

Crittografia e protezione delle informazioniInformation protection and encryption

In transitoIn-transit

Database di Azure per PostgreSQL protegge i dati mediante la crittografia dei dati in transito con Transport Layer Security.Azure Database for PostgreSQL secures your data by encrypting data in-transit with Transport Layer Security. La crittografia (SSL/TLS) viene applicata per impostazione predefinita.Encryption (SSL/TLS) is enforced by default.

In-RestAt-rest

Il servizio Database di Azure per PostgreSQL usa il modulo crittografico convalidato FIPS 140-2 per la crittografia dei dati archiviati inattivi.The Azure Database for PostgreSQL service uses the FIPS 140-2 validated cryptographic module for storage encryption of data at-rest. I dati, inclusi i backup, vengono crittografati su disco, ad eccezione dei file temporanei creati durante l'esecuzione delle query.Data, including backups, are encrypted on disk, with the exception of temporary files created while running queries. Il servizio usa la crittografia AES a 256 bit inclusa nella crittografia di archiviazione di Azure e le chiavi vengono gestite dal sistema.The service uses the AES 256-bit cipher included in Azure storage encryption, and the keys are system managed. La crittografia dell'archiviazione è sempre attiva e non può essere disabilitata.Storage encryption is always on and can't be disabled.

Sicurezza di reteNetwork security

Le connessioni a un database di Azure per il server PostgreSQL vengono innanzitutto indirizzate tramite un gateway a livello di area.Connections to an Azure Database for PostgreSQL server are first routed through a regional gateway. Il gateway dispone di un indirizzo IP accessibile pubblicamente, mentre gli indirizzi IP del server sono protetti.The gateway has a publicly accessible IP, while the server IP addresses are protected. Per altre informazioni sul gateway, vedere l'articolo relativo all' architettura della connettività.For more information about the gateway, visit the connectivity architecture article.

Un database di Azure per il server PostgreSQL appena creato ha un firewall che blocca tutte le connessioni esterne.A newly created Azure Database for PostgreSQL server has a firewall that blocks all external connections. Sebbene raggiungano il gateway, non sono autorizzati a connettersi al server.Though they reach the gateway, they are not allowed to connect to the server.

Regole del firewall IPIP firewall rules

Le regole del firewall IP concedono l'accesso ai server in base all'indirizzo IP di origine di ogni richiesta.IP firewall rules grant access to servers based on the originating IP address of each request. Per ulteriori informazioni, vedere Cenni preliminari sulle regole del firewall .See the firewall rules overview for more information.

Regole del firewall della rete virtualeVirtual network firewall rules

Gli endpoint di servizio della rete virtuale estendono la connettività della rete virtuale tramite la backbone di Azure.Virtual network service endpoints extend your virtual network connectivity over the Azure backbone. Uso delle regole della rete virtuale è possibile abilitare il database di Azure per il server PostgreSQL per consentire le connessioni da subnet selezionate in una rete virtuale.Using virtual network rules you can enable your Azure Database for PostgreSQL server to allow connections from selected subnets in a virtual network. Per ulteriori informazioni, vedere Panoramica dell'endpoint del servizio rete virtuale.For more information, see the virtual network service endpoint overview.

IP privatoPrivate IP

Collegamento privato consente di connettersi al server singolo del database di Azure per PostgreSQL in Azure tramite un endpoint privato.Private Link allows you to connect to your Azure Database for PostgreSQL Single server in Azure via a private endpoint. Il collegamento privato di Azure porta essenzialmente i servizi di Azure all'interno della rete virtuale privata (VNet).Azure Private Link essentially brings Azure services inside your private Virtual Network (VNet). È possibile accedere alle risorse PaaS usando l'indirizzo IP privato come qualsiasi altra risorsa in VNet.The PaaS resources can be accessed using the private IP address just like any other resource in the VNet. Per ulteriori informazioni, vedere la Panoramica del collegamento privato .For more information,see the private link overview

Gestione degli accessiAccess management

Durante la creazione del database di Azure per il server PostgreSQL è possibile fornire le credenziali per un ruolo di amministratore.While creating the Azure Database for PostgreSQL server, you provide credentials for an administrator role. Questo ruolo di amministratore può essere usato per creare altri ruoli PostgreSQL.This administrator role can be used to create additional PostgreSQL roles.

È anche possibile connettersi al server usando l'autenticazione di Azure Active Directory (AAD).You can also connect to the server using Azure Active Directory (AAD) authentication.

Protezione dalle minacceThreat protection

È possibile optare per Advanced Threat Protection che rileva le attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accesso o exploit dei server.You can opt in to Advanced Threat Protection which detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit servers.

La registrazione di controllo è disponibile per tenere traccia delle attività nei database.Audit logging is available to track activity in your databases.

Passaggi successiviNext steps