Azure Cosmos DB for PostgreSQL의 보안

적용 대상: Azure Cosmos DB for PostgreSQL(PostgreSQL에 대한 Citus 데이터베이스 확장 기반)

이 페이지에서는 클러스터의 데이터를 보호하는 데 사용할 수 있는 여러 보안 계층을 간략하게 설명합니다.

정보 보호 및 암호화

전송 중

데이터가 노드로 수집될 때마다 Azure Cosmos DB for PostgreSQL은 Transport Layer Security 1.2를 사용하여 전송 중 데이터를 암호화하여 데이터를 보호합니다. 암호화(SSL/TLS)는 항상 적용되며 사용하지 않도록 설정할 수 없습니다.

미사용

Azure Cosmos DB for PostgreSQL 서비스는 미사용 데이터의 스토리지 암호화를 위해 FIPS 140-2 유효성 검사 암호화 모듈을 사용합니다. 백업을 포함한 데이터는 디스크에서 암호화되며, 쿼리를 실행하는 동안 만든 임시 파일은 제외됩니다. 서비스는 Azure 스토리지 암호화에 포함된 AES 256비트 암호화를 사용하며, 키는 시스템에서 관리됩니다. 스토리지 암호화는 항상 켜져 있고 해제할 수 없습니다.

네트워크 보안

Azure Cosmos DB for PostgreSQL은 세 가지 네트워킹 옵션을 지원합니다.

• 액세스 권한 없음
  • 퍼블릭 또는 프라이빗 액세스가 사용하도록 설정되지 않은 경우 새로 만들어진 클러스터의 기본값입니다. Azure 내부 또는 외부에 있는지에 관계없이 어떤 컴퓨터도 데이터베이스 노드에 연결할 수 없습니다.
• 공용 액세스
  • 공용 IP 주소가 코디네이터 노드에 할당됩니다.
  • 코디네이터 노드에 대한 액세스는 방화벽으로 보호됩니다.
  • 필요에 따라 모든 작업자 노드에 대한 액세스를 사용하도록 설정할 수 있습니다. 이 경우 공용 IP 주소가 작업자 노드에 할당되고 동일한 방화벽으로 보호됩니다.
• 프라이빗 액세스
  • 개인 IP 주소만 클러스터의 노드에 할당됩니다.
  • 각 노드에는 선택한 가상 네트워크의 호스트가 노드에 액세스할 수 있도록 프라이빗 엔드포인트가 필요합니다.
  • 네트워크 보안 그룹과 같은 Azure 가상 네트워크의 보안 기능을 액세스 제어에 사용할 수 있습니다.

클러스터를 만들 때 퍼블릭 또는 프라이빗 액세스를 사용하도록 설정하거나 기본값인 액세스 없음을 선택할 수 있습니다. 클러스터가 만들어지면 퍼블릭 또는 프라이빗 액세스 간에 전환하도록 선택하거나 한 번에 둘 다 활성화할 수 있습니다.

제한 및 제한 사항

Azure Cosmos DB for PostgreSQL 제한 및 제한 사항 페이지를 참조하세요.

다음 단계

• 프라이빗 액세스를 사용하고 관리하는 방법을 알아봅니다.
• 프라이빗 엔드포인트에 대해 알아보기
• 가상 네트워크에 대해 알아보기
• 프라이빗 DNS 영역에 대해 알아보기