TLS-connectiviteit configureren in Azure Database for PostgreSQL - Enkele server

Azure Database for PostgreSQL verbindt uw clienttoepassingen liever met de PostgreSQL-service met behulp van Transport Layer Security (TLS), voorheen bekend als Secure Sockets Layer (SSL). Het afdwingen van TLS-verbindingen tussen uw databaseserver en uw clienttoepassingen helpt u te beschermen tegen 'man-in-the-middle'-aanvallen door de gegevensstroom tussen de server en uw toepassing te versleutelen.

De PostgreSQL-databaseservice is standaard geconfigureerd om een TLS-verbinding te vereisen. U kunt ervoor kiezen om het vereisen van TLS uit te schakelen als uw clienttoepassing geen ondersteuning biedt voor TLS-connectiviteit.

TLS-verbindingen afdwingen

Voor alle Azure Database for PostgreSQL-servers die zijn ingericht via de Azure Portal en CLI, is het afdwingen van TLS-verbindingen standaard ingeschakeld.

Op dezelfde manier bevatten verbindingsreeksen die vooraf zijn gedefinieerd in de instellingen voor verbindingsreeksen onder uw server in de Azure Portal de vereiste parameters voor algemene talen om verbinding te maken met uw databaseserver met behulp van TLS. De TLS-parameter varieert op basis van de connector, bijvoorbeeld 'ssl=true' of 'sslmode=require' of 'sslmode=required' en andere variaties.

Afdwinging van TLS configureren

U kunt desgewenst het afdwingen van TLS-connectiviteit uitschakelen. Microsoft Azure aanbevolen om altijd de instelling SSL-verbinding afdwingen in te stellen voor verbeterde beveiliging.

Azure Portal gebruiken

Ga naar Azure Database for PostgreSQL server en klik op Verbindingsbeveiliging. Gebruik de schakelknop om de instelling SSL-verbinding afdwingen in of uit te schakelen. Klik vervolgens op Opslaan.

U kunt de instelling bevestigen door naar de pagina Overzicht te gaan om de SSL-statusindicator afdwingen weer te geven.

Azure CLI gebruiken

U kunt de parameter ssl-enforcement in- of uitschakelen met behulp Enabled van respectievelijk - of Disabled -waarden in Azure CLI.

az postgres server update --resource-group myresourcegroup --name mydemoserver --ssl-enforcement Enabled

Zorg ervoor dat uw toepassing of framework TLS-verbindingen ondersteunt

Sommige toepassings frameworks die PostgreSQL gebruiken voor hun databaseservices, maken TLS tijdens de installatie standaard niet mogelijk. Als uw PostgreSQL-server TLS-verbindingen afdwingt, maar de toepassing niet is geconfigureerd voor TLS, kan de toepassing mogelijk geen verbinding maken met uw databaseserver. Raadpleeg de documentatie van uw toepassing voor meer informatie over het inschakelen van TLS-verbindingen.

Toepassingen waarvoor certificaatverificatie is vereist voor TLS-connectiviteit

In sommige gevallen is voor toepassingen een lokaal certificaatbestand vereist dat is gegenereerd op basis van een certificaatbestand van een vertrouwde certificeringsinstantie (CA) om veilig verbinding te maken. Het certificaat om verbinding te maken met Azure Database for PostgreSQL server bevindt zich op https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.pem . Download het certificaatbestand en sla het op de gewenste locatie op.

Zie de volgende koppelingen voor certificaten voor servers in onafhankelijke clouds: Azure Government, Azure Chinaen Azure Duitsland.

Verbinding maken met psql

In het volgende voorbeeld ziet u hoe u verbinding maakt met uw PostgreSQL-server met behulp van het opdrachtregelprogramma psql. Gebruik de connection string sslmode=verify-full om verificatie van TLS/SSL-certificaten af te dwingen. Geef het pad naar het lokale certificaatbestand door aan de sslrootcert parameter .

De volgende opdracht is een voorbeeld van de psql-connection string:

psql "sslmode=verify-full sslrootcert=BaltimoreCyberTrustRoot.crt host=mydemoserver.postgres.database.azure.com dbname=postgres user=myusern@mydemoserver"

TLS afdwingen in Azure Database for PostgreSQL Enkele server

Azure Database for PostgreSQL: één server ondersteunt versleuteling voor clients die verbinding maken met uw databaseserver met behulp Transport Layer Security (TLS). TLS is een standaardprotocol dat zorgt voor beveiligde netwerkverbindingen tussen uw databaseserver en clienttoepassingen, zodat u kunt voldoen aan de nalevingsvereisten.

TLS-instellingen

Azure Database for PostgreSQL enkele server biedt de mogelijkheid om de TLS-versie af te dwingen voor de clientverbindingen. Als u de TLS-versie wilt afdwingen, gebruikt u de optieinstelling Minimale TLS-versie. De volgende waarden zijn toegestaan voor deze optieinstelling:

Als u bijvoorbeeld deze minimale TLS-instellingsversie instelt op TLS 1.0, betekent dit dat uw server verbindingen toestaat van clients die TLS 1.0, 1.1 en 1.2+ gebruiken. Als u dit instelt op 1.2, betekent dit ook dat u alleen verbindingen van clients met TLS 1.2+ toestaat en dat alle verbindingen met TLS 1.0 en TLS 1.1 worden geweigerd.

Zie TLS-instelling configureren voor meer informatie over het instellen van de TLS-instelling voor uw Azure Database for PostgreSQL Single-server.

Ondersteuning voor codering door Azure Database for PostgreSQL Enkele server

Als onderdeel van de SSL/TLS-communicatie worden de coderingssuites gevalideerd en kunnen alleen coderingspakken worden ondersteund om te communiceren met de databaseserver. De validatie van de coderingssuite wordt beheerd in de gatewaylaag en niet expliciet op het knooppunt zelf. Als de coderingssuites niet overeenkomen met een van de hieronder vermelde suites, worden binnenkomende clientverbindingen geweigerd.

Ondersteunde coderingssuite

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Volgende stappen

Bekijk de verschillende connectiviteitsopties voor toepassingen in Verbindingsbibliotheken voor Azure Database for PostgreSQL.

• Meer informatie over het configureren van TLS