Zabezpieczenia w usłudze Azure Database for PostgreSQL — pojedynczy serwer

  • Artykuł

DOTYCZY: Azure Database for PostgreSQL — pojedynczy serwer

Ważne

Usługa Azure Database for PostgreSQL — pojedynczy serwer znajduje się na ścieżce wycofania. Zdecydowanie zalecamy uaktualnienie do usługi Azure Database for PostgreSQL — serwer elastyczny. Aby uzyskać więcej informacji na temat migracji do usługi Azure Database for PostgreSQL — serwer elastyczny, zobacz Co się dzieje z usługą Azure Database for PostgreSQL — pojedynczy serwer?.

Istnieje wiele warstw zabezpieczeń, które są dostępne do ochrony danych na serwerze usługi Azure Database for PostgreSQL. W tym artykule przedstawiono te opcje zabezpieczeń.

Ochrona informacji i ich przechowywanie

W trakcie przesyłania

Usługa Azure Database for PostgreSQL zabezpiecza dane, szyfrując dane przesyłane przy użyciu usługi Transport Layer Security. Szyfrowanie (SSL/TLS) jest domyślnie wymuszane.

W spoczynku

Usługa Azure Database for PostgreSQL używa zweryfikowanego modułu kryptograficznego FIPS 140-2 do szyfrowania danych magazynowanych. Dane, w tym kopie zapasowe, są szyfrowane na dysku, w tym pliki tymczasowe utworzone podczas uruchamiania zapytań. Usługa korzysta z 256-bitowego szyfru AES zawartego w szyfrowaniu magazynu platformy Azure, a klucze są zarządzane przez system. Szyfrowanie magazynu jest zawsze włączone i nie można go wyłączyć.

Bezpieczeństwo sieci

Połączenie do serwera usługi Azure Database for PostgreSQL są najpierw kierowane przez bramę regionalną. Brama ma publicznie dostępny adres IP, a adresy IP serwera są chronione. Aby uzyskać więcej informacji na temat bramy, zapoznaj się z artykułem dotyczącym architektury łączności.

Nowo utworzony serwer usługi Azure Database for PostgreSQL ma zaporę, która blokuje wszystkie połączenia zewnętrzne. Chociaż docierają do bramy, nie mogą łączyć się z serwerem.

Reguły zapory bazujące na adresach IP

Zapora IP udziela dostępu do serwerów na podstawie źródłowego adresu IP każdego żądania. Aby uzyskać więcej informacji, zobacz omówienie reguł zapory.

Reguły zapory sieci wirtualnej

Punkty końcowe usługi sieci wirtualnej rozszerzają łączność sieci wirtualnej za pośrednictwem sieci szkieletowej platformy Azure. Korzystając z reguł sieci wirtualnej, możesz włączyć serwer usługi Azure Database for PostgreSQL, aby zezwolić na połączenia z wybranych podsieci w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz omówienie punktu końcowego usługi dla sieci wirtualnej.

Prywatny adres IP

Usługa Private Link umożliwia łączenie się z pojedynczym serwerem usługi Azure Database for PostgreSQL na platformie Azure za pośrednictwem prywatnego punktu końcowego. Usługa Azure Private Link zasadniczo łączy usługi platformy Azure z Twoją prywatną siecią wirtualną. Dostęp do zasobów PaaS można uzyskać przy użyciu prywatnego adresu IP, podobnie jak w przypadku każdego innego zasobu w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz omówienie łącza prywatnego

Zarządzanie dostępem

Podczas tworzenia serwera usługi Azure Database for PostgreSQL należy podać poświadczenia dla roli administratora. Ta rola administratora może służyć do tworzenia dodatkowych ról bazy danych PostgreSQL.

Możesz również nawiązać połączenie z serwerem przy użyciu uwierzytelniania firmy Microsoft Entra.

Ochrona przed zagrożeniami

Możesz wyrazić zgodę na usługę Advanced Threat Protection , która wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do serwerów lub wykorzystania ich.

Rejestrowanie inspekcji jest dostępne do śledzenia aktywności w bazach danych.

Migrowanie z programu Oracle

Rozwiązanie Oracle obsługuje funkcję Transparent Data Encryption (TDE) w celu szyfrowania danych tabeli i przestrzeni tabel. W usłudze Azure Database for PostgreSQL dane są automatycznie szyfrowane na różnych warstwach. Zobacz sekcję "Magazyn" na tej stronie, a także zapoznaj się z różnymi tematami zabezpieczeń, w tym kluczami zarządzanymi przez klienta i podwójnym szyfrowaniem infrastruktury. Możesz również rozważyć użycie rozszerzenia pgcrypto , które jest obsługiwane w usłudze Azure for PostgreSQL.

Następne kroki