Zabezpieczenia w usłudze Azure Database for PostgreSQL — pojedynczy serwer
DOTYCZY: Azure Database for PostgreSQL — pojedynczy serwer
Ważne
Usługa Azure Database for PostgreSQL — pojedynczy serwer znajduje się na ścieżce wycofania. Zdecydowanie zalecamy uaktualnienie do usługi Azure Database for PostgreSQL — serwer elastyczny. Aby uzyskać więcej informacji na temat migracji do usługi Azure Database for PostgreSQL — serwer elastyczny, zobacz Co się dzieje z usługą Azure Database for PostgreSQL — pojedynczy serwer?.
Istnieje wiele warstw zabezpieczeń, które są dostępne do ochrony danych na serwerze usługi Azure Database for PostgreSQL. W tym artykule przedstawiono te opcje zabezpieczeń.
Ochrona informacji i ich przechowywanie
W trakcie przesyłania
Usługa Azure Database for PostgreSQL zabezpiecza dane, szyfrując dane przesyłane przy użyciu usługi Transport Layer Security. Szyfrowanie (SSL/TLS) jest domyślnie wymuszane.
W spoczynku
Usługa Azure Database for PostgreSQL używa zweryfikowanego modułu kryptograficznego FIPS 140-2 do szyfrowania danych magazynowanych. Dane, w tym kopie zapasowe, są szyfrowane na dysku, w tym pliki tymczasowe utworzone podczas uruchamiania zapytań. Usługa korzysta z 256-bitowego szyfru AES zawartego w szyfrowaniu magazynu platformy Azure, a klucze są zarządzane przez system. Szyfrowanie magazynu jest zawsze włączone i nie można go wyłączyć.
Bezpieczeństwo sieci
Połączenie do serwera usługi Azure Database for PostgreSQL są najpierw kierowane przez bramę regionalną. Brama ma publicznie dostępny adres IP, a adresy IP serwera są chronione. Aby uzyskać więcej informacji na temat bramy, zapoznaj się z artykułem dotyczącym architektury łączności.
Nowo utworzony serwer usługi Azure Database for PostgreSQL ma zaporę, która blokuje wszystkie połączenia zewnętrzne. Chociaż docierają do bramy, nie mogą łączyć się z serwerem.
Reguły zapory bazujące na adresach IP
Zapora IP udziela dostępu do serwerów na podstawie źródłowego adresu IP każdego żądania. Aby uzyskać więcej informacji, zobacz omówienie reguł zapory.
Reguły zapory sieci wirtualnej
Punkty końcowe usługi sieci wirtualnej rozszerzają łączność sieci wirtualnej za pośrednictwem sieci szkieletowej platformy Azure. Korzystając z reguł sieci wirtualnej, możesz włączyć serwer usługi Azure Database for PostgreSQL, aby zezwolić na połączenia z wybranych podsieci w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz omówienie punktu końcowego usługi dla sieci wirtualnej.
Prywatny adres IP
Usługa Private Link umożliwia łączenie się z pojedynczym serwerem usługi Azure Database for PostgreSQL na platformie Azure za pośrednictwem prywatnego punktu końcowego. Usługa Azure Private Link zasadniczo łączy usługi platformy Azure z Twoją prywatną siecią wirtualną. Dostęp do zasobów PaaS można uzyskać przy użyciu prywatnego adresu IP, podobnie jak w przypadku każdego innego zasobu w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz omówienie łącza prywatnego
Zarządzanie dostępem
Podczas tworzenia serwera usługi Azure Database for PostgreSQL należy podać poświadczenia dla roli administratora. Ta rola administratora może służyć do tworzenia dodatkowych ról bazy danych PostgreSQL.
Możesz również nawiązać połączenie z serwerem przy użyciu uwierzytelniania firmy Microsoft Entra.
Ochrona przed zagrożeniami
Możesz wyrazić zgodę na usługę Advanced Threat Protection , która wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do serwerów lub wykorzystania ich.
Rejestrowanie inspekcji jest dostępne do śledzenia aktywności w bazach danych.
Migrowanie z programu Oracle
Rozwiązanie Oracle obsługuje funkcję Transparent Data Encryption (TDE) w celu szyfrowania danych tabeli i przestrzeni tabel. W usłudze Azure Database for PostgreSQL dane są automatycznie szyfrowane na różnych warstwach. Zobacz sekcję "Magazyn" na tej stronie, a także zapoznaj się z różnymi tematami zabezpieczeń, w tym kluczami zarządzanymi przez klienta i podwójnym szyfrowaniem infrastruktury. Możesz również rozważyć użycie rozszerzenia pgcrypto , które jest obsługiwane w usłudze Azure for PostgreSQL.
Następne kroki
- Włączanie reguł zapory dla adresów IP lub sieci wirtualnych
- Dowiedz się więcej o uwierzytelnianiu firmy Microsoft Entra w usłudze Azure Database for PostgreSQL