Безопасность Базы данных Azure для PostgreSQL (отдельный сервер)
Область применения: отдельный сервер Базы данных Azure для PostgreSQL
Внимание
База данных Azure для PostgreSQL — одиночный сервер находится на пути выхода на пенсию. Настоятельно рекомендуется выполнить обновление до База данных Azure для PostgreSQL — гибкий сервер. Дополнительные сведения о миграции на База данных Azure для PostgreSQL — гибкий сервер см. в статье "Что происходит с одним сервером База данных Azure для PostgreSQL?".
Существует несколько уровней безопасности, которые можно использовать для защиты данных на сервере Базы данных Azure для PostgreSQL. В этой статье описаны эти параметры безопасности.
Защита и шифрование информации
При передаче
База данных Azure для PostgreSQL обеспечивает защиту данных путем шифрования транзитных данных по протоколу TLS. Шифрование (SSL/TLS) применяется по умолчанию.
При хранении
В службе "База данных Azure для PostgreSQL" используется проверенный криптографический модуль FIPS 140-2 для шифрования неактивных данных. Данные, включая резервные копии, шифруются на диске (включая временные файлы, создаваемые при выполнении запросов). Служба использует 256-разрядный шифр AES, включенный в шифрование службы хранилища Azure. Ключами управляет система. Шифрование хранилища всегда включено, и его нельзя отключить.
Безопасность сети
Подключения к серверу Базы данных Azure для PostgreSQL сначала направляются через региональный шлюз. Этот шлюз имеет общедоступный IP-адрес, а IP-адреса сервера защищены. Дополнительные сведения о шлюзе см. в статье об архитектуре подключения.
Недавно созданный сервер Базы данных Azure для PostgreSQL имеет брандмауэр, который блокирует все внешние подключения. Эти подключения достигают шлюза, но им не разрешено подключаться к серверу.
Правила брандмауэра для IP-адресов
Правила брандмауэра для IP-адресов предоставляют доступ к серверам на основе исходного IP-адреса каждого запроса. Дополнительные сведения см. в обзоре правил брандмауэра.
Правила брандмауэра для виртуальной сети
Конечные точки службы для виртуальной сети расширяют возможности подключения к виртуальной сети по магистрали Azure. С помощью правил виртуальной сети можно включить сервер Базы данных Azure для PostgreSQL, чтобы разрешить подключения из выбранных подсетей в виртуальной сети. Дополнительные сведения см. в статье Обзор конечных точек служб для виртуальной сети.
Частный IP-адрес
Приватный канал позволяет подключаться к Базе данных Azure для PostgreSQL на одном сервере в Azure с помощью частной конечной точки. Приватный канал Azure, по сути, предоставляет службы Azure в частной виртуальной сети (VNet). Доступ к ресурсам PaaS можно получить, используя закрытый IP-адрес и любой другой ресурс в виртуальной сети. Дополнительные сведения см. в обзоре приватного канала
Управление доступом
При создании сервера Базы данных Azure для PostgreSQL вы предоставляете учетные данные для пользователя с правами администратора. Этот администратор может использоваться для создания дополнительных пользователей PostgreSQL.
Вы также можете подключиться к серверу с помощью проверки подлинности Microsoft Entra.
Защита от угроз
Вы можете включить Расширенную защита от угроз, чтобы выявлять подозрительную активность, указывающую на нетипичные и потенциально опасные попытки доступа к серверам или их использования.
Для наблюдения за действиями в базах данных доступно ведение журнала аудита.
Миграция из Oracle
Oracle поддерживает прозрачное шифрование данных (TDE) для шифрования данных таблиц и табличных пространств. В Azure для PostgreSQL данные автоматически шифруются на разных уровнях. Ознакомьтесь с разделом "При хранении" на этой странице, а также с различными разделами безопасности, в том числе с управляемыми клиентом ключами и двойным шифрованием инфраструктуры. Вы также можете использовать расширение pgcrypto, которое поддерживается в Azure для PostgreSQL.
Следующие шаги
- Включение правил брандмауэра для IP-адресов или виртуальных сетей
- Сведения о проверке подлинности Microsoft Entra в База данных Azure для PostgreSQL