Безопасность Базы данных Azure для PostgreSQL (отдельный сервер)

  • Статья

Область применения: отдельный сервер Базы данных Azure для PostgreSQL

Внимание

База данных Azure для PostgreSQL — одиночный сервер находится на пути выхода на пенсию. Настоятельно рекомендуется выполнить обновление до База данных Azure для PostgreSQL — гибкий сервер. Дополнительные сведения о миграции на База данных Azure для PostgreSQL — гибкий сервер см. в статье "Что происходит с одним сервером База данных Azure для PostgreSQL?".

Существует несколько уровней безопасности, которые можно использовать для защиты данных на сервере Базы данных Azure для PostgreSQL. В этой статье описаны эти параметры безопасности.

Защита и шифрование информации

При передаче

База данных Azure для PostgreSQL обеспечивает защиту данных путем шифрования транзитных данных по протоколу TLS. Шифрование (SSL/TLS) применяется по умолчанию.

При хранении

В службе "База данных Azure для PostgreSQL" используется проверенный криптографический модуль FIPS 140-2 для шифрования неактивных данных. Данные, включая резервные копии, шифруются на диске (включая временные файлы, создаваемые при выполнении запросов). Служба использует 256-разрядный шифр AES, включенный в шифрование службы хранилища Azure. Ключами управляет система. Шифрование хранилища всегда включено, и его нельзя отключить.

Безопасность сети

Подключения к серверу Базы данных Azure для PostgreSQL сначала направляются через региональный шлюз. Этот шлюз имеет общедоступный IP-адрес, а IP-адреса сервера защищены. Дополнительные сведения о шлюзе см. в статье об архитектуре подключения.

Недавно созданный сервер Базы данных Azure для PostgreSQL имеет брандмауэр, который блокирует все внешние подключения. Эти подключения достигают шлюза, но им не разрешено подключаться к серверу.

Правила брандмауэра для IP-адресов

Правила брандмауэра для IP-адресов предоставляют доступ к серверам на основе исходного IP-адреса каждого запроса. Дополнительные сведения см. в обзоре правил брандмауэра.

Правила брандмауэра для виртуальной сети

Конечные точки службы для виртуальной сети расширяют возможности подключения к виртуальной сети по магистрали Azure. С помощью правил виртуальной сети можно включить сервер Базы данных Azure для PostgreSQL, чтобы разрешить подключения из выбранных подсетей в виртуальной сети. Дополнительные сведения см. в статье Обзор конечных точек служб для виртуальной сети.

Частный IP-адрес

Приватный канал позволяет подключаться к Базе данных Azure для PostgreSQL на одном сервере в Azure с помощью частной конечной точки. Приватный канал Azure, по сути, предоставляет службы Azure в частной виртуальной сети (VNet). Доступ к ресурсам PaaS можно получить, используя закрытый IP-адрес и любой другой ресурс в виртуальной сети. Дополнительные сведения см. в обзоре приватного канала

Управление доступом

При создании сервера Базы данных Azure для PostgreSQL вы предоставляете учетные данные для пользователя с правами администратора. Этот администратор может использоваться для создания дополнительных пользователей PostgreSQL.

Вы также можете подключиться к серверу с помощью проверки подлинности Microsoft Entra.

Защита от угроз

Вы можете включить Расширенную защита от угроз, чтобы выявлять подозрительную активность, указывающую на нетипичные и потенциально опасные попытки доступа к серверам или их использования.

Для наблюдения за действиями в базах данных доступно ведение журнала аудита.

Миграция из Oracle

Oracle поддерживает прозрачное шифрование данных (TDE) для шифрования данных таблиц и табличных пространств. В Azure для PostgreSQL данные автоматически шифруются на разных уровнях. Ознакомьтесь с разделом "При хранении" на этой странице, а также с различными разделами безопасности, в том числе с управляемыми клиентом ключами и двойным шифрованием инфраструктуры. Вы также можете использовать расширение pgcrypto, которое поддерживается в Azure для PostgreSQL.

Следующие шаги