Säkerhet i Azure Database for PostgreSQL – enskild server

  • Artikel

GÄLLER FÖR: Azure Database for PostgreSQL – enskild server

Viktigt!

Azure Database for PostgreSQL – enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till Azure Database for PostgreSQL – flexibel server. Mer information om hur du migrerar till Azure Database for PostgreSQL – flexibel server finns i Vad händer med Azure Database for PostgreSQL – enskild server?.

Det finns flera säkerhetslager som är tillgängliga för att skydda data på din Azure Database for PostgreSQL-server. Den här artikeln beskriver de här säkerhetsalternativen.

Informationsskydd och kryptering

Under överföring

Azure Database for PostgreSQL skyddar dina data genom att kryptera data under överföring med Transport Layer Security. Kryptering (SSL/TLS) tillämpas som standard.

I vila

Azure Database for PostgreSQL-tjänsten använder den FIPS 140-2-verifierade kryptografiska modulen för lagringskryptering av vilande data. Data, inklusive säkerhetskopior, krypteras på disken, inklusive de temporära filer som skapas när frågor körs. Tjänsten använder det chiffer med AES 256 bitar som ingår i Azures lagringskryptering, och nycklarna hanteras av systemet. Lagringskrypteringen är alltid igång och kan inte inaktiveras.

Nätverkssäkerhet

Anslut ions till en Azure Database for PostgreSQL-server dirigeras först via en regional gateway. Gatewayen har en offentligt tillgänglig IP-adress medan serverns IP-adresser är skyddade. Mer information om gatewayen finns i artikeln om anslutningsarkitektur.

En nyligen skapad Azure Database for PostgreSQL-server har en brandvägg som blockerar alla externa anslutningar. Även om de når gatewayen får de inte ansluta till servern.

IP-brandväggsregler

Du kan ge åtkomst till servrarna med IP-brandväggsregler som baseras på den IP-adress som varje förfrågan kommer från. Mer information finns i översikten över brandväggsregler.

Brandväggsregler för virtuella nätverk

Tjänstslutpunkter för virtuella nätverk utökar anslutningen till det virtuella nätverket via Azure-stamnätet. Med hjälp av regler för virtuellt nätverk kan du aktivera Azure Database for PostgreSQL-servern för att tillåta anslutningar från valda undernät i ett virtuellt nätverk. Mer information finns i översikten över tjänstslutpunkten för virtuella nätverk.

Privat IP

Med Private Link kan du ansluta till din Azure Database for PostgreSQL – enskild server i Azure via en privat slutpunkt. Azure Private Link ger dig tillgång till Azure-tjänster i ditt privata virtuella nätverk (VNet). PaaS-resurser kan nås med hjälp av den privata IP-adressen precis som vilken annan resurs som helst i VNet. Mer information finns i översikten över den privata länken

Åtkomsthantering

När du skapar Azure Database for PostgreSQL-servern anger du autentiseringsuppgifter för en administratörsroll. Den här administratörsrollen kan användas för att skapa ytterligare PostgreSQL-roller.

Du kan också ansluta till servern med Hjälp av Microsoft Entra-autentisering.

Hotskydd

Du kan välja Advanced Threat Protection som identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja servrar.

Granskningsloggning är tillgänglig för att spåra aktivitet i dina databaser.

Migrera från Oracle

Oracle stöder transparent datakryptering (TDE) för att kryptera tabell- och tabellområdesdata. I Azure for PostgreSQL krypteras data automatiskt i olika lager. Se avsnittet "Vilande" på den här sidan och se även olika säkerhetsavsnitt, inklusive kundhanterade nycklar och dubbelkryptering av infrastruktur. Du kan också överväga att använda pgcrypto-tillägget som stöds i Azure for PostgreSQL.

Nästa steg