Säkerhet i Azure Database for PostgreSQL – enskild server
GÄLLER FÖR: Azure Database for PostgreSQL – enskild server
Viktigt!
Azure Database for PostgreSQL – enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till Azure Database for PostgreSQL – flexibel server. Mer information om hur du migrerar till Azure Database for PostgreSQL – flexibel server finns i Vad händer med Azure Database for PostgreSQL – enskild server?.
Det finns flera säkerhetslager som är tillgängliga för att skydda data på din Azure Database for PostgreSQL-server. Den här artikeln beskriver de här säkerhetsalternativen.
Informationsskydd och kryptering
Under överföring
Azure Database for PostgreSQL skyddar dina data genom att kryptera data under överföring med Transport Layer Security. Kryptering (SSL/TLS) tillämpas som standard.
I vila
Azure Database for PostgreSQL-tjänsten använder den FIPS 140-2-verifierade kryptografiska modulen för lagringskryptering av vilande data. Data, inklusive säkerhetskopior, krypteras på disken, inklusive de temporära filer som skapas när frågor körs. Tjänsten använder det chiffer med AES 256 bitar som ingår i Azures lagringskryptering, och nycklarna hanteras av systemet. Lagringskrypteringen är alltid igång och kan inte inaktiveras.
Nätverkssäkerhet
Anslut ions till en Azure Database for PostgreSQL-server dirigeras först via en regional gateway. Gatewayen har en offentligt tillgänglig IP-adress medan serverns IP-adresser är skyddade. Mer information om gatewayen finns i artikeln om anslutningsarkitektur.
En nyligen skapad Azure Database for PostgreSQL-server har en brandvägg som blockerar alla externa anslutningar. Även om de når gatewayen får de inte ansluta till servern.
IP-brandväggsregler
Du kan ge åtkomst till servrarna med IP-brandväggsregler som baseras på den IP-adress som varje förfrågan kommer från. Mer information finns i översikten över brandväggsregler.
Brandväggsregler för virtuella nätverk
Tjänstslutpunkter för virtuella nätverk utökar anslutningen till det virtuella nätverket via Azure-stamnätet. Med hjälp av regler för virtuellt nätverk kan du aktivera Azure Database for PostgreSQL-servern för att tillåta anslutningar från valda undernät i ett virtuellt nätverk. Mer information finns i översikten över tjänstslutpunkten för virtuella nätverk.
Privat IP
Med Private Link kan du ansluta till din Azure Database for PostgreSQL – enskild server i Azure via en privat slutpunkt. Azure Private Link ger dig tillgång till Azure-tjänster i ditt privata virtuella nätverk (VNet). PaaS-resurser kan nås med hjälp av den privata IP-adressen precis som vilken annan resurs som helst i VNet. Mer information finns i översikten över den privata länken
Åtkomsthantering
När du skapar Azure Database for PostgreSQL-servern anger du autentiseringsuppgifter för en administratörsroll. Den här administratörsrollen kan användas för att skapa ytterligare PostgreSQL-roller.
Du kan också ansluta till servern med Hjälp av Microsoft Entra-autentisering.
Hotskydd
Du kan välja Advanced Threat Protection som identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja servrar.
Granskningsloggning är tillgänglig för att spåra aktivitet i dina databaser.
Migrera från Oracle
Oracle stöder transparent datakryptering (TDE) för att kryptera tabell- och tabellområdesdata. I Azure for PostgreSQL krypteras data automatiskt i olika lager. Se avsnittet "Vilande" på den här sidan och se även olika säkerhetsavsnitt, inklusive kundhanterade nycklar och dubbelkryptering av infrastruktur. Du kan också överväga att använda pgcrypto-tillägget som stöds i Azure for PostgreSQL.
Nästa steg
- Aktivera brandväggsregler för IP-adresser eller virtuella nätverk
- Läs mer om Microsoft Entra-autentisering i Azure Database for PostgreSQL