تأمين قاعدة بيانات Azure ل PostgreSQL Server

Azure Database for PostgreSQL هي خدمة قاعدة بيانات مدارة بالكامل توفر قابلية وصول عالية مضمنة ونسخا احتياطيا تلقائيا وإمكانيات التحجيم. يعد تأمين عمليات نشر قاعدة بيانات PostgreSQL أمرا بالغ الأهمية لحماية البيانات الحساسة والحفاظ على الامتثال لمعايير الصناعة.

ترشدك هذه المقالة حول كيفية تأمين قاعدة بيانات Azure لنشر PostgreSQL Server.

Important

بدأت مايكروسوفت دورة شهادات TLS لقاعدة بيانات Azure لصالح PostgreSQL لتحديث شهادات CA الوسيطة وسلسلة الشهادات الناتجة. الجذر الكافي يبقى كما هو.

إذا كان تكوين العميل يستخدم الإعدادات الموصى بها ل TLS، فلن تحتاج لاتخاذ أي إجراء.

جدول تدوير الشهادات المتوسطة:

• التحديثات لمناطق Azure غرب وسط الولايات المتحدة وشرق آسيا مكتملة.
• تبدأ التحديثات لمناطق جنوب المملكة المتحدة وحكومات الولايات المتحدة في 21 يناير 2026.
• تبدأ التحديثات لوسط الولايات المتحدة في 26 يناير 2026.
• تبدأ التحديثات لجميع المناطق الأخرى في 28 يناير 2026.
• بعد مهرجان الربيع (رأس السنة الصينية) 2026، ستخضع مناطق الصين أيضا لدورة شهادات تشمل تغييرا إلى أحد شهادات السنة الجذرية.

أمن الشبكة

يرشدك قسم أمان الشبكة من خلال منع الوصول العام واستخدام ميزات الشبكات لدمج PostgreSQL في بنية شبكة سحابية آمنة ومجزأة.

• تعطيل الوصول إلى الشبكة العامة: قم بتعطيل الوصول إلى الشبكة العامة ل PostgreSQL لمنع التعرض للإنترنت. يضمن هذا الإجراء أن الشبكات الموثوق بها فقط هي التي يمكنها الوصول إلى قاعدة البيانات الخاصة بك.

• نقاط النهاية الخاصة: استخدم نقاط النهاية الخاصة للاتصال بأمان ب PostgreSQL من داخل شبكتك الظاهرية.

• بدلا من ذلك، استخدم تكامل الشبكة الظاهرية: استخدم تكامل الشبكة الظاهرية لتوصيل PostgreSQL بشبكتك الظاهرية. يسمح هذا التكامل بالوصول الآمن من موارد Azure ومن الخادم إلى الموارد المستهلكة، مثل الذكاء الاصطناعي.

• قواعد جدار الحماية القديمة ونقاط نهاية الخدمة: إذا كنت بحاجة إلى السماح بالوصول من عناوين IP محددة، فاستخدم قواعد جدار الحماية القديمة ونقاط نهاية الخدمة. ومع ذلك ، لا ينصح بهذا النهج. بدلا من ذلك، تفضل استخدام نقاط النهاية الخاصة أو تكامل الشبكة الظاهرية.

توجد مقالات أمان الشبكة في أقسام الشبكات:

• نظرة عامة على الشبكات لقاعدة بيانات Azure ل PostgreSQL مع الوصول العام (عناوين IP المسموح بها)

• الشبكة ذات الوصول الخاص (تكامل الشبكة الظاهرية) لقاعدة بيانات Azure ل PostgreSQL

• قاعدة بيانات Azure لشبكات PostgreSQL مع الارتباط الخاص

إدارة الهوية

يركز قسم إدارة الهوية على المصادقة وتأمين الهويات وعناصر التحكم في الوصول باستخدام أنظمة إدارة الهوية والوصول المركزية. وهو يغطي أفضل الممارسات مثل آليات المصادقة القوية والهويات المدارة للتطبيقات.

فيما يلي بعض خدمات الأمان والميزات وأفضل الممارسات الممكنة لقسم إدارة الهوية:

• استخدم Entra بدلا من المصادقة المحلية لقاعدة البيانات: يجب عدم السماح بالمصادقة المحلية لخادم PostgreSQL الخاص بك. بدلا من ذلك، استخدم مصادقة Microsoft Entra فقط (وليس الوضع المختلط) لإدارة الوصول إلى قاعدة البيانات الخاصة بك. يوفر Microsoft Entra مصادقة مركزية مع عناصر تحكم أمان قوية وحماية Defender for Identity في الوقت الفعلي. لمزيد من المعلومات، تفضل بزيارة Microsoft Entra بشكل عام ومصادقة Microsoft Entra مع قاعدة بيانات Azure ل PostgreSQL.

• استخدام الهويات المدارة للوصول الآمن إلى التطبيقات: استخدم الهويات المدارة في Azure لمصادقة التطبيقات والخدمات بأمان دون الحاجة إلى إدارة بيانات الاعتماد. يوفر هذا طريقة آمنة ومبسطة للوصول إلى الموارد مثل قاعدة بيانات Azure ل PostgreSQL. لمزيد من المعلومات، تفضل بزيارة الهويات المدارة.

• فرض الأمان من خلال نهج الوصول المشروط: قم بإعداد نهج الوصول المشروط في Microsoft Entra لفرض عناصر التحكم في الأمان استنادا إلى سياق المستخدم أو الموقع أو الجهاز. تسمح هذه السياسات بالتطبيق الديناميكي لمتطلبات الأمان بناء على المخاطر، مما يعزز الوضع الأمني العام. لمزيد من المعلومات، تفضل بزيارة الوصول المشروط ل Microsoft Entra.

• يجب أن تستخدم المصادقة المحلية مصادقة SCRAM: إذا كان يجب عليك استخدام المصادقة المحلية، فتأكد من فرض سياسات كلمة مرور قوية. استخدم متطلبات تعقيد كلمة المرور والتدوير المنتظم لكلمات المرور لتقليل مخاطر الحسابات المخترقة لمزيد من المعلومات، تفضل بزيارة مصادقة SCRAM في قاعدة بيانات Azure ل PostgreSQL.

عنصر تحكم الوصول

يركز قسم التحكم في الوصول على تأمين مستوى الوصول بناء على مبدأ أقل امتياز. ويؤكد على تقليل مخاطر الوصول غير المصرح به إلى الموارد الحساسة من خلال تقييد وإدارة الأذونات المرتفعة، وفرض المصادقة متعددة العوامل، وضمان تسجيل الإجراءات المتميزة وتدقيقها.

فيما يلي بعض خدمات الأمان والميزات وأفضل الممارسات الممكنة لقسم التحكم في الوصول:

• استخدام أدوار Entra للتحكم في الوصول: تنفيذ التحكم في الوصول إلى Azure Role-Based (التحكم في الوصولRole-Based (RBAC) لإدارة الوصول إلى قاعدة بيانات Azure لموارد PostgreSQL. قم بتعيين الأدوار استنادا إلى مبدأ الامتياز الأقل، مما يضمن حصول المستخدمين والتطبيقات على الأذونات التي يحتاجون إليها فقط. لمزيد من المعلومات، تفضل بزيارة التحكم في الوصول المستند إلى دور Azure (RBAC) بشكل عام وإدارة أدوار Microsoft Entra في قاعدة بيانات Azure ل PostgreSQL.

• اتبع أفضل ممارسات Entra: استخدم المصادقة متعددة العوامل ونهج الوصول المشروط والوصول في الوقت المناسب (JIT) لحماية المستخدمين وقواعد البيانات الخاصة بك.

• إدارة مستخدمي قاعدة البيانات المحلية والأدوار والأذونات: استخدم إدارة الأدوار المضمنة في PostgreSQL للتحكم في الوصول على مستوى قاعدة البيانات. قم بإنشاء أدوار مخصصة بأذونات محددة لفرض مبدأ الامتياز الأقل. مراجعة هذه الأدوار وتدقيقها بانتظام لضمان الامتثال لنهج الأمان. لمزيد من المعلومات، تفضل بزيارة إنشاء مستخدمين في قاعدة بيانات Azure ل PostgreSQL.

حماية البيانات

يركز قسم حماية البيانات على تأمين البيانات الحساسة في حالة السكون وأثناء النقل. يضمن تشفير البيانات والتحكم في الوصول وحماية المعلومات الحساسة من الوصول غير المصرح به. ويؤكد على استخدام التشفير والاتصالات الآمنة وإخفاء البيانات لحماية سلامة البيانات وسريتها.

فيما يلي بعض خدمات الأمان والميزات وأفضل الممارسات الممكنة لقسم حماية البيانات:

تشفير البيانات أثناء النقل

• التحقق من اتصالات TLS: يستخدم Azure PostgreSQL دائما SSL أو TLS لتشفير البيانات أثناء النقل بين التطبيق وقاعدة البيانات. يجب تكوين التطبيق الخاص بك للتحقق من الشهادة المستخدمة، مثل المرجع المصدق الجذر والشهادات منتهية الصلاحية وعدم تطابق اسم المضيف وإبطال الشهادة. تساعد هذه الممارسة في حماية المعلومات الحساسة من التنصت وهجمات الوسيط. لمزيد من المعلومات، تفضل بزيارة الاتصال الآمن ب TLS وSSL في قاعدة بيانات Azure ل PostgreSQL.

• تأكد من تثبيت أحدث شهادات TLS على العميل: تأكد من تثبيت أحدث شهادات TLS على تطبيقات العميل لدعم الاتصالات الآمنة. تساعد هذه الممارسة في منع فشل الاتصال وتضمن أن التطبيق الخاص بك يمكنه إنشاء اتصالات آمنة مع خادم PostgreSQL. لمزيد من المعلومات، تفضل بزيارة تنزيل شهادات المرجع المصدق الجذر وتحديث عملاء التطبيق.

• طلب استخدام TLS 1.3: قم بتكوين خادم PostgreSQL لطلب TLS 1.3 لجميع الاتصالات. يضمن هذا التكوين استخدام أحدث إصدار وأكثرها أمانا من البروتوكول فقط، مما يوفر أمانا وأداء أفضل. لمزيد من المعلومات، تفضل بزيارة إصدارات TLS.

التشفير في حالة السكون

• يتم دائما تشفير البيانات بشفافية في حالة السكون باستخدام SMK: تقوم قاعدة بيانات Azure ل PostgreSQL تلقائيا بتشفير البيانات الثابتة باستخدام المفاتيح المدارة بواسطة الخدمة (SMK). يضمن هذا التشفير حماية بياناتك دون الحاجة إلى تكوين إضافي. يعتمد على البنية الأساسية لتخزين Azure. وهو يغطي الخادم الأساسي والنسخ المتماثلة والاسترداد في نقطة زمنية (PITR) والنسخ الاحتياطية. لمزيد من المعلومات، تفضل بزيارة تشفير البيانات في قاعدة بيانات Azure ل PostgreSQL.

• استخدم المفاتيح المدارة من قبل العميل للحصول على تحكم إضافي: إذا كنت بحاجة إلى مزيد من التحكم في مفاتيح التشفير، فاستخدم المفاتيح المدارة من قبل العميل (CMK) المخزنة في Azure Key Vault أو Azure HSM. يتيح لك هذا الخيار إدارة مفاتيح التشفير الخاصة بك ويوفر المزيد من خيارات الأمان والامتثال. لمزيد من المعلومات، تفضل بزيارة المفاتيح المدارة للعملاء في قاعدة بيانات Azure ل PostgreSQLوتكوين تشفير البيانات في قاعدة بيانات Azure ل PostgreSQL.

• إعداد التدوير التلقائي للمفاتيح في KV أو HSM المدار: إذا كنت تستخدم مفاتيح مدارة من قبل العميل، فقم بتكوين تدوير المفتاح التلقائي في Azure Key Vault لضمان تحديث مفاتيح التشفير بانتظام. تدعم قاعدة بيانات Azure ل PostgreSQL تحديثات إصدار المفتاح التلقائية بعد تدوير المفتاح. لمزيد من المعلومات، تفضل بزيارة تكوين التدوير التلقائي للمفاتيح في Azure Managed HSM أو فهم التدوير التلقائي في Azure Key Vault لمزيد من تفاصيل Key Vault. لمزيد من المعلومات، تفضل بزيارة تكوين تشفير البيانات باستخدام المفتاح المدار من قبل العميل أثناء توفير الخادم للحصول على مزيد من التفاصيل حول كيفية تكوين تدوير المفاتيح تلقائيا.

• تشفير البيانات فائقة الحساسية باستخدام التشفير من جانب العميل: بالنسبة للبيانات فائقة الحساسية، ضع في اعتبارك تنفيذ التشفير من جانب العميل. يتضمن هذا الأسلوب تشفير البيانات قبل إرسالها إلى قاعدة البيانات، مما يضمن تخزين البيانات المشفرة فقط في قاعدة البيانات. توفر هذه الممارسة طبقة أكثر من الأمان، حيث أن قاعدة البيانات نفسها وبالتالي مسؤول قاعدة البيانات لا يمتلكان حق الوصول إلى البيانات غير المشفرة.

الحوسبة السرية

تمكن الحوسبة السرية من Azure (ACC) المؤسسات من معالجة البيانات الحساسة والتعاون بشأنها بشكل آمن، مثل البيانات الشخصية أو المعلومات الصحية المحمية (PHI). توفر ACC حماية مضمنة ضد الوصول غير المصرح به من خلال تأمين البيانات المستخدمة من خلال بيئات التنفيذ الموثوق بها (TEEs).

• تضع في اعتبارك SaaS وموفرو الاستضافة تكوين الحوسبة السرية: إذا كنت موفر برنامج كخدمة (SaaS) أو استضافة وتتضمن أحمال عمل PostgreSQL معالجة البيانات الحساسة، ففكر في استخدام Azure Confidential Computing لحماية البيانات المستخدمة. يوفر هذا الحل طبقة أكبر من الأمان من خلال ضمان معالجة البيانات في بيئة آمنة ، مما يمنع الوصول غير المصرح به حتى من المستخدمين المتميزين. لمزيد من المعلومات، تفضل بزيارة الحوسبة السرية Azure لقاعدة بيانات Azure ل PostgreSQL لمزيد من التفاصيل.

إخفاء البيانات والتنقيح

• تنفيذ إخفاء البيانات: استخدم ملحق PostgreSQL Anonymizer لدعم:

• تفريغ مجهول: تصدير البيانات المقنعة إلى ملف SQL.

• الإخفاء الثابت: قم بإزالة البيانات الشخصية وفقا للقواعد.

• الإخفاء الديناميكي: إخفاء البيانات الشخصية للمستخدمين المقنعين فقط.

• إخفاء طرق العرض: قم بإنشاء طرق عرض مخصصة للمستخدمين المقنعين.

• إخفاء أغلفة البيانات: تطبيق قواعد الإخفاء على البيانات الخارجية.

التسجيل والكشف عن التهديدات

يغطي قسم التسجيل والكشف عن التهديدات عناصر التحكم في اكتشاف التهديدات في بيئات Azure. وهو يغطي تمكين سجلات التدقيق وجمعها وتخزينها لخدمات Azure. ويؤكد على استخدام إمكانات الكشف عن التهديدات الأصلية، وإدارة السجل المركزية، والاحتفاظ بالسجل المناسب للتحقيقات الأمنية والامتثال. يركز هذا القسم على إنشاء تنبيهات عالية الجودة، ومركزية تحليل الأمان من خلال أدوات Azure، والحفاظ على مزامنة الوقت الدقيقة، وضمان استراتيجيات الاحتفاظ بالسجل الفعالة.

فيما يلي بعض خدمات الأمان والميزات وأفضل الممارسات الممكنة لقسم التسجيل والكشف عن التهديدات:

• تمكين جمع سجلات التشخيص: تأكد من تمكين التسجيل التشخيصي عن طريق تحديد "تدقيق" مجموعة الفئة. استخدم نهج Azure لتنفيذ:

• النهج تمكين التسجيل حسب مجموعة الفئات ل PostgreSQL (microsoft.dbforpostgresql/flexibleservers) لتحليلات السجل

• المبادرة : تمكين تسجيل موارد مجموعة فئات التدقيق للموارد المدعومة إلى Log Analytics

• استخدام Microsoft Defender لقواعد البيانات العلائقية Open-Source: استخدم Microsoft Defender لقواعد البيانات العلائقية Open-Source لتحسين وضع الأمان لمثيل خادم PostgreSQL المرن. توفر هذه الخدمة حماية متقدمة من التهديدات وتقييمات الثغرات الأمنية وتوصيات أمنية مصممة خصيصا لقواعد البيانات مفتوحة المصدر. لمزيد من المعلومات، تفضل بزيارة نظرة عامة على Microsoft Defender لقواعد البيانات العلائقية Open-Source للحصول على مزيد من التفاصيل.

• تمكين تسجيل التدقيق: قم بتكوين تسجيل التدقيق ل PostgreSQL لتعقب أنشطة قاعدة البيانات وتسجيلها باستخدام ملحق pgaudit. لمزيد من المعلومات، تفضل بزيارة تسجيل التدقيق في قاعدة بيانات Azure ل PostgreSQL لمزيد من التفاصيل.

النسخ الاحتياطي والاسترداد.

يركز قسم النسخ الاحتياطي والاسترداد على ضمان نسخ البيانات والتكوينات عبر خدمات Azure احتياطيا بانتظام وحمايتها وإمكانية استردادها في حالات الفشل أو الكوارث. ويؤكد على أتمتة النسخ الاحتياطية وتأمين بيانات النسخ الاحتياطي وضمان اختبار عمليات الاسترداد والتحقق من صحتها لتحقيق أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO). كما يسلط القسم الضوء على أهمية مراقبة وتدقيق عمليات النسخ الاحتياطي لضمان الامتثال والجاهزية. للحصول على نظرة عامة، لمزيد من المعلومات، تفضل بزيارة نظرة عامة على استمرارية الأعمال باستخدام قاعدة بيانات Azure ل PostgreSQL.

فيما يلي بعض خدمات الأمان والميزات وأفضل الممارسات المحتملة لقسم الكشف عن النسخ الاحتياطي والاسترداد:

• الاستفادة من قابلية الوصول العالية: قم بتنفيذ تكوينات قابلية الوصول العالية (HA) لمثيل خادم PostgreSQL المرن لتقليل وقت التوقف عن العمل وضمان الوصول المستمر إلى قاعدة البيانات الخاصة بك. لمزيد من المعلومات، تفضل بزيارة قابلية الوصول العالية (الموثوقية) في قاعدة بيانات Azure ل PostgreSQLوتكوين قابلية الوصول العالية.

• تكوين النسخ الاحتياطية التلقائية: تقوم قاعدة بيانات Azure ل PostgreSQL تلقائيا بإجراء نسخ احتياطية يومية لملفات قاعدة البيانات الخاصة بك ونسخ سجلات المعاملات احتياطيا باستمرار. يمكنك الاحتفاظ بالنسخ الاحتياطية من سبعة أيام إلى 35 يوما. يمكنك استعادة خادم قاعدة البيانات الخاص بك إلى أي نقطة زمنية خلال فترة الاحتفاظ بالنسخ الاحتياطي. يعتمد RTO على حجم البيانات المراد استعادتها والوقت اللازم لإجراء استرداد السجل. يمكن أن تتراوح من بضع دقائق إلى 12 ساعة. لمزيد من المعلومات، تفضل بزيارة النسخ الاحتياطي والاستعادة في قاعدة بيانات Azure ل PostgreSQL.

• تكوين النسخ المتماثلة للقراءة: استخدم النسخ المتماثلة للقراءة لإلغاء تحميل عمليات القراءة من الخادم الأساسي، مما يؤدي إلى تحسين الأداء والتوافر. يمكنك أيضا استخدام النسخ المتماثلة للقراءة لسيناريوهات التعافي من الكوارث، مما يسمح لك بالتبديل بسرعة إلى نسخة متماثلة مع فشل الخادم الأساسي. لمزيد من المعلومات، تفضل بزيارة قراءة النسخ المتماثلة في قاعدة بيانات Azure ل PostgreSQL.

• حماية بيانات النسخ الاحتياطي باستخدام تشفير المفاتيح التي يديرها العميل: قم بتأمين بيانات النسخ الاحتياطي باستخدام التشفير الثابت.

المحتوى ذو الصلة

• أساس أمان Azure لقاعدة بيانات Azure ل PostgreSQL