Zabezpečení ve službě Azure Cosmos DB for PostgreSQL

Článek
08/15/2024

PLATÍ PRO: Azure Cosmos DB for PostgreSQL (využívající rozšíření databáze Citus do PostgreSQL)

Tato stránka popisuje několik vrstev zabezpečení, které jsou k dispozici pro ochranu dat v clusteru.

Ochrana a šifrování informací

Na cestě

Kdykoli se data ingestují do uzlu, Azure Cosmos DB for PostgreSQL vaše data zabezpečí tím, že je šifruje při přenosu pomocí protokolu TLS (Transport Layer Security) 1.2 nebo vyšší. Šifrování (SSL/TLS) se vždy vynucuje a není možné ho zakázat.

Minimální verze protokolu TLS vyžadovaná pro připojení ke clusteru se může vynucovat nastavením parametru koordinátoru ssl_min_protocol_version a pracovního uzlu na tlsV1.2 nebo TLSV1.3 pro protokol TLS 1.2 nebo TLS 1.3.

V klidu

Služba Azure Cosmos DB for PostgreSQL používá k šifrování neaktivních uložených dat ověřený kryptografický modul FIPS 140-2. Data, včetně záloh, jsou na disku zašifrovaná, včetně dočasných souborů vytvořených při spouštění dotazů. Služba používá 256bitovou šifru AES, která je součástí šifrování úložiště Azure, a klíče jsou spravované systémem. Šifrování úložiště je vždy zapnuté a nejde ho zakázat.

Zabezpečení sítě

Azure Cosmos DB for PostgreSQL podporuje tři možnosti sítě:

Žádný přístup
- Toto je výchozí nastavení pro nově vytvořený cluster, pokud není povolený veřejný nebo privátní přístup. K databázovým uzlům se nemůžou připojit žádné počítače, ať už uvnitř Nebo mimo Azure.
Veřejný přístup
- K koordinačnímu uzlu se přiřadí veřejná IP adresa.
- Přístup k koordinačnímu uzlu je chráněný bránou firewall.
- Volitelně můžete povolit přístup ke všem pracovním uzlům. V tomto případě jsou veřejné IP adresy přiřazeny k pracovním uzlům a jsou zabezpečené stejnou bránou firewall.
Privátní přístup
- Uzly clusteru se přiřazují jenom privátní IP adresy.
- Každý uzel vyžaduje privátní koncový bod, který umožňuje hostitelům ve vybrané virtuální síti přístup k uzlům.
- Funkce zabezpečení virtuálních sítí Azure, jako jsou skupiny zabezpečení sítě, se dají použít k řízení přístupu.

Při vytváření clusteru můžete povolit veřejný nebo privátní přístup nebo zvolit výchozí hodnotu bez přístupu. Po vytvoření clusteru můžete přepínat mezi veřejným nebo privátním přístupem nebo je aktivovat najednou.

Omezení

Podívejte se na stránku omezení a omezení služby Azure Cosmos DB for PostgreSQL.

Další kroky

Zjistěte, jak povolit a spravovat privátní přístup.
Informace o privátních koncových bodech
Informace o virtuálních sítích
Informace o privátních zónách DNS

Sdílet prostřednictvím