Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Database for PostgreSQL je plně spravovaná databázová služba, která poskytuje integrovanou vysokou dostupnost, automatizované zálohování a možnosti škálování. Zabezpečení nasazení databází PostgreSQL je zásadní pro ochranu citlivých dat a zachování souladu s oborovými standardy.
Tento článek vás provede zabezpečením nasazení serveru Azure Database for PostgreSQL.
Důležité
Od 11. listopadu 2025 se v oblastech Azure uvedených v následujícím seznamu plánuje obměna certifikátů TLS/SSL, při které budou použity nové zprostředkující CA certifikáty.
- Středozápadní USA
- Východní Asie
- Velká Británie – jih
Od 19. ledna 2026 se plánuje tuto rotaci rozšířit do všech zbývajících regionů Azure, včetně Azure Government a všech ostatních regionů.
Informace o řešení potíží najdete v tématu Problémy s připnutím certifikátu.
Zabezpečení sítě
Část Zabezpečení sítě vás provede zabráněním veřejného přístupu a používáním síťových funkcí k integraci PostgreSQL do zabezpečené segmentované cloudové síťové architektury.
Zakažte přístup k veřejné síti: Zakažte přístup k veřejné síti pro postgreSQL, abyste zabránili vystavení internetu. Tato akce zajistí, že k databázi budou mít přístup jenom důvěryhodné sítě.
Privátní koncové body: Pomocí privátních koncových bodů se můžete bezpečně připojit k PostgreSQL z vaší virtuální sítě.
Alternativně použijte integraci virtuální sítě: Pomocí integrace virtuální sítě připojte PostgreSQL k vaší virtuální síti. Tato integrace umožňuje zabezpečený přístup z vašich prostředků Azure a ze serveru k prostředkům spotřebovaným, jako je AI.
Starší pravidla brány firewall a koncové body služby: Pokud potřebujete povolit přístup z konkrétních IP adres, použijte starší pravidla brány firewall a koncové body služby. Tento přístup se ale nedoporučuje. Místo toho raději použijte privátní koncové body nebo integraci virtuální sítě.
Články o zabezpečení sítě jsou umístěné v sekcích o síťování.
Přehled sítí pro Azure Database for PostgreSQL s veřejným přístupem (povolené IP adresy)
Síť s privátním přístupem (integrace virtuální sítě) pro Azure Database for PostgreSQL
Síťování služby Azure Database for PostgreSQL s Private Link
Správa identit
Část Správa identit se zaměřuje na ověřování, zabezpečení identit a řízení přístupu pomocí centralizovaných systémů správy identit a přístupu. Popisuje osvědčené postupy, jako jsou mechanismy silného ověřování a spravované identity pro aplikace.
Tady je několik možných služeb zabezpečení, funkcí a osvědčených postupů pro část správa identit:
Místo místního ověřování databáze použijte Entra: Pro server PostgreSQL byste neměli zakázat místní ověřování. Místo toho ke správě přístupu k databázi použijte pouze ověřování Microsoft Entra (ne smíšený režim). Microsoft Entra poskytuje centralizované ověřování se silnými bezpečnostními prvky a ochranou Defenderu for Identity v reálném čase. Další informace naleznete obecně na Microsoft Entra a u Microsoft Entra ověřování pomocí Azure Database for PostgreSQL.
Použití spravovaných identit pro zabezpečený přístup k aplikacím: Použití spravovaných identit v Azure k bezpečnému ověřování aplikací a služeb bez nutnosti spravovat přihlašovací údaje. To poskytuje zabezpečený a zjednodušený způsob přístupu k prostředkům, jako je Azure Database for PostgreSQL. Další informace najdete v tématu Spravované identity.
Vynucování zabezpečení prostřednictvím zásad podmíněného přístupu: Nastavení zásad podmíněného přístupu v Microsoft Entra pro vynucení kontrolních mechanismů zabezpečení na základě kontextu uživatele, umístění nebo zařízení. Tyto zásady umožňují dynamické vynucování požadavků na zabezpečení na základě rizika, což zvyšuje celkový stav zabezpečení. Další informace naleznete v tématu Podmíněný přístup společnosti Microsoft Entra.
Místní ověřování by mělo používat ověřování SCRAM: Pokud musíte použít místní ověřování, ujistěte se, že jsou vynuceny silné zásady hesel. Pomocí požadavků na složitost hesla a pravidelné obměně hesel minimalizujte riziko ohrožených účtů. Další informace najdete v tématu Ověřování SCRAM ve službě Azure Database for PostgreSQL.
Řízení přístupu
Oddíl řízení přístupu se zaměřuje na zabezpečení úrovně přístupu na základě principu nejnižších oprávnění. Zdůrazňuje minimalizaci rizika neoprávněného přístupu k citlivým prostředkům omezením a správou zvýšených oprávnění, vynucením vícefaktorového ověřování a zajištěním protokolování a auditování privilegovaných akcí.
Tady je několik možných služeb zabezpečení, funkcí a osvědčených postupů pro část řízení přístupu:
Pro řízení přístupu použijte role Entra: Implementujte řízení přístupu pomocí Azure Role-Based Access Control (RBAC) ke správě přístupu k prostředkům Azure Database for PostgreSQL. Přiřaďte role na základě principu nejnižšího oprávnění a zajistěte, aby uživatelé a aplikace měli jenom potřebná oprávnění. Další informace najdete v tématu Řízení přístupu na základě role (RBAC) Azure obecně a správa rolí Microsoft Entra ve službě Azure Database for PostgreSQL.
Postupujte podle osvědčených postupů entra: Využijte vícefaktorové ověřování, zásady podmíněného přístupu, přístup podle potřeby (JIT) k ochraně uživatelů a databází.
Správa uživatelů, rolí a oprávnění místní databáze: K řízení přístupu na úrovni databáze použijte integrovanou správu rolí PostgreSQL. Vytvořte vlastní role s konkrétními oprávněními k vynucení principu nejnižšího oprávnění. Pravidelně kontrolujte a auditujte tyto role, abyste zajistili dodržování zásad zabezpečení. Další informace najdete v tématu Vytváření uživatelů ve službě Azure Database for PostgreSQL.
Ochrana dat
Sekce ochrany osobních údajů se zaměřuje na zabezpečení citlivých dat v klidu a během přenosu. Zajišťuje šifrování dat, řízení přístupu a ochrana citlivých informací před neoprávněným přístupem. Zdůrazňuje použití šifrování, zabezpečených připojení a maskování dat k ochraně integrity a důvěrnosti dat.
Tady je několik možných bezpečnostních služeb, funkcí a osvědčených postupů pro oddíl ochrany dat:
Šifrování přenášených dat
Ověření připojení TLS: Azure PostgreSQL vždy používá protokol SSL nebo TLS k šifrování přenášených dat mezi vaší aplikací a databází. Aplikaci byste měli nakonfigurovat tak, aby ověřila použitý certifikát, jako je kořenová certifikační autorita, certifikáty s vypršenou platností, neshoda názvů hostitelů a odvolání certifikátu. Tento postup pomáhá chránit citlivé informace před odposloucháváním a útoky typu man-in-the-middle. Další informace najdete v tématu Zabezpečené připojení pomocí protokolu TLS a SSL ve službě Azure Database for PostgreSQL.
Ujistěte se, že klient má nainstalované nejnovější certifikáty TLS: Ujistěte se, že klientské aplikace mají nainstalované nejnovější certifikáty TLS pro podporu zabezpečených připojení. Tento postup pomáhá zabránit selháním připojení a zajistit, že vaše aplikace dokáže navázat zabezpečená připojení k serveru PostgreSQL. Další informace najdete v tématu Stažení certifikátů kořenové certifikační autority a aktualizace klientů aplikací.
Vyžadovat použití protokolu TLS 1.3: Nakonfigurujte server PostgreSQL tak, aby pro všechna připojení vyžadoval protokol TLS 1.3. Tato konfigurace zajišťuje, že se používá pouze nejnovější a nejbezpečnější verze protokolu, která poskytuje lepší zabezpečení a výkon. Další informace najdete ve verzích protokolu TLS.
Šifrování dat v klidu
Neaktivní uložená data se vždy transparentně šifrují pomocí SMK: Azure Database for PostgreSQL automaticky šifruje neaktivní uložená data pomocí klíčů spravovaných službou (SMK). Toto šifrování zajišťuje ochranu vašich dat bez nutnosti další konfigurace. Spoléhá na základní infrastrukturu úložiště Azure. Zahrnuje primární server, repliky, obnovu k určitému okamžiku (PITR) a zálohy. Další informace najdete v tématu Šifrování dat ve službě Azure Database for PostgreSQL.
Pro další kontrolu použijte klíče spravované zákazníkem: Pokud potřebujete větší kontrolu nad šifrovacími klíči, použijte klíče spravované zákazníkem (CMK) uložené ve službě Azure Key Vault nebo Azure HSM. Tato možnost umožňuje spravovat šifrovací klíče a poskytuje více možností zabezpečení a dodržování předpisů. Další informace najdete v klíčích spravovaných zákazníkem ve službě Azure Database for PostgreSQL a konfiguraci šifrování dat ve službě Azure Database for PostgreSQL.
Nastavení automatické obměny klíčů v KV nebo spravovaném HSM: Pokud používáte klíče spravované zákazníkem, nakonfigurujte automatickou obměnu klíčů ve službě Azure Key Vault, abyste měli jistotu, že se šifrovací klíče pravidelně aktualizují. Azure Database for PostgreSQL podporuje automatické aktualizace verzí klíčů po obměně klíče. Další informace najdete v tématu Konfigurace automatické rotace klíčů ve službě Azure Managed HSM nebo vysvětlení automatické rotace ve službě Azure Key Vault pro více podrobností o Key Vault. Další informace najdete v tématu Konfigurace šifrování dat pomocí klíče spravovaného zákazníkem během zřizování serveru , kde najdete další podrobnosti o konfiguraci automatické obměně klíčů.
Šifrování ultra citlivých dat pomocí šifrování na straně klienta: U ultra citlivých dat zvažte implementaci šifrování na straně klienta. Tento přístup zahrnuje šifrování dat před jejich odesláním do databáze a zajišťuje, aby se v databázi ukládaly jenom šifrovaná data. Tento postup poskytuje větší vrstvu zabezpečení, protože samotná databáze, a proto správce databáze nemá přístup k nešifrovaným datům.
Důvěrné výpočty
Azure Confidential Computing (ACC) umožňuje organizacím bezpečně zpracovávat a spolupracovat na citlivých datech, jako jsou osobní údaje nebo chráněné zdravotní údaje (PHI). ACC poskytuje integrovanou ochranu proti neoprávněnému přístupu zabezpečením dat, která se používají prostřednictvím důvěryhodných spouštěcích prostředí (TEE).
- Poskytovatelé SaaS a hostingu zvažují konfiguraci důvěrných výpočetních prostředků: Pokud jste software jako služba (SaaS) nebo poskytovatel hostingu a úlohy PostgreSQL zahrnují zpracování citlivých dat, zvažte použití důvěrného výpočetního prostředí Azure k ochraně dat, která se používají. Toto řešení poskytuje větší vrstvu zabezpečení tím, že zajišťuje zpracování dat v zabezpečeném prostředí, což brání neoprávněnému přístupu i privilegovaným uživatelům. Další informace najdete v azure Confidential Computing for Azure Database for PostgreSQL .
Maskování a redakce dat
Implementace maskování dat: K podpoře použijte rozšíření PostgreSQL Anonymizer :
Exportujte anonymní výpisy dat: Exportujte maskovaná data do souboru ve formátu SQL.
Statické maskování: Maskujte citlivé údaje podle pravidel.
Dynamické maskování: Skrytí osobních údajů pouze pro maskované uživatele
Maskované pohledy: Vytvořte dedikované pohledy pro maskované uživatele.
Maskování datových obalů: Aplikace maskovacích pravidel na externí data.
Protokolování a detekce hrozeb
Oddíl protokolování a detekce hrozeb se zabývá ovládacími prvky pro detekci hrozeb v prostředích Azure. Zahrnuje povolení, shromažďování a ukládání protokolů auditu pro služby Azure. Zdůrazňuje použití nativních funkcí detekce hrozeb, centralizované správy protokolů a správného uchovávání protokolů pro šetření zabezpečení a dodržování předpisů. Tato část se zaměřuje na generování vysoce kvalitních výstrah, centralizaci analýzy zabezpečení prostřednictvím nástrojů Azure, udržování přesné synchronizace času a zajištění efektivních strategií uchovávání protokolů.
Tady je několik možných služeb zabezpečení, funkcí a osvědčených postupů pro oddíl protokolování a detekce hrozeb:
Povolit shromažďování diagnostických protokolů: Ujistěte se, že je protokolování diagnostiky povolené výběrem skupiny kategorií Audit. Použití Azure Policy k implementaci:
Iniciativa Povolit protokolování zdrojů kategorie skupiny auditu pro podporované prostředky do Log Analytics
Využijte Microsoft Defender pro Open-Source relační databáze: Použijte Microsoft Defender pro Open-Source relační databáze k vylepšení stavu zabezpečení instance flexibilního serveru PostgreSQL. Tato služba poskytuje rozšířenou ochranu před hrozbami, posouzení ohrožení zabezpečení a doporučení zabezpečení přizpůsobená pro opensourcové databáze. Další informace najdete v přehledu programu Microsoft Defender pro relační databáze s otevřeným kódem.
Povolit protokolování auditu: Nakonfigurujte protokolování auditu pro postgreSQL ke sledování a protokolování databázových aktivit pomocí rozšíření pgaudit. Další informace najdete v tématu Protokolování auditu ve službě Azure Database for PostgreSQL , kde najdete další podrobnosti.
Zálohování a obnovování
Oddíl zálohování a obnovení se zaměřuje na zajištění pravidelného zálohování, ochrany a obnovení dat a konfigurací napříč službami Azure v případě selhání nebo havárií. Zdůrazňuje automatizaci zálohování, zabezpečení zálohovaných dat a zajištění toho, aby procesy obnovení byly testovány a ověřeny tak, aby splňovaly cíle doby obnovení (RTO) a cíle bodu obnovení (RPO). Tato část také zdůrazňuje důležitost procesů monitorování a auditování zálohování, které zajišťují dodržování předpisů a připravenost. Přehled najdete v tématu Přehled kontinuity podnikových procesů ve službě Azure Database for PostgreSQL.
Tady je několik možných služeb zabezpečení, funkcí a osvědčených postupů pro oddíl detekce zálohování a obnovení:
Využijte vysokou dostupnost: Implementujte konfigurace vysoké dostupnosti (HA) pro instanci flexibilního serveru PostgreSQL, abyste minimalizovali výpadky a zajistili nepřetržitý přístup k databázi. Další informace najdete v tématu Vysoká dostupnost (spolehlivost) ve službě Azure Database for PostgreSQL a konfigurace vysoké dostupnosti.
Konfigurace automatizovaných záloh: Azure Database for PostgreSQL automaticky provádí denní zálohy vašich databázových souborů a průběžně zálohuje transakční protokoly. Zálohy můžete uchovávat od sedmi dnů až do 35 dnů. Databázový server můžete obnovit k libovolnému bodu v čase během doby uchovávání záloh. RtO závisí na velikosti dat, která se mají obnovit, a na době, kdy se má provést obnovení protokolu. Může se pohybovat od několika minut až po 12 hodin. Další informace najdete v tématu Zálohování a obnovení ve službě Azure Database for PostgreSQL.
Konfigurace replik pro čtení: Pomocí replik pro čtení můžete přesměrovat operace čtení z primárního serveru, což zlepšuje výkon a dostupnost. Můžete také použít repliky pro čtení pro scénáře zotavení po havárii, což vám umožní rychle přepnout na repliku se selháním primárního serveru. Další informace najdete v části Repliky pro čtení v Azure Database for PostgreSQL.
Ochrana zálohovaných dat pomocí šifrování klíčů spravovaných zákazníkem: Zabezpečte zálohovaná data pomocí šifrování dat v klidu.