Compartir a través de


Seguridad en Azure Cosmos DB for PostgreSQL

SE APLICA A: Azure Cosmos DB for PostgreSQL (con tecnología de la extensión de base de datos de Citus en PostgreSQL)

En esta página se describen las distintas capas de seguridad disponibles para proteger los datos del clúster.

Protección y cifrado de información

En tránsito

Cuando se ingieren datos en un nodo, Azure Cosmos DB for PostgreSQL los protege al cifrarlos en tránsito con Seguridad de la capa de transporte (TLS) 1.2 o superior. El cifrado (SSL/TLS) siempre se aplica y no se puede deshabilitar.

Es posible aplicar la versión mínima de TLS necesaria para conectarse al clúster estableciendo el parámetro de nodo de trabajo y coordinador ssl_min_protocol_version en TLSV1.2 o TLSV1.3 para TLS 1.2 o TLS 1.3, respectivamente.

En reposo

El servicio Azure Cosmos DB for PostgreSQL usa el módulo criptográfico con validación FIPS 140-2 para el cifrado del almacenamiento de los datos en reposo. Los datos, incluidas las copias de seguridad, se cifran en el disco, junto con los archivos temporales creados mientras se ejecutan las consultas. El servicio usa el cifrado AES de 256 bits que se incluye en el cifrado de almacenamiento de Azure y las claves las administra el sistema. El cifrado de almacenamiento siempre está activado y no se puede deshabilitar.

Seguridad de las redes

Azure Cosmos DB for PostgreSQL admite tres opciones de red:

  • Sin acceso
    • Es el valor predeterminado de un clúster creado recientemente si el acceso público o privado no está habilitado. Ningún equipo, ya sea dentro o fuera de Azure, puede conectarse a los nodos de base de datos.
  • Acceso público
    • Se asigna una dirección IP pública al nodo de coordinación.
    • El acceso al nodo de coordinación se protege mediante el firewall.
    • Opcionalmente, se puede habilitar el acceso a todos los nodos de trabajo. En este caso, las direcciones IP públicas se asignan a los nodos de trabajo y se protegen mediante el mismo firewall.
  • Acceso privado
    • Solo las direcciones IP privadas se asignan a los nodos del clúster.
    • Cada nodo requiere un punto de conexión privado para permitir que los hosts de la red virtual seleccionada accedan a los nodos.
    • Las características de seguridad de las redes virtuales de Azure, como los grupos de seguridad de red, se pueden usar para el control de acceso.

Al crear un clúster, puede habilitar el acceso público o privado u optar por el valor predeterminado Sin acceso. Una vez creado el clúster, puede elegir cambiar entre el acceso público o privado, o activar ambos a la vez.

Límites y limitaciones

Consulte la página Límites y limitaciones de Azure Cosmos DB for PostgreSQL.

Pasos siguientes