Proteja su servidor Azure Database for PostgreSQL

Azure Database for PostgreSQL es un servicio de base de datos totalmente administrado que proporciona alta disponibilidad integrada, copias de seguridad automatizadas y funcionalidades de escalado. La protección de las implementaciones de bases de datos de PostgreSQL es fundamental para proteger los datos confidenciales y mantener el cumplimiento de los estándares del sector.

En este artículo se explica cómo proteger la implementación del servidor de Azure Database for PostgreSQL.

Importante

A partir del 11 de noviembre de 2025, las regiones de Azure de la lista siguiente están programadas para una rotación de certificados TLS/SSL que use nuevos certificados de CA intermedia.

• Centro-oeste de EE. UU.
• Este de Asia
• UK South

A partir del 19 de enero de 2026, esta rotación está planeada para ampliarse a todas las regiones restantes de Azure, incluido Azure Government y todas las demás regiones.

Para obtener información sobre cómo solucionar problemas, consulte Problemas de anclaje de certificados.

Seguridad de red

La sección Seguridad de red le guía a través de la prevención del acceso público y el uso de las características de red para integrar PostgreSQL en una arquitectura de red en la nube segura y segmentada.

• Deshabilitar el acceso a la red pública: deshabilite el acceso a la red pública de PostgreSQL para evitar la exposición a Internet. Esta acción garantiza que solo las redes de confianza puedan acceder a la base de datos.

• Puntos de conexión privados: use puntos de conexión privados para conectarse de forma segura a PostgreSQL desde la red virtual.

• Como alternativa, use la integración de red virtual: use la integración de red virtual para conectar PostgreSQL a la red virtual. Esta integración permite el acceso seguro desde los recursos de Azure y desde el servidor a los recursos consumidos, como la inteligencia artificial.

• Reglas de firewall heredadas y puntos de conexión de servicio: si necesita permitir el acceso desde direcciones IP específicas, use reglas de firewall heredadas y puntos de conexión de servicio. Sin embargo, no se recomienda este enfoque. En su lugar, prefiera usar puntos de conexión privados o integración de red virtual.

Los artículos de seguridad de red se encuentran en las secciones de redes:

• Información general sobre redes para Azure Database for PostgreSQL con la opción con acceso público (direcciones IP permitidas)

• Red con acceso privado (integración de red virtual) para Azure Database for PostgreSQL

• Azure Database for PostgreSQL: redes con Private Link

Administración de identidades

La sección de administración de identidades se centra en la autenticación, la protección de identidades y los controles de acceso mediante sistemas centralizados de administración de identidades y acceso. Trata los procedimientos recomendados, como los mecanismos de autenticación seguros y las identidades administradas para las aplicaciones.

Estos son algunos posibles servicios de seguridad, características y procedimientos recomendados para la sección de administración de identidades:

• Use Entra en lugar de la autenticación local de base de datos: no debe permitir la autenticación local para el servidor de PostgreSQL. En su lugar, use la autenticación de Microsoft Entra solo (no en modo mixto) para administrar el acceso a la base de datos. Microsoft Entra proporciona autenticación centralizada con controles de seguridad sólidos y protección en tiempo real de Defender for Identity. Para obtener más información, visite Microsoft Entra en general y autenticación de Microsoft Entra con Azure Database for PostgreSQL.

• Uso de identidades administradas para el acceso seguro a aplicaciones: use identidades administradas en Azure para autenticar de forma segura aplicaciones y servicios sin necesidad de administrar las credenciales. Esto proporciona una manera segura y simplificada de acceder a recursos como Azure Database for PostgreSQL. Para más información, visite Identidades administradas.

• Aplicar la seguridad a través de directivas de acceso condicional: configure directivas de acceso condicional en Microsoft Entra para aplicar controles de seguridad basados en el contexto de usuario, ubicación o dispositivo. Estas directivas permiten la aplicación dinámica de los requisitos de seguridad en función del riesgo, lo que mejora la posición de seguridad general. Para obtener más información, visite Acceso condicional de Microsoft Entra.

• La autenticación local debe usar la autenticación SCRAM: si debe usar la autenticación local, asegúrese de que se aplican directivas de contraseña segura. Use los requisitos de complejidad de contraseñas y la rotación de contraseñas normales para minimizar el riesgo de cuentas en peligro. Para más información, visite Autenticación SCRAM en Azure Database for PostgreSQL.

Control de acceso

La sección control de acceso se centra en proteger el nivel de acceso en función del principio de privilegios mínimos. Hace hincapié en minimizar el riesgo de acceso no autorizado a los recursos confidenciales mediante la restricción y administración de permisos elevados, la aplicación de la autenticación multifactor y la garantía de que las acciones con privilegios se registran y auditan.

Estos son algunos posibles servicios de seguridad, características y procedimientos recomendados para la sección de control de acceso:

• Uso de roles Entra para el control de acceso: implemente el control de acceso basado en roles de Azure (control de acceso basado en roles (RBAC) para administrar el acceso a los recursos de Azure Database for PostgreSQL. Asigne roles basados en el principio de privilegios mínimos, lo que garantiza que los usuarios y las aplicaciones solo tengan los permisos que necesitan. Para más información, visite Control de acceso basado en roles de Azure (RBAC) en general y Administración de roles de Microsoft Entra en Azure Database for PostgreSQL.

• Siga los procedimientos recomendados de Entra: use MFA, directivas de acceso condicional, acceso Just-In-Time (JIT) para proteger los usuarios y las bases de datos.

• Administrar usuarios, roles y permisos de base de datos locales: use la administración de roles integrada de PostgreSQL para controlar el acceso en el nivel de base de datos. Cree roles personalizados con permisos específicos para aplicar el principio de privilegios mínimos. Revise y audite periódicamente estos roles para garantizar el cumplimiento de las directivas de seguridad. Para más información, visite Creación de usuarios en Azure Database for PostgreSQL.

Protección de los datos

La sección protección de datos se centra en proteger los datos en reposo confidenciales y en tránsito. Garantiza que los datos están cifrados, el acceso se controla y la información confidencial está protegida contra el acceso no autorizado. Destaca el uso del cifrado, las conexiones seguras y el enmascaramiento de datos para proteger la integridad y la confidencialidad de los datos.

Estos son algunos posibles servicios de seguridad, características y procedimientos recomendados para la sección de protección de datos:

Cifrado de los datos en tránsito

• Comprobación de las conexiones TLS: Azure PostgreSQL siempre usa SSL o TLS para cifrar los datos en tránsito entre la aplicación y la base de datos. Debe configurar la aplicación para comprobar el certificado usado, como la entidad de certificación raíz, los certificados expirados, la coincidencia de nombres de host y la revocación de certificados. Esta práctica ayuda a proteger la información confidencial frente a ataques de interceptación y ataques de intermediarios. Para más información, visite Conectividad segura con TLS y SSL en Azure Database for PostgreSQL.

• Asegúrese de que el cliente tiene instalados los certificados TLS más recientes: asegúrese de que las aplicaciones de cliente tengan instalados los certificados TLS más recientes para admitir conexiones seguras. Esta práctica ayuda a evitar errores de conexión y garantiza que la aplicación pueda establecer conexiones seguras con el servidor PostgreSQL. Para obtener más información, visite Descargar certificados de entidad de certificación raíz y actualizar clientes de aplicaciones.

• Requerir el uso de TLS 1.3: configure el servidor de PostgreSQL para requerir TLS 1.3 para todas las conexiones. Esta configuración garantiza que solo se use la versión más reciente y segura del protocolo, lo que proporciona una mejor seguridad y rendimiento. Para más información, visite Versiones de TLS.

Cifrado en reposo

• Los datos siempre se cifran de forma transparente en reposo con SMK: Azure Database for PostgreSQL cifra automáticamente los datos en reposo mediante claves administradas por el servicio (SMK). Este cifrado garantiza que los datos están protegidos sin necesidad de configuración adicional. Se basa en la infraestructura de almacenamiento de Azure subyacente. Abarca el servidor principal, las réplicas, la recuperación a un momento dado (PITR) y las copias de seguridad. Para más información, visite Cifrado de datos en Azure Database for PostgreSQL.

• Use claves administradas por el cliente para un control adicional: si necesita más control sobre las claves de cifrado, use claves administradas por el cliente (CMK) almacenadas en Azure Key Vault o Azure HSM. Esta opción le permite administrar las claves de cifrado y proporciona más opciones de seguridad y cumplimiento. Para más información, visite claves administradas por el cliente en Azure Database for PostgreSQL y Configuración del cifrado de datos en Azure Database for PostgreSQL.

• Configuración de la rotación automática de claves en KV o HSM administrado: si usa claves administradas por el cliente, configure la rotación automática de claves en Azure Key Vault para asegurarse de que las claves de cifrado se actualizan periódicamente. Azure Database for PostgreSQL admite actualizaciones automáticas de la versión de clave después de rotar una clave. Para más información, consulte Configuración de la autorrotación de claves en HSM administrado de Azure o Descripción de la autorrotación en Azure Key Vault para más detalles de Key Vault. Para obtener más información, visite Configuración del cifrado de datos con la clave administrada por el cliente durante el aprovisionamiento del servidor para obtener más información sobre cómo configurar la rotación automática de claves.

• Cifrado de datos ultraconfidenciales con cifrado del lado cliente: para datos ultraconfidenciales, considere la posibilidad de implementar el cifrado del lado cliente. Este enfoque implica cifrar los datos antes de enviarlos a la base de datos, lo que garantiza que solo los datos cifrados se almacenen en la base de datos. Esta práctica proporciona una capa más de seguridad, ya que la propia base de datos y, por tanto, el administrador de bases de datos no tiene acceso a los datos sin cifrar.

Proceso confidencial

Azure Confidential Computing (ACC) permite a las organizaciones procesar y colaborar de forma segura en datos confidenciales, como datos personales o información de salud protegida (PHI). ACC proporciona protección integrada contra el acceso no autorizado mediante la protección de datos en uso mediante entornos de ejecución de confianza (TEE).

• Los proveedores de SaaS y hosting consideran la posibilidad de configurar la informática confidencial: si es un proveedor de software como servicio (SaaS) o un proveedor de hosting y las cargas de trabajo de PostgreSQL implican el procesamiento de datos confidenciales, considere la posibilidad de usar la informática confidencial de Azure para proteger los datos en uso. Esta solución proporciona una mayor capa de seguridad asegurándose de que los datos se procesan en un entorno seguro, lo que impide el acceso no autorizado incluso a los usuarios con privilegios. Para más información, visite Informática confidencial de Azure para Azure Database for PostgreSQL para más información.

Enmascaramiento y reacción de datos

• Implementación del enmascaramiento de datos: use la extensión PostgreSQL Anonymizer para admitir:

• Volcados anónimos: exporte los datos enmascarados a un archivo SQL.

• Enmascaramiento estático: quite los datos personales según las reglas.

• Enmascaramiento dinámico: oculte los datos personales solo para los usuarios enmascarados.

• Vistas de enmascaramiento: cree vistas dedicadas para los usuarios enmascarados.

• Enmascaramiento de contenedores de datos: aplicar reglas de enmascaramiento en datos externos.

Registro y detección de amenazas

En la sección registro y detección de amenazas se tratan los controles para detectar amenazas en entornos de Azure. Abarca la habilitación, recopilación y almacenamiento de registros de auditoría para los servicios de Azure. Destaca el uso de funcionalidades de detección de amenazas nativas, administración centralizada de registros y retención de registros adecuada para investigaciones de seguridad y cumplimiento. Esta sección se centra en la generación de alertas de alta calidad, la centralización del análisis de seguridad a través de herramientas de Azure, el mantenimiento de la sincronización de tiempo precisa y la garantía de estrategias eficaces de retención de registros.

Estos son algunos posibles servicios de seguridad, características y procedimientos recomendados para la sección registro y detección de amenazas:

• Habilitar la recopilación de registros de diagnóstico: asegúrese de que el registro de diagnóstico está habilitado seleccionando el grupo de categorías "auditoría". Use Azure Policy para implementar:

• Directiva Habilitar el registro por grupo de categorías para PostgreSQL (microsoft.dbforpostgresql/flexibleservers) en Log Analytics

• Iniciativa Habilitación del registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Log Analytics

• Utilizar Microsoft Defender para bases de datos relacionales de código abierto: use Microsoft Defender para bases de datos relacionales de código abierto para mejorar la postura de seguridad de su instancia de servidor flexible de PostgreSQL. Este servicio proporciona protección contra amenazas avanzada, evaluaciones de vulnerabilidades y recomendaciones de seguridad adaptadas para bases de datos de código abierto. Para obtener más información, visite Información general de Microsoft Defender para bases de datos relacionadas de código abierto para obtener más información.

• Habilitar el registro de auditoría: configure el registro de auditoría para que PostgreSQL realice un seguimiento y registre las actividades de la base de datos mediante la extensión pgaudit. Para más información, visite Registro de auditoría en Azure Database for PostgreSQL para obtener más detalles.

Copia de seguridad y recuperación

La sección de copia de seguridad y recuperación se centra en garantizar que se realicen periódicamente copias de seguridad de los datos y las configuraciones de los servicios de Azure, estén protegidas y sean recuperables en casos de errores o desastres. Destaca la automatización de las copias de seguridad, la protección de los datos de copia de seguridad y la garantía de que los procesos de recuperación se prueban y validan para cumplir los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO). En la sección también se resalta la importancia de supervisar y auditar los procesos de copia de seguridad para garantizar el cumplimiento y la preparación. Para obtener información general, consulte Introducción a la continuidad empresarial con Azure Database for PostgreSQL.

Estos son algunos posibles servicios de seguridad, características y procedimientos recomendados para la sección de detección de copia de seguridad y recuperación:

• Usar alta disponibilidad: implemente configuraciones de alta disponibilidad (HA) para la instancia de servidor flexible de PostgreSQL para minimizar el tiempo de inactividad y garantizar el acceso continuo a la base de datos. Para más información, visite Alta disponibilidad (confiabilidad) en Azure Database for PostgreSQL y Configuración de la alta disponibilidad.

• Configuración de copias de seguridad automatizadas: Azure Database for PostgreSQL realiza automáticamente copias de seguridad diarias de los archivos de base de datos y realiza copias de seguridad continuas de los registros de transacciones. Puede conservar las copias de seguridad de siete días hasta 35 días. Puede restaurar el servidor de bases de datos a cualquier momento en el período de retención de copia de seguridad. El RTO depende del tamaño de los datos que se van a restaurar y del tiempo para realizar la recuperación del registro. Puede oscilar entre unos minutos y 12 horas. Para más información, visite Copia de seguridad y restauración en Azure Database for PostgreSQL.

• Configurar réplicas de lectura: use las réplicas de lectura para descargar las operaciones de lectura desde el servidor principal, lo que mejora el rendimiento y la disponibilidad. También puede usar réplicas de lectura para escenarios de recuperación ante desastres, lo que le permite cambiar rápidamente a una réplica con un error de servidor principal. Para más información, visite Réplicas de lectura en Azure Database for PostgreSQL.

• Proteger los datos de copia de seguridad con cifrado de claves administradas por el cliente: proteja los datos de copia de seguridad mediante el cifrado en reposo.

Contenido relacionado

• Línea base de seguridad de Azure para Azure Database for PostgreSQL