PostgreSQL-suojauksen Azure-tietokannan kuvaus

  • 3 minuuttia

PostgreSQL:n Azure-tietokanta käyttää useita suojauskerroksia tietojen suojaamiseen. Näitä kerroksia ovat esimerkiksi seuraavat:

  • Tietojen salaus
  • Verkon suojaus
  • Käyttöoikeuksien hallinta

Tietojen salaus

PostgreSQL:n Azure-tietokanta salaa siirrossa ja levossa olevat tiedot. Tätä aihetta käsitellään osiossa 5.

Verkon suojaus

PostgreSQL:n joustavan palvelimen Azure-tietokanta tarjoaa kaksi verkkovaihtoehtoa:

  • Yksityisen käytön. Voit luoda palvelimesi Azure-näennäisverkossa yksityisellä verkkoviestinnällä ja yksityisillä IP-osoitteilla. Verkon käyttöoikeusryhmien suojaussääntöjen avulla voit suodattaa näennäisverkko-aliverkkoihin ja verkkoliittymisiin virtaavan verkkoliikenteen tyypin.
  • Julkinen saatavuus. Palvelinta voidaan käyttää julkisen päätepisteen kautta julkisesti ratkaistulla DNS-osoitteella (toimialueen nimijärjestelmä). Palomuuri estää oletusarvoisesti kaiken käytön. Voit luoda IP-palomuurisääntöjä, joiden avulla voit myöntää käyttöoikeuksia palvelimille kunkin pyynnön alkuperän IP-osoitteen perusteella.

Muistiinpano

Kun luot joustavan Azure-tietokannan PostgreSQL-palvelimelle, valitset joko yksityisen käyttöoikeuden tai julkisen käytön. Kun palvelin on luotu, et voi muuttaa verkkoasetustasi.

Molemmat asetukset hallitsevat käyttöoikeuksia palvelintasolla, ei tietokanta- tai taulukkotasolla. PostgreSQL-roolien avulla voit myöntää tai estää tietokannan, taulukon ja muiden objektien käytön.

Hallitset myös palvelimen käyttöä luomalla palomuurisääntöjä, jotka sallivat yhteydet vain tunnetuista IP-osoitealueista.

Käyttöoikeuksien hallinta

Kun luot Azure-tietokannan PostgreSQL-palvelimelle, luot myös järjestelmänvalvojatilin. Tämän järjestelmänvalvojatilin avulla voidaan luoda enemmän PostgreSQL-rooleja. Rooli on tietokannan käyttäjä tai käyttäjäryhmä. PostgreSQL-palvelimen Azure-tietokannan käyttöoikeus todennetaan käyttäjänimellä, salasanalla ja roolille myönnetyillä tai kielletyillä käyttöoikeuksilla.

SCRAM-todentaminen

Useimmat PostgreSQL-palvelimen Azure-tietokannan käyttöoikeudet perustuvat salasanoihin. On kuitenkin mahdollista käyttää SCRAM-todennusta, suojattua salasanan todennusprotokollaa, joka voi todentaa asiakkaan paljastamatta käyttäjän cleartext-salasanaa palvelimelle. Salted Challenge Response Authentication Mechanism (SCRAM) on suunniteltu vaikeuttamaan keskitason hyökkäyksiä.

Salasanan salauksen määrittäminen:

  1. Siirry Azure-portaalissa Joustavan PostgreSQL-palvelimen Azure-tietokantaan ja valitse Asetukset-kohdasta Server-parametrit.
  2. Kirjoita hakupalkkiin password_encryption. Salausta hallitaan kahdella parametrilla: molemmat oletusarvoista oletusarvoa SCRAM-SHA-256:
    • password_encryption
    • azure.accepted_password_auth_method

.