Sécurité dans Azure Cosmos DB for PostgreSQL

  • Article

S’APPLIQUE À : Azure Cosmos DB for PostgreSQL (avec l’extension de base de données Citus pour PostgreSQL)

Cette page décrit les différentes couches de sécurité disponibles pour protéger les données de votre cluster.

Protection et chiffrement des informations

En transit

Chaque fois que les données sont ingérées dans un nœud, Azure Cosmos DB for PostgreSQL sécurise vos données en les chiffrant en transit avec Transport Layer Security 1.2. Le chiffrement (SSL/TLS) est toujours appliqué et ne peut pas être désactivé.

Au repos

Le service Azure Cosmos DB for PostgreSQL utilise le module de chiffrement conforme à la norme FIPS 140-2 pour chiffrer le stockage des données au repos. Toutes les données, notamment les sauvegardes, sont chiffrées sur le disque, y compris les fichiers temporaires créés durant l’exécution des requêtes. Le service utilise le chiffrement AES 256 bits inclus dans le chiffrement de stockage Azure, et les clés sont gérées par le système. Le chiffrement de stockage est toujours activé et ne peut pas être désactivé.

Sécurité du réseau

Azure Cosmos DB for PostgreSQL prend en charge trois options de mise en réseau :

  • Aucun accès
    • Il s’agit de la valeur par défaut d’un cluster qui vient d’être créé si l’accès public ou privé n’est pas activé. Aucun ordinateur (que ce soit à l’intérieur ou à l’extérieur d’Azure) ne peut se connecter aux nœuds de base de données.
  • Accès public
    • Une adresse IP publique est affectée au nœud coordinateur.
    • L’accès au nœud coordinateur est protégé par un pare-feu.
    • En option, l’accès à tous les nœuds Worker peut être activé. Dans ce cas, les adresses IP publiques sont attribuées aux nœuds Worker et sont sécurisées par le même pare-feu.
  • Accès privé
    • Seules des adresses IP privées sont affectées aux nœuds du cluster.
    • Chaque nœud nécessite un point de terminaison privé pour permettre aux hôtes du réseau virtuel sélectionné d’accéder aux nœuds.
    • Les fonctionnalités de sécurité des réseaux virtuels Azure, tels que les groupes de sécurité réseau, peuvent être utilisées pour le contrôle d’accès.

Lorsque vous créez un cluster, vous pouvez autoriser l’accès public ou privé, ou opter pour la valeur par défaut (aucun accès). Une fois le cluster créé, vous pouvez choisir de basculer entre l’accès public ou privé, ou de les activer tous les deux en même temps.

Limites et limitations

Consultez la page des limites et limitations d’Azure Cosmos DB for PostgreSQL.

Étapes suivantes