Azure Cosmos DB for PostgreSQL のセキュリティ

適用対象: Azure Cosmos DB for PostgreSQL (PostgreSQL の Citus データベース拡張機能を利用)

このページでは、クラスターのデータ保護に利用できる複数のセキュリティ層について説明します。

情報の保護と暗号化

転送中のデータ

データがノードに取り込まれるときは常に、Azure Cosmos DB for PostgreSQL では、トランスポート層セキュリティ (TLS) 1.2 以降で転送中のデータを暗号化することでデータが保護されます。 暗号化 (SSL/TLS) は常に適用され、無効にできません。

クラスターへの接続に必要な最小 TLS バージョンは、TLS 1.2 または TLS 1.3 用にそれぞれ、ssl_min_protocol_version コーディネーターおよびワーカー ノード パラメーターを TLSV1.2 または TLSV1.3 に設定することで強制的に適用される場合があります。

保存中

Azure Cosmos DB for PostgreSQL サービスでは、保存データのストレージ暗号化に FIPS 140-2 認証済みの暗号モジュールが使用されます。 データ (バックアップを含む) は、クエリの実行中に作成される一時ファイルも含めて、ディスク上で暗号化されます。 このサービスでは、Azure ストレージ暗号化に含まれる AES 256 ビット暗号が使用され、キーはシステムによって管理されます。 ストレージの暗号化は常にオンになっており、無効にできません。

ネットワークのセキュリティ

Azure Cosmos DB for PostgreSQL では、次の 3 つのネットワーク オプションに対応しています。

• アクセス権なし
  • これは、パブリックまたはプライベート アクセスが有効になっていない場合に、新しく作成されるクラスターの既定値です。 Azure の内部でも外部でも、データベース ノードに接続できるコンピューターはありません。
• パブリック アクセス権
  • コーディネーター ノードには、パブリック IP アドレスが割り当てられます。
  • コーディネーターノードへのアクセスは、ファイアウォールによって保護されています。
  • 必要に応じて、すべてのワーカー ノードへのアクセスを有効にすることができます。 この場合、パブリック IP アドレスはワーカー ノードに割り当てられ、同じファイアウォールによって保護されます。
• プライベート アクセス
  • クラスターのノードには、プライベート IP アドレスのみが割り当てられます。
  • 各ノードには、選択した仮想ネットワーク内のホストがノードにアクセスできるように、プライベート エンドポイントが必要です。
  • ネットワーク セキュリティ グループなどの Azure 仮想ネットワークのセキュリティ機能は、アクセス制御に使用できます。

クラスターを作成する場合は、パブリックまたはプライベート アクセスを有効にするか、既定の [アクセスなし] を選択することができます。 クラスターを作成したら、パブリック アクセスとプライベート アクセスの切り替えを選択するか、両方とも一度にアクティブ化することができます。

制限と制限事項

Azure Cosmos DB for PostgreSQL 制限と制限事項ページをご覧ください。

次のステップ

• プライベート アクセスを有効にし、管理する方法を学習する
• プライベート エンドポイントについて学習する
• 仮想ネットワークについて学習する
• プライベート DNS ゾーンについて学習する