Beveiliging in Azure Cosmos DB for PostgreSQL
VAN TOEPASSING OP: Azure Cosmos DB for PostgreSQL (mogelijk gemaakt door de Citus-database-extensie naar PostgreSQL)
Op deze pagina worden de meerdere beveiligingslagen beschreven die beschikbaar zijn om de gegevens in uw cluster te beveiligen.
Gegevensbeveiliging en -versleuteling
In transit
Wanneer gegevens worden opgenomen in een knooppunt, beveiligt Azure Cosmos DB for PostgreSQL uw gegevens door deze in transit te versleutelen met TLS 1.2 (Transport Layer Security) 1.2 of hoger. Versleuteling (SSL/TLS) wordt altijd afgedwongen en kan niet worden uitgeschakeld.
De minimale TLS-versie die is vereist om verbinding te maken met het cluster, kan worden afgedwongen door respectievelijk ssl_min_protocol_version coördinator en werkknooppuntparameter in te stellen op TLSV1.2 of TLSV1.3 voor TLS 1.2 of TLS 1.3.
Inactief
De Azure Cosmos DB for PostgreSQL-service maakt gebruik van de door FIPS 140-2 gevalideerde cryptografische module voor opslagversleuteling van data-at-rest. Gegevens, inclusief back-ups, worden versleuteld op schijf, inclusief de tijdelijke bestanden die zijn gemaakt tijdens het uitvoeren van query's. De service maakt gebruik van de AES 256-bits codering die is opgenomen in Azure Storage-versleuteling en de sleutels worden door het systeem beheerd. Opslagversleuteling is altijd ingeschakeld en kan niet worden uitgeschakeld.
Netwerkbeveiliging
Azure Cosmos DB for PostgreSQL ondersteunt drie netwerkopties:
- Geen toegang
- Dit is de standaardinstelling voor een nieuw gemaakt cluster als openbare of persoonlijke toegang niet is ingeschakeld. Geen computers, binnen of buiten Azure, kunnen verbinding maken met de databaseknooppunten.
- Openbare toegang
- Er wordt een openbaar IP-adres toegewezen aan het coördinatorknooppunt.
- De toegang tot het coördinatorknooppunt wordt beveiligd door de firewall.
- Optioneel kan toegang tot alle werkknooppunten worden ingeschakeld. In dit geval worden openbare IP-adressen toegewezen aan de werkknooppunten en worden beveiligd door dezelfde firewall.
- Privétoegang
- Alleen privé-IP-adressen worden toegewezen aan de knooppunten van het cluster.
- Elk knooppunt vereist een privé-eindpunt om hosts in het geselecteerde virtuele netwerk toegang te geven tot de knooppunten.
- Beveiligingsfuncties van virtuele Azure-netwerken, zoals netwerkbeveiligingsgroepen, kunnen worden gebruikt voor toegangsbeheer.
Wanneer u een cluster maakt, kunt u openbare of persoonlijke toegang inschakelen of kiezen voor de standaardinstelling van geen toegang. Zodra het cluster is gemaakt, kunt u ervoor kiezen om te schakelen tussen openbare of persoonlijke toegang of om ze beide tegelijk te activeren.
Limieten en beperkingen
Zie de pagina Limieten en beperkingen van Azure Cosmos DB for PostgreSQL.
Volgende stappen
- Meer informatie over het inschakelen en beheren van privétoegang
- Meer informatie over privé-eindpunten
- Meer informatie over virtuele netwerken
- Meer informatie over privé-DNS-zones