Zabezpieczenia w usłudze Azure Cosmos DB for PostgreSQL
DOTYCZY: 
Usługa Azure Cosmos DB for PostgreSQL (obsługiwana przez rozszerzenie bazy danych Citus do bazy danych PostgreSQL)
Na tej stronie przedstawiono wiele warstw zabezpieczeń dostępnych do ochrony danych w klastrze.
Ochrona informacji i ich przechowywanie
W trakcie przesyłania
Za każdym razem, gdy dane są pozyskiwane do węzła, usługa Azure Cosmos DB for PostgreSQL zabezpiecza dane, szyfrując je podczas przesyłania przy użyciu protokołu Transport Layer Security (TLS) 1.2 lub nowszego. Szyfrowanie (SSL/TLS) jest zawsze wymuszane i nie można go wyłączyć.
Minimalna wersja protokołu TLS wymagana do nawiązania połączenia z klastrem może być wymuszana przez ustawienie parametru ssl_min_protocol_version koordynatora i węzła procesu roboczego na wartość TLSV1.2 lub TLSV1.3 odpowiednio dla protokołu TLS 1.2 lub TLS 1.3.
Magazynowanie
Usługa Azure Cosmos DB for PostgreSQL używa zweryfikowanego modułu kryptograficznego FIPS 140-2 do szyfrowania danych magazynowanych. Dane, w tym kopie zapasowe, są szyfrowane na dysku, w tym pliki tymczasowe utworzone podczas uruchamiania zapytań. Usługa używa 256-bitowego szyfru AES zawartego w szyfrowaniu usługi Azure Storage, a klucze są zarządzane przez system. Szyfrowanie magazynu jest zawsze włączone i nie można go wyłączyć.
Bezpieczeństwo sieci
Usługa Azure Cosmos DB for PostgreSQL obsługuje trzy opcje sieciowe:
- Brak dostępu
- Jest to ustawienie domyślne dla nowo utworzonego klastra, jeśli nie jest włączony dostęp publiczny lub prywatny. Żadne komputery, niezależnie od tego, czy znajdują się na platformie Azure, czy poza nią, mogą łączyć się z węzłami bazy danych.
- Dostęp publiczny
- Publiczny adres IP jest przypisywany do węzła koordynatora.
- Dostęp do węzła koordynatora jest chroniony przez zaporę.
- Opcjonalnie można włączyć dostęp do wszystkich węzłów procesu roboczego. W takim przypadku publiczne adresy IP są przypisywane do węzłów procesu roboczego i są zabezpieczone przez tę samą zaporę.
- Dostęp prywatny
- Tylko prywatne adresy IP są przypisywane do węzłów klastra.
- Każdy węzeł wymaga prywatnego punktu końcowego, aby zezwolić hostom w wybranej sieci wirtualnej na dostęp do węzłów.
- Funkcje zabezpieczeń sieci wirtualnych platformy Azure, takie jak sieciowe grupy zabezpieczeń, mogą służyć do kontroli dostępu.
Podczas tworzenia klastra możesz włączyć dostęp publiczny lub prywatny albo wybrać ustawienie domyślne braku dostępu. Po utworzeniu klastra można przełączać się między dostępem publicznym lub prywatnym albo aktywować je jednocześnie.
Limity i ograniczenia
Zobacz stronę Limity i ograniczenia usługi Azure Cosmos DB for PostgreSQL.
Następne kroki
- Dowiedz się, jak włączyć dostęp prywatny i zarządzać nim
- Dowiedz się więcej o prywatnych punktach końcowych
- Dowiedz się więcej o sieciach wirtualnych
- Dowiedz się więcej o prywatnych strefach DNS
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla