Segurança no Azure Cosmos DB for PostgreSQL
APLICA-SE AO: Azure Cosmos DB for PostgreSQL (da plataforma da extensão de dados Citus para PostgreSQL)
Esta página descreve as várias camadas de segurança disponíveis para proteger os dados em seu cluster.
Proteção e criptografia de informações
Em trânsito
Sempre que dados são ingeridos em um nó, o Azure Cosmos DB for PostgreSQL protege esses dados ao criptografá-los em trânsito com o protocolo TLS 1.2 ou superior. A criptografia (SSL/TLS) é sempre imposta e não pode ser desabilitada.
A versão mínima do TLS necessária para uma conexão com o cluster pode ser implementada pela configuração do parâmetro de nó de coordenador e trabalho ssl_min_protocol_version como TLSV1.2 ou TLSV1.3, para o TLS 1.2 ou o TLS 1.3, respectivamente.
Em repouso
O serviço Azure Cosmos DB for PostgreSQL usa o módulo de criptografia validado por FIPS 140-2 para criptografia de armazenamento de dados em repouso. Os dados, incluindo backups, são criptografados no disco, assim como os arquivos temporários criados durante a execução de consultas. O serviço usa a criptografia AES de 256 bits incluída na criptografia de armazenamento do Azure e as chaves são gerenciadas pelo sistema. A criptografia de armazenamento está sempre habilitada e não pode ser desabilitada.
Segurança de rede
O Azure Cosmos DB for PostgreSQL dá suporte a três opções de rede:
- Sem acesso
- Esse será o padrão para um cluster recém-criado se o acesso público ou privado não estiver habilitado. Nenhum computador, dentro ou fora do Azure, pode se conectar aos nós de banco de dados.
- Acesso público
- Um endereço IP público é atribuído ao nó coordenador.
- O acesso ao nó coordenador é protegido por firewall.
- Opcionalmente, o acesso a todos os nós de trabalho pode ser habilitado. Nesse caso, os endereços IP públicos são atribuídos aos nós de trabalho e são protegidos pelo mesmo firewall.
- Acesso particular
- Somente endereços IP privados são atribuídos aos nós do cluster.
- Cada nó requer um ponto de extremidade privado para permitir que os hosts na rede virtual selecionada acessem os nós.
- Os recursos de segurança de redes virtuais do Azure, como grupos de segurança de rede, podem ser usados para controle de acesso.
Ao criar um cluster, é possível habilitar o acesso público ou privado ou optar pelo padrão: nenhum acesso. Depois de criar o cluster, será possível optar por alternar entre o acesso público ou privado ou ativar ambos.
Limites e limitações
Confira a página Limites e limitações do Azure Cosmos DB for PostgreSQL.
Próximas etapas
- Saiba como habilitar e gerenciar o acesso privado
- Saiba mais sobre pontos de extremidade privados
- Saiba mais sobre as redes virtuais
- Saiba mais sobre as zonas DNS privadas