Segurança no Banco de Dados do Azure para PostgreSQL – Servidor Único

  • Artigo

APLICA-SE A: Banco de Dados do Azure para PostgreSQL – Servidor Único

Importante

O Banco de Dados do Azure para PostgreSQL – Servidor Único está prestes a ser desativado. É altamente recomendável atualizar para o Banco de Dados do Azure para PostgreSQL – Servidor Flexível. Para obter mais informações sobre a migração para o Banco de Dados do Azure para PostgreSQL - Servidor Flexível, confira O que está acontecendo com o Banco de Dados do Azure para PostgreSQL Servidor Único?.

Há várias camadas de segurança disponíveis para proteger os dados em seu servidor do Banco de Dados do Azure para PostgreSQL. Este artigo descreve essas opções de segurança.

Proteção e criptografia de informações

Em trânsito

O Banco de Dados do Azure para PostgreSQL protege seus dados criptografando os dados em trânsito com o protocolo TLS. A criptografia (SSL/TLS) é imposta por padrão.

Em repouso

O serviço Banco de Dados do Azure para PostgreSQL usa o módulo de criptografia validado por FIPS 140-2 para criptografia de armazenamento de dados em repouso. Os dados, incluindo backups, são criptografados no disco, assim como os arquivos temporários criados durante a execução de consultas. O serviço usa a criptografia AES de 256 bits incluída na criptografia de armazenamento do Azure e as chaves são gerenciadas pelo sistema. A criptografia de armazenamento está sempre ativada e não pode ser desabilitada.

Segurança de rede

As conexões com um servidor de Banco de Dados do Azure para PostgreSQL são encaminhadas primeiro por um gateway regional. O gateway tem um IP acessível publicamente, enquanto os endereços IP do servidor são protegidos. Para saber mais sobre o gateway, confira o artigo sobre arquitetura de conectividade.

Um servidor de Banco de Dados do Azure para PostgreSQL criado recentemente tem um firewall que bloqueia todas as conexões externas. Embora atinjam o gateway, elas não têm permissão para se conectar ao servidor.

Regras de firewall de IP

As regras de firewall de IP permitem acesso ao servidor com base no endereço IP de origem de cada solicitação. Confira a visão geral das regras de firewall para obter mais informações.

Regras de firewall de rede virtual

Os pontos de extremidade de serviço de rede virtual estendem sua conectividade de rede virtual no backbone do Azure. Usando regras de rede virtual, você pode habilitar seu Banco de Dados do Azure para PostgreSQL para permitir conexões de sub-redes selecionadas em uma rede virtual. Para saber mais, confira a visão geral do ponto de extremidade de serviço de rede virtual.

IP Privado

O Link Privado permite que você se conecte ao seu Banco de Dados do Azure para PostgreSQL (Servidor único) no Azure por meio de um ponto de extremidade privado. O Link Privado do Azure essencialmente traz os serviços do Azure dentro de sua VNet (Rede Virtual privada). Os recursos de PaaS podem ser acessados usando o endereço IP privado, assim como qualquer outro recurso na VNet. Para saber mais, confira visão geral do link privado

Gerenciamento de acesso

Ao criar o servidor do Banco de Dados do Azure para PostgreSQL, você fornece credenciais para uma função de administrador. Tal administrador pode ser usado para criar funções adicionais do PostgreSQL.

Você também pode se conectar ao servidor usando a autenticação do Microsoft Entra.

Proteção contra ameaças

Você pode aceitar a Proteção Avançada contra Ameaças que detecta atividades anômalas, indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar os servidores.

O log de auditoria está disponível para acompanhar a atividade em seus bancos de dados.

Migrar da Oracle

O Oracle dá suporte a TDE (Transparent Data Encryption) para criptografar dados de tabela e de espaço de tabela. No Azure para PostgreSQL, os dados são criptografados automaticamente em várias camadas. Confira a seção "Em repouso" nesta página e também vários tópicos de segurança, incluindo Chaves gerenciadas pelo cliente e Criptografia dupla de infraestrutura. Você também pode considerar o uso da extensão pgcrypto, que tem suporte no Azure para PostgreSQL.

Próximas etapas