Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
APLICA-SE A:
Azure Cosmos DB para PostgreSQL (que possui a extensão de banco de dados Citus para PostgreSQL)
Esta página descreve as várias camadas de segurança disponíveis para proteger os dados no cluster.
Proteção e encriptação de informações
Em trânsito
Sempre que os dados são ingeridos em um nó, o Azure Cosmos DB para PostgreSQL protege seus dados criptografando-os em trânsito com o Transport Layer Security (TLS) 1.2 ou superior. A encriptação (SSL/TLS) é sempre imposta e não pode ser desativada.
A versão mínima do TLS necessária para se conectar ao cluster pode ser imposta definindo ssl_min_protocol_version parâmetro coordenador e nó de trabalho como TLSV1.2 ou TLSV1.3 para TLS 1.2 ou TLS 1.3, respectivamente.
Em repouso
O serviço Azure Cosmos DB para PostgreSQL usa o módulo criptográfico validado FIPS 140-2 para criptografia de armazenamento de dados em repouso. Os dados, incluindo backups, são criptografados no disco, incluindo os arquivos temporários criados durante a execução de consultas. O serviço usa a cifra AES de 256 bits incluída na criptografia de armazenamento do Azure e as chaves são gerenciadas pelo sistema. A criptografia de armazenamento está sempre ativada e não pode ser desativada.
Segurança da rede
O Azure Cosmos DB para PostgreSQL suporta três opções de rede:
- Sem acesso
- Esse é o padrão para um cluster recém-criado se o acesso público ou privado não estiver habilitado. Nenhum computador, dentro ou fora do Azure, pode se conectar aos nós do banco de dados.
- Acesso do público
- Um endereço IP público é atribuído ao nó coordenador.
- O acesso aos nós coordenadores é protegido por firewall.
- Opcionalmente, o acesso a todos os nós de trabalho pode ser ativado. Nesse caso, os endereços IP públicos são atribuídos aos nós de trabalho e são protegidos pelo mesmo firewall.
- Acesso privado
- Apenas endereços IP privados são atribuídos aos nós do cluster.
- Cada nó requer um ponto de extremidade privado para permitir que os hosts na rede virtual selecionada acessem esses nós.
- Os recursos de segurança das redes virtuais do Azure, como grupos de segurança de rede, podem ser usados para controle de acesso.
Ao criar um cluster, você pode habilitar o acesso público ou privado ou optar pelo padrão de nenhum acesso. Depois que o cluster for criado, você poderá optar por alternar entre acesso público ou privado ou ativá-los ambos de uma só vez.
Limites e limitações
Consulte a página de limites e limitações do Azure Cosmos DB para PostgreSQL.
Próximos passos
- Saiba como ativar e gerir o acesso privado
- Saiba mais sobre endpoints privados
- Saiba mais sobre redes virtuais
- Saiba mais sobre zonas DNS privadas