Link privado para o Banco de Dados do Azure para servidor único PostgreSQL

  • Artigo

APLICA-SE A: Banco de Dados do Azure para PostgreSQL - Servidor Único

Importante

O Banco de Dados do Azure para PostgreSQL - Servidor Único está no caminho da desativação. É altamente recomendável que você atualize para o Banco de Dados do Azure para PostgreSQL - Servidor Flexível. Para obter mais informações sobre como migrar para o Banco de Dados do Azure para PostgreSQL - Servidor Flexível, consulte O que está acontecendo com o Banco de Dados do Azure para Servidor Único PostgreSQL?.

O Private Link permite-lhe criar pontos finais privados para a Base de Dados do Azure para PostgreSQL – Servidor único para o colocar dentro da sua Rede Virtual (VNet). O ponto final privado expõe um IP privado numa sub-rede que pode utilizar para ligar ao servidor de bases de dados, tal como qualquer outro recurso na VNet.

Para obter uma lista dos serviços PaaS que suportam a funcionalidade Private Link, consulte a documentação do Private Link. Um ponto final privado é um endereço IP privado numa VNet e Sub-rede específicas.

Nota

O recurso de link privado só está disponível para o Banco de Dados do Azure para servidores PostgreSQL nas camadas de preços de Uso Geral ou Memória Otimizada. Verifique se o servidor de banco de dados está em uma dessas camadas de preços.

Data exfiltration prevention (Prevenção da transferência de dados não autorizada)

Ex-filtração de dados no Banco de Dados do Azure para PostgreSQL Servidor único é quando um usuário autorizado, como um administrador de banco de dados, é capaz de extrair dados de um sistema e movê-los para outro local ou sistema fora da organização. Por exemplo, o usuário move os dados para uma conta de armazenamento de propriedade de terceiros.

Considere um cenário com um usuário executando PGAdmin dentro de uma Máquina Virtual (VM) do Azure que está se conectando a um Banco de Dados do Azure para PostgreSQL Servidor único provisionado no oeste dos EUA. O exemplo abaixo mostra como limitar o acesso com pontos de extremidade públicos no Banco de Dados do Azure para servidor único PostgreSQL usando controles de acesso à rede.

  • Desabilite todo o tráfego do serviço do Azure para o Banco de Dados do Azure para PostgreSQL Servidor único por meio do ponto de extremidade público definindo Permitir que os Serviços do Azure OFF. Certifique-se de que nenhum endereço IP ou intervalo tenha permissão para acessar o servidor por meio de regras de firewall ou pontos de extremidade de serviço de rede virtual.

  • Permita apenas o tráfego para o Banco de Dados do Azure para o servidor único PostgreSQL usando o endereço IP privado da VM. Para obter mais informações, consulte os artigos sobre Service Endpoint e regras de firewall VNet.

  • Na VM do Azure, restrinja o escopo da conexão de saída usando NSGs (Grupos de Segurança de Rede) e Marcas de Serviço da seguinte maneira

    • Especifique uma regra NSG para permitir tráfego para Service Tag = SQL. WestUS - permitindo apenas a conexão com o Banco de Dados do Azure para PostgreSQL Servidor único no oeste dos EUA
    • Especifique uma regra NSG (com prioridade mais alta) para negar tráfego para Service Tag = SQL - negando conexões com o Banco de Dados PostgreSQL em todas as regiões

No final desta configuração, a VM do Azure pode se conectar somente ao Banco de Dados do Azure para servidor único PostgreSQL na região Oeste dos EUA. No entanto, a conectividade não está restrita a um único Banco de Dados do Azure para servidor único PostgreSQL. A VM ainda pode se conectar a qualquer Banco de Dados do Azure para PostgreSQL Servidor único na região Oeste dos EUA, incluindo os bancos de dados que não fazem parte da assinatura. Embora tenhamos reduzido o escopo da exfiltração de dados no cenário acima para uma região específica, não o eliminamos completamente.

Com o Private Link, agora você pode configurar controles de acesso à rede, como NSGs, para restringir o acesso ao ponto de extremidade privado. Os recursos individuais de PaaS do Azure são mapeados para pontos de extremidade privados específicos. Um insider mal-intencionado só pode acessar o recurso PaaS mapeado (por exemplo, um Banco de Dados do Azure para servidor único PostgreSQL) e nenhum outro recurso.

Conectividade no local em peering privado

Quando você se conecta ao ponto de extremidade público a partir de máquinas locais, seu endereço IP precisa ser adicionado ao firewall baseado em IP usando uma regra de firewall no nível do servidor. Embora esse modelo funcione bem para permitir o acesso a máquinas individuais para cargas de trabalho de desenvolvimento ou teste, é difícil de gerenciar em um ambiente de produção.

Com o Private Link, você pode habilitar o acesso entre locais ao ponto de extremidade privado usando a Rota Expressa (ER), emparelhamento privado ou túnel VPN. Eles podem posteriormente desativar todo o acesso via ponto final público e não usar o firewall baseado em IP.

Nota

Em alguns casos, o Banco de Dados do Azure para PostgreSQL e a sub-rede VNet estão em assinaturas diferentes. Nesses casos, você deve garantir as seguintes configurações:

  • Certifique-se de que ambas as assinaturas tenham o provedor de recursos Microsoft.DBforPostgreSQL registrado.

Processo de Criação

Os pontos de extremidade privados são necessários para habilitar o Private Link. Isso pode ser feito usando os seguintes guias de instruções.

Processo de aprovação

Depois que o administrador de rede cria o ponto de extremidade privado (PE), o administrador do PostgreSQL pode gerenciar a Conexão de ponto de extremidade privado (PEC) com o Banco de Dados do Azure para PostgreSQL. Essa separação de tarefas entre o administrador de rede e o DBA é útil para o gerenciamento do Banco de Dados do Azure para conectividade PostgreSQL.

  • Navegue até o recurso de servidor Banco de Dados do Azure para PostgreSQL no portal do Azure.
    • Selecione as conexões de ponto de extremidade privado no painel esquerdo
    • Mostra uma lista de todas as conexões de ponto de extremidade privadas (PECs)
    • Ponto de extremidade privado (PE) correspondente criado

Selecione o Portal de Ponto Final Privado

  • Selecione um PEC individual na lista selecionando-o.

Selecione o ponto de extremidade privado pendente de aprovação

  • O administrador do servidor PostgreSQL pode optar por aprovar ou rejeitar um PEC e, opcionalmente, adicionar uma resposta de texto curto.

Selecione a mensagem de ponto de extremidade privado

  • Após a aprovação ou rejeição, a lista refletirá o estado apropriado juntamente com o texto da resposta

Selecione o estado final do ponto de extremidade privado

Os clientes podem se conectar ao ponto de extremidade privado a partir da mesma VNet, VNet emparelhada na mesma região ou entre regiões, ou via conexão VNet-to-VNet entre regiões. Além disso, os clientes podem se conectar localmente usando a Rota Expressa, emparelhamento privado ou túnel VPN. Abaixo está um diagrama simplificado mostrando os casos de uso comuns.

Selecione a visão geral do ponto de extremidade privado

Conectando-se a partir de uma VM do Azure na Rede Virtual Emparelhada (VNet)

Configure o emparelhamento de VNet para estabelecer conectividade com o Banco de Dados do Azure para PostgreSQL - Servidor único de uma VM do Azure em uma VNet emparelhada.

Conectando-se de uma VM do Azure no ambiente VNet-to-VNet

Configure a conexão de gateway VPN VNet-to-VNet para estabelecer conectividade com um Banco de Dados do Azure para PostgreSQL - Servidor único de uma VM do Azure em uma região ou assinatura diferente.

Ligar a partir de um ambiente no local por VPN

Para estabelecer a conectividade de um ambiente local com o Banco de Dados do Azure para PostgreSQL - Servidor único, escolha e implemente uma das opções:

As seguintes situações e resultados são possíveis quando você usa o Private Link em combinação com regras de firewall:

  • Se você não configurar nenhuma regra de firewall, por padrão, nenhum tráfego poderá acessar o Banco de Dados do Azure para servidor único PostgreSQL.

  • Se você configurar o tráfego público ou um ponto de extremidade de serviço e criar pontos de extremidade privados, diferentes tipos de tráfego de entrada serão autorizados pelo tipo correspondente de regra de firewall.

  • Se você não configurar nenhum ponto de extremidade de serviço ou tráfego público e criar pontos de extremidade privados, o Banco de Dados do Azure para PostgreSQL Servidor único estará acessível somente por meio dos pontos de extremidade privados. Se você não configurar o tráfego público ou um ponto de extremidade de serviço, depois que todos os pontos de extremidade privados aprovados forem rejeitados ou excluídos, nenhum tráfego poderá acessar o Banco de Dados do Azure para o servidor único PostgreSQL.

Negar acesso público ao Banco de Dados do Azure para PostgreSQL Servidor único

Se você quiser confiar apenas em pontos de extremidade privados para acessar seu Banco de Dados do Azure para servidor único PostgreSQL, poderá desabilitar a configuração de todos os pontos de extremidade públicos (regras de firewall e pontos de extremidade de serviço VNet) definindo a configuração Negar Acesso à Rede Pública no servidor de banco de dados.

Quando essa configuração é definida como SIM, somente conexões por meio de pontos de extremidade privados são permitidas ao seu Banco de Dados do Azure para PostgreSQL. Quando essa configuração é definida como NO , os clientes podem se conectar ao Banco de Dados do Azure para PostgreSQL com base na configuração de ponto de extremidade do firewall ou do serviço VNet. Além disso, uma vez definido o valor do acesso à rede privada, os clientes não podem adicionar e/ou atualizar as 'Regras de firewall' e as 'Regras de ponto de extremidade do serviço VNet' existentes.

Nota

Esta funcionalidade está disponível em todas as regiões do Azure onde a Base de Dados do Azure para PostgreSQL - Servidor único suporta níveis de preços de Finalidade Geral e Memória Otimizada.

Essa configuração não tem nenhum impacto nas configurações de SSL e TLS para seu Banco de Dados do Azure para servidor único PostgreSQL.

Para saber como definir o Negar Acesso à Rede Pública para seu Banco de Dados do Azure para servidor único PostgreSQL do portal do Azure, consulte Como configurar Negar Acesso à Rede Pública.

Conteúdos relacionados

Para saber mais sobre os recursos de segurança do Banco de Dados do Azure para PostgreSQL de servidor único, consulte os seguintes artigos: