Descrever o Banco de Dados do Azure para segurança do PostgreSQL

  • 3 minutos

O Banco de Dados do Azure para PostgreSQL usa várias camadas de segurança para proteger dados. Essas camadas incluem:

  • Encriptação de dados
  • Segurança da rede
  • Gestão de acesso

Encriptação de dados

O Banco de Dados do Azure para PostgreSQL criptografa dados em trânsito e em repouso. Este tópico é discutido na Unidade 5.

Segurança da rede

O servidor flexível do Banco de Dados do Azure para PostgreSQL fornece duas opções de rede:

  • Acesso privado. Você cria seu servidor em uma rede virtual do Azure com comunicação de rede privada e usando endereços IP privados. As regras de segurança em grupos de segurança de rede permitem-lhe filtrar o tipo de tráfego que pode fluir de/para as sub-redes da rede virtual e as interfaces de rede.
  • Acesso público. O servidor pode ser acessado através de um ponto de extremidade público com um endereço DNS (Sistema de Nomes de Domínio) resolúvel publicamente. Um firewall bloqueia todo o acesso por padrão. Você pode criar regras de firewall IP para conceder acesso a servidores com base no endereço IP de origem de cada solicitação.

Nota

Ao criar um servidor flexível do Banco de Dados do Azure para PostgreSQL, você seleciona Acesso privado ou Acesso público. Uma vez que o servidor tenha sido criado, você não pode alterar a opção de rede.

Ambas as opções controlam o acesso no nível do servidor, não no nível do banco de dados ou da tabela. Use funções PostgreSQL para conceder ou negar acesso a banco de dados, tabela e outros objetos.

Você também gerencia o acesso ao servidor criando regras de firewall para permitir conexões somente de intervalos de endereços IP conhecidos.

Gestão de acesso

Ao criar um Banco de Dados do Azure para o servidor PostgreSQL, você também cria uma conta de administrador. Essa conta de administrador pode ser usada para criar mais funções PostgreSQL. Uma função é um usuário ou grupo de usuários do banco de dados. O acesso a um Banco de Dados do Azure para servidor PostgreSQL é autenticado com um nome de usuário, senha e as permissões concedidas ou negadas à função.

Autenticação SCRAM

A maioria do acesso a um Banco de Dados do Azure para servidor PostgreSQL depende de senhas. No entanto, é possível usar a autenticação SCRAM, um protocolo de autenticação de senha segura que pode autenticar o cliente sem revelar a senha de texto não criptografado do usuário para o servidor. O Mecanismo de Autenticação de Resposta a Desafio Salgado (SCRAM) foi projetado para dificultar os ataques man-in-the-middle. Para ativar a autenticação SCRAM:

  1. No portal do Azure, navegue até o banco de dados do Azure para servidor flexível PostgreSQL e, em Configurações, selecione Parâmetros do servidor.

  2. Na barra de pesquisa, digite password_encryption. Os dois parâmetros listados ambos padrão para MD5. Se você quiser usar o SCRAM, altere ambos os parâmetros para SCRAM-SHA-256:

    1. password_encryption
    2. azure.accepted_password_auth_method

    Em seguida, você deve salvar as alterações.