Безопасность в Azure Cosmos DB для PostgreSQL

ПРИМЕНИМО К: Azure Cosmos DB для PostgreSQL (на базе расширения базы данных Citus для PostgreSQL)

На этой странице описаны несколько уровней безопасности, доступных для защиты данных в кластере.

Защита и шифрование информации

В пути

При приеме данных в узел Azure Cosmos DB для PostgreSQL защищает данные, шифруя их при передаче с помощью протокола Transport Layer Security 1.2. Шифрование (SSL/TLS) всегда применяется принудительно и не может быть отключено.

неактивные данные;

Служба Azure Cosmos DB для PostgreSQL использует криптографический модуль, проверенный FIPS 140-2, для шифрования неактивных данных в хранилище. Данные, включая резервные копии, шифруются на диске (включая временные файлы, создаваемые при выполнении запросов). Служба использует 256-разрядный шифр AES, доступный при шифровании службы хранилища Azure. Ключами управляет система. Шифрование хранилища всегда включено, и его нельзя отключить.

Безопасность сети

Azure Cosmos DB для PostgreSQL поддерживает три варианта сети:

• Нет доступа
  • Это значение по умолчанию для вновь созданного кластера, если общедоступный или частный доступ не включен. Компьютеры в Azure и вне периметра не могут подключаться к узлам базы данных.
• Открытый доступ
  • Общедоступный IP-адрес назначается узлу-координатору.
  • Доступ к узлу-координатору защищен брандмауэром.
  • При необходимости можно включить доступ ко всем рабочим узлам. В этом случае общедоступные IP-адреса назначаются рабочим узлам и защищаются тем же брандмауэром.
• Закрытый доступ
  • Узлам кластера назначаются только частные IP-адреса.
  • Для каждого узла требуется частная конечная точка, чтобы разрешить узлам в выбранной виртуальной сети доступ к узлам.
  • Для контроля доступа можно использовать функции безопасности виртуальных сетей Azure, таких как группы безопасности сети.

При создании кластера можно включить общедоступный или частный доступ или выбрать значение по умолчанию без доступа. После создания кластера можно переключаться между общедоступным или частным доступом или активировать их одновременно.

Квоты и ограничения

См. статью Ограничения и ограничения Azure Cosmos DB для PostgreSQL.

Дальнейшие действия

• Подробнее о включении частного доступа и управлении им
• Ознакомьтесь со сведениями о частных конечных точках
• Ознакомьтесь со сведениями о виртуальных сетях
• Ознакомьтесь со сведениями о частных зонах DNS