Поделиться через


Безопасность в Azure Cosmos DB для PostgreSQL

Область применения: Azure Cosmos DB для PostgreSQL (на базе расширения базы данных Citus до PostgreSQL)

На этой странице описаны несколько уровней безопасности, доступных для защиты данных в кластере.

Защита и шифрование информации

В пути

Всякий раз, когда данные передаются в узел, Azure Cosmos DB для PostgreSQL защищает данные путем шифрования данных с помощью протокола TLS 1.2 или более поздней версии. Шифрование (SSL/TLS) всегда применяется принудительно и не может быть отключено.

Минимальная версия TLS, необходимая для подключения к кластеру, может быть применена путем установки параметра ssl_min_protocol_version координатора и рабочего узла в TLSV1.2 или TLSV1.3 для TLS 1.2 или TLS 1.3 соответственно.

При хранении

Служба Azure Cosmos DB для PostgreSQL использует проверенный криптографический модуль FIPS 140-2 для шифрования неактивных данных. Данные, включая резервные копии, шифруются на диске (включая временные файлы, создаваемые при выполнении запросов). Служба использует 256-разрядный шифр AES, доступный при шифровании службы хранилища Azure. Ключами управляет система. Шифрование хранилища всегда включено, и его нельзя отключить.

Безопасность сети

Azure Cosmos DB для PostgreSQL поддерживает три варианта сети:

  • Нет доступа
    • Это значение по умолчанию для только что созданного кластера, если общедоступный или частный доступ не включен. Компьютеры в Azure и вне периметра не могут подключаться к узлам базы данных.
  • Общедоступный доступ
    • Общедоступный IP-адрес назначается узлу-координатору.
    • Доступ к узлу-координатору защищен брандмауэром.
    • При необходимости можно включить доступ ко всем рабочим узлам. В этом случае общедоступные IP-адреса назначаются рабочим узлам и защищаются тем же брандмауэром.
  • Частный доступ
    • Только частные IP-адреса назначаются узлам кластера.
    • Для каждого узла требуется частная конечная точка, чтобы разрешить узлам в выбранной виртуальной сети доступ к узлам.
    • Для контроля доступа можно использовать функции безопасности виртуальных сетей Azure, такие как группы безопасности сети.

При создании кластера можно включить общедоступный или частный доступ или выбрать значение по умолчанию без доступа. После создания кластера можно переключаться между общедоступным или частным доступом или активировать их одновременно.

Квоты и ограничения

См. страницу ограничений и ограничений Azure Cosmos DB для PostgreSQL.

Следующие шаги