Säkerhet i Azure Cosmos DB för PostgreSQL

Artikel
08/15/2024

GÄLLER FÖR: Azure Cosmos DB for PostgreSQL (drivs av Citus-databastillägget till PostgreSQL)

Den här sidan beskriver de flera säkerhetslager som är tillgängliga för att skydda data i klustret.

Informationsskydd och kryptering

På väg

När data matas in i en nod skyddar Azure Cosmos DB for PostgreSQL dina data genom att kryptera dem under överföring med Transport Layer Security (TLS) 1.2 eller senare. Kryptering (SSL/TLS) tillämpas alltid och kan inte inaktiveras.

Den lägsta TLS-version som krävs för att ansluta till klustret kan framtvingas genom att ange ssl_min_protocol_version-koordinator och arbetsnodparameter till TLSV1.2 eller TLSV1.3 för TLS 1.2 respektive TLS 1.3.

I vila

Azure Cosmos DB for PostgreSQL-tjänsten använder DEN FIPS 140-2-verifierade kryptografiska modulen för lagringskryptering av vilande data. Data, inklusive säkerhetskopior, krypteras på disken, inklusive de temporära filer som skapas när frågor körs. Tjänsten använder AES 256-bitars chiffer som ingår i Azure Storage-kryptering och nycklarna är systemhanterade. Lagringskryptering är alltid aktiverat och kan inte inaktiveras.

Nätverkssäkerhet

Azure Cosmos DB for PostgreSQL stöder tre nätverksalternativ:

Ingen åtkomst
- Detta är standardvärdet för ett nyligen skapat kluster om offentlig eller privat åtkomst inte är aktiverad. Inga datorer, oavsett om de finns i eller utanför Azure, kan ansluta till databasnoderna.
Offentlig åtkomst
- En offentlig IP-adress tilldelas till koordinatornoden.
- Åtkomst till koordinatornoden skyddas av brandväggen.
- Du kan också aktivera åtkomst till alla arbetsnoder. I det här fallet tilldelas offentliga IP-adresser till arbetsnoderna och skyddas av samma brandvägg.
Privat åtkomst
- Endast privata IP-adresser tilldelas till klustrets noder.
- Varje nod kräver en privat slutpunkt för att värdar i det valda virtuella nätverket ska få åtkomst till noderna.
- Säkerhetsfunktioner i virtuella Azure-nätverk, till exempel nätverkssäkerhetsgrupper, kan användas för åtkomstkontroll.

När du skapar ett kluster kan du aktivera offentlig eller privat åtkomst eller välja standardvärdet ingen åtkomst. När klustret har skapats kan du välja att växla mellan offentlig eller privat åtkomst eller aktivera båda samtidigt.

Gränser och begränsningar

Se sidan gränser och begränsningar för Azure Cosmos DB for PostgreSQL.

Nästa steg

Lär dig hur du aktiverar och hanterar privat åtkomst
Läs mer om privata slutpunkter
Lär dig mer om virtuella nätverk
Läs mer om privata DNS-zoner

Dela via