Dubbelkryptering i Azure Database for PostgreSQL-infrastrukturen
GÄLLER FÖR:
Azure Database for PostgreSQL – enskild server
Viktigt!
Azure Database for PostgreSQL – enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till Azure Database for PostgreSQL – flexibel server. Mer information om hur du migrerar till Azure Database for PostgreSQL – flexibel server finns i Vad händer med Azure Database for PostgreSQL – enskild server?.
Azure Database for PostgreSQL använder lagringskryptering av vilande data för data med hjälp av Microsofts hanterade nycklar. Data, inklusive säkerhetskopior, krypteras på disken och den här krypteringen är alltid aktiverad och kan inte inaktiveras. Krypteringen använder FIPS 140-2-verifierad kryptografimodul och ett AES 256-bitars chiffer för Azure Storage-kryptering.
Infrastruktur med dubbel kryptering lägger till ett andra krypteringslager med tjänsthanterade nycklar. Den använder FIPS 140-2-verifierad kryptografimodul, men med en annan krypteringsalgoritm. Detta ger ytterligare ett skyddslager för dina vilande data. Nyckeln som används i infrastrukturdubblettkryptering hanteras också av Tjänsten Azure Database for PostgreSQL. Infrastrukturdubblettkryptering är inte aktiverat som standard eftersom det ytterligare krypteringslagret kan ha en prestandapåverkan.
Kommentar
Den här funktionen stöds endast för prisnivåerna "Generell användning" och "Minnesoptimerad" i Azure Database for PostgreSQL.
Kryptering på infrastrukturnivå har fördelen att implementeras på det lager som är närmast lagringsenheten eller nätverksledningarna. Azure Database for PostgreSQL implementerar de två krypteringsskikten med hjälp av tjänsthanterade nycklar. Även om det fortfarande är tekniskt sett i tjänstskiktet är det mycket nära maskinvaran som lagrar data i vila. Du kan fortfarande aktivera datakryptering i vila med hjälp av kundhanterad nyckel för den etablerade PostgreSQL-servern.
Implementering i infrastrukturlagren stöder också en mångfald av nycklar. Infrastrukturen måste vara medveten om olika kluster av datorer och nätverk. Därför används olika nycklar för att minimera explosionsradien för infrastrukturattacker och en mängd olika maskinvaru- och nätverksfel.
Kommentar
Om du använder infrastruktur för dubbel kryptering påverkas prestandan på Azure Database for PostgreSQL-servern på grund av den ytterligare krypteringsprocessen.
Förmåner
Infrastruktur med dubbel kryptering för Azure Database for PostgreSQL medför följande fördelar:
- Ytterligare mångfald av kryptoimplementering – Den planerade övergången till maskinvarubaserad kryptering kommer att ytterligare diversifiera implementeringarna genom att tillhandahålla en maskinvarubaserad implementering utöver den programvarubaserade implementeringen.
- Implementeringsfel – Två krypteringslager på infrastrukturnivå skyddar mot eventuella fel vid cachelagring eller minneshantering i högre lager som exponerar klartextdata. Dessutom säkerställer de två lagren även mot fel i implementeringen av krypteringen i allmänhet.
Kombinationen av dessa ger ett starkt skydd mot vanliga hot och svagheter som används för att attackera kryptografi.
Scenarier som stöds med dubbel kryptering i infrastrukturen
Krypteringsfunktionerna som tillhandahålls av Azure Database for PostgreSQL kan användas tillsammans. Nedan visas en sammanfattning av de olika scenarier som du kan använda:
| ## | Standardkryptering | Dubbel infrastrukturkryptering | Datakryptering med kundhanterade nycklar |
|---|---|---|---|
| 1 | Ja | Nej | Nej |
| 2 | Ja | Ja | Nej |
| 3 | Ja | Nej | Ja |
| 4 | Ja | Ja | Ja |
Viktigt!
- Scenario 2 och 4 kommer att ha prestandapåverkan på Azure Database for PostgreSQL-servern på grund av det ytterligare lagret av infrastrukturkryptering.
- Konfigurera dubbelkryptering av infrastruktur för Azure Database for PostgreSQL tillåts endast under serverskapandet. När servern har etablerats kan du inte ändra lagringskryptering. Du kan dock fortfarande aktivera datakryptering med hjälp av kundhanterade nycklar för servern som skapats med/utan dubbel kryptering i infrastrukturen.
Begränsningar
För Azure Database for PostgreSQL har stödet för dubbelkryptering av infrastruktur med tjänsthanterad nyckel följande begränsningar:
Stöd för den här funktionen är begränsat till prisnivåer för generell användning och minnesoptimerad .
Den här funktionen stöds endast i regioner och servrar, som har stöd för lagring upp till 16 TB. Listan över Azure-regioner som stöder lagring upp till 16 TB finns i lagringsdokumentationen.
Kommentar
- Alla nya PostgreSQL-servrar som skapats i de regioner som anges ovan stöder även datakryptering med kundhanterarnycklar. I det här fallet kvalificerar servrar som skapats via återställning till tidpunkt (PITR) eller läsrepliker inte som "nya".
- Om du vill kontrollera om den etablerade servern stöder upp till 16 TB kan du gå till prisnivåbladet i portalen och se om lagringsreglaget kan flyttas upp till 16 TB. Om du bara kan flytta skjutreglaget upp till 4 TB kanske servern inte stöder kryptering med kundhanterade nycklar. Data krypteras dock alltid med hjälp av tjänsthanterade nycklar. Kontakta AskAzureDBforPostgreSQL@service.microsoft.com om du har några frågor.
Nästa steg
Lär dig hur du konfigurerar dubbelkryptering av infrastruktur för Azure Database for PostgreSQL.