PostgreSQL için Azure Cosmos DB'de TLS'yi yapılandırma

ŞUNLAR IÇIN GEÇERLIDIR: PostgreSQL için Azure Cosmos DB (PostgreSQL'e citus veritabanı uzantısı tarafından desteklenir)

Koordinatör düğümü, istemci uygulamalarının Aktarım Katmanı Güvenliği (TLS) ile bağlanmasını gerektirir. Veritabanı sunucusu ile istemci uygulamaları arasında TLS'nin zorunlu tutulması, aktarım sırasında verilerin gizli tutulmasına yardımcı olur. Aşağıda açıklanan ek doğrulama ayarları ayrıca "ortadaki adam" saldırılarına karşı da koruma sağlar.

TLS bağlantılarını zorunlu tutma

Uygulamalar, bir bağlantının hedef veritabanını ve ayarlarını belirlemek için bir "bağlantı dizesi" kullanır. Farklı istemciler farklı ayarlar gerektirir. Yaygın istemciler tarafından kullanılan bağlantı dizelerinin listesini görmek için Azure portal kümenizin Bağlantı Dizeleri bölümüne bakın.

TLS parametreleri ssl ve sslmode bağlayıcının veya gibi özelliklerine bağlı olarak sslmode=requiredssl=truesslmode=require değişir.

Uygulamanızın veya çerçevenizin TLS bağlantılarını desteklediğine emin olun

Bazı uygulama çerçeveleri PostgreSQL bağlantıları için varsayılan olarak TLS'yi etkinleştirmez. Ancak, güvenli bir bağlantı olmadan bir uygulama koordinatör düğümüne bağlanamaz. TLS bağlantılarını etkinleştirmeyi öğrenmek için uygulamanızın belgelerine bakın.

TLS bağlantısı için sertifika doğrulaması gerektiren uygulamalar

Bazı durumlarda, uygulamaların güvenli bir şekilde bağlanması için güvenilen bir Sertifika Yetkilisi (CA) sertifika dosyasından (.cer) oluşturulan bir yerel sertifika dosyası gerekir. PostgreSQL için Azure Cosmos DB'ye bağlanma sertifikası konumundadır https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem. Sertifika dosyasını indirin ve tercih ettiğiniz konuma kaydedin.

Not

Sertifikanın orijinalliğini denetlemek için OpenSSL komut satırı aracını kullanarak SHA-256 parmak izini doğrulayabilirsiniz:

openssl x509 -in DigiCertGlobalRootG2.crt.pem -noout -sha256 -fingerprint

# should output:
# CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F

psql kullanarak bağlanma

Aşağıdaki örnekte, psql komut satırı yardımcı programını kullanarak koordinatör düğümünüzü nasıl bağlayacağınız gösterilmektedir. TLS sertifika doğrulamasını sslmode=verify-full zorunlu kılmak için bağlantı dizesi ayarını kullanın. Yerel sertifika dosya yolunu parametresine sslrootcert geçirin.

Aşağıda psql bağlantı dizesinin bir örneği verilmiştir:

psql "sslmode=verify-full sslrootcert=DigiCertGlobalRootG2.crt.pem host=c-mydemocluster.12345678901234.postgres.cosmos.azure.com dbname=citus user=citus password=your_pass"

İpucu

sslrootcert hedefine geçirilen değerin, kaydettiğiniz sertifikanın dosya yolu ile eşleştiğini onaylayın.

Sonraki adımlar

PostgreSQL için Azure Cosmos DB'de Güvenlik Duvarı kurallarıyla güvenliği daha da artırın.