PostgreSQL için Azure Veritabanı 'de Güvenlik - Esnek Sunucu
ŞUNLAR IÇIN GEÇERLIDIR: 
PostgreSQL için Azure Veritabanı - Esnek Sunucu
PostgreSQL için Azure Veritabanı - Esnek Sunucu örneğinizdeki verilerin korunmasına yardımcı olmak için birden çok güvenlik katmanı sağlanır. Bu makalede bu güvenlik seçenekleri özetlenir.
Kuruluşlar rekabet avantajı sağlayan kritik karar alma etkinliklerini yönlendirmek için veritabanlarında depolanan verilere giderek daha fazla güvendikçe, sağlam veritabanı güvenlik önlemlerine duyulan ihtiyaç hiç bu kadar önemli olmamıştı. Bir güvenlik hatası, gizli verileri açığa çıkarmak ve kuruluşta saygınlık zedelenmesi gibi yıkıcı sonuçları tetikleyebilir.
Bilgi koruması ve şifreleme
PostgreSQL için Azure Veritabanı - Esnek Sunucu verileri iki şekilde şifreler:
Aktarımdaki veriler: PostgreSQL için Azure Veritabanı - Esnek Sunucu, aktarımdaki verileri Güvenli Yuva Katmanı ve Aktarım Katmanı Güvenliği (SSL/TLS) ile şifreler. Şifreleme varsayılan olarak zorlanır. SSL\TLS ile bağlantı güvenliği hakkında daha ayrıntılı bilgi için bu belgelere bakın. Daha iyi güvenlik için PostgreSQL için Azure Veritabanı - Esnek Sunucuda SCRAM kimlik doğrulamasını etkinleştirmeyi seçebilirsiniz.
Bu kesinlikle önerilmez, ancak gerekirse, eski istemci uyumsuzluğu nedeniyle, sunucu parametresini KAPALI olarak güncelleştirerek
require_secure_transportPostgreSQL için Azure Veritabanı - Esnek Sunucu bağlantıları için TLS\SSL'yi devre dışı bırakma seçeneğiniz vardır. Sunucu parametrelerini ayarlayarakssl_max_protocol_versionTLS sürümünü de ayarlayabilirsiniz.Bekleyen veriler: Depolama şifrelemesi için PostgreSQL için Azure Veritabanı - Esnek Sunucu FIPS 140-2 doğrulanmış şifreleme modülünü kullanır. Yedekler ve sorgular çalıştırılırken oluşturulan geçici dosyalar da dahil olmak üzere diskteki veriler şifrelenir.
Hizmet, Azure depolama şifrelemesine dahil edilen AES 256 bit şifreleme ile Galois/Sayaç Modu (GCM) modunu kullanır ve anahtarlar sistem tarafından yönetilir. Bu, SQL Server veya Oracle veritabanlarındaki saydam veri şifrelemesi gibi diğer bekleyen veri şifreleme teknolojilerine benzer. Depolama şifrelemesi her zaman açıktır ve devre dışı bırakılamaz.
Ağ güvenliği
PostgreSQL için Azure Veritabanı - Esnek Sunucuyu çalıştırdığınızda iki ana ağ seçeneğiniz vardır:
Özel erişim: Sunucunuzu Azure sanal ağına dağıtabilirsiniz. Azure sanal ağları özel ve güvenli ağ iletişimi sağlamaya yardımcı olur. Sanal ağdaki kaynaklar özel IP adresleri üzerinden iletişim kurabilir. Daha fazla bilgi için bkz. PostgreSQL için Azure Veritabanı - Esnek Sunucu için ağa genel bakış.
Ağ güvenlik gruplarındaki güvenlik kuralları, sanal ağ alt ağlarında ve ağ arabirimlerinde içeri ve dışarı akabilecek ağ trafiği türünü filtrelemenize olanak tanır. Daha fazla bilgi için bkz. Ağ güvenlik gruplarına genel bakış.
Genel erişim: Sunucuya bir genel uç nokta üzerinden erişilebilir. Genel uç nokta, genel olarak çözümlenebilen bir DNS adresidir. Erişim, varsayılan olarak tüm bağlantıları engelleyen bir güvenlik duvarı aracılığıyla güvenli hale getirilir.
IP güvenlik duvarları, her isteğin kaynak IP adresine göre sunuculara erişim verir. Daha fazla bilgi için güvenlik duvarı kurallarına genel bakış bölümüne bakın.
Bulut için Microsoft Defender desteği
Açık kaynak ilişkisel veritabanları için Microsoft Defender, veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılar. Bulut için Defender, anormal etkinliklerle ilgili güvenlik uyarıları sağlar, böylece olası tehditleri algılayabilir ve bu tehditleri ortaya çıktığında yanıtlayabilirsiniz. Bu planı etkinleştirdiğinizde Bulut için Defender anormal veritabanı erişimi, sorgu desenleri ve şüpheli veritabanı etkinlikleri algıladığında uyarılar sağlar.
Bu uyarılar Bulut için Defender'daki güvenlik uyarıları sayfasında görünür ve şunları içerir:
- Onları tetikleyen şüpheli etkinliğin ayrıntıları
- İlişkili MITRE ATT&CK taktiği
- Tehdidi araştırmak ve azaltmak için önerilen eylemler
- Microsoft Sentinel ile araştırmalarınızı sürdürme seçenekleri
Bulut için Microsoft Defender ve Deneme Yanılma Saldırıları
Deneme yanılma saldırısı, en az gelişmiş korsanlık yöntemlerinden biri olsa da en yaygın ve oldukça başarılı korsanlık yöntemlerinden de biridir. Böyle bir saldırının ardındaki teori, bir parolayı tahmin etmek için sonsuz sayıda girişimde bulunursanız, eninde sonunda haklı olmanız gerekir. Bulut için Microsoft Defender bir deneme yanılma saldırısı algıladığında, deneme yanılma saldırısının gerçekleştiğini size bildirmek üzere bir uyarı tetikler. Ayrıca basit deneme yanılma saldırısının, geçerli bir kullanıcıya yapılan deneme yanılma saldırısından veya başarılı bir deneme yanılma saldırısından farkını ortaya koyabilir.
Microsoft Defender planından uyarılar almak için önce sonraki bölümde gösterildiği gibi etkinleştirmeniz gerekir.
Bulut için Microsoft Defender ile gelişmiş güvenliği etkinleştirme
- Azure portalından sol bölmedeki Güvenlik menüsüne gidin
- Bulut için Microsoft Defender seçin
- Sağdaki bölmeden Etkinleştir'i seçin.
Not
Microsoft Defender planınızda "açık kaynak ilişkisel veritabanları" özelliği etkinleştirildiyse, Microsoft Defender'ın PostgreSQL için Azure Veritabanı esnek sunucu kaynağınız için varsayılan olarak otomatik olarak etkinleştirildiğini göreceksiniz.
Erişim yönetimi
PostgreSQL için Azure Veritabanı - Esnek Sunucu veritabanı erişim izinlerini büyük ölçekte yönetmenin en iyi yolu rol kavramını kullanmaktır. Rol, veritabanı kullanıcısı veya veritabanı kullanıcısı grubu olabilir. Roller, veritabanı nesnelerine sahip olabilir ve bu nesneler üzerinde ayrıcalıkları diğer rollere atayarak kimlerin hangi nesnelere erişimi olduğunu denetleyebilir. Bir roldeki üyeliği başka bir role vermek de mümkündür, böylece üye rolü başka bir role atanan ayrıcalıkları kullanabilir. PostgreSQL için Azure Veritabanı - Esnek Sunucu, doğrudan veritabanı kullanıcılarına izinler vermenizi sağlar. İyi bir güvenlik uygulaması olarak, en düşük uygulama ve erişim gereksinimlerine göre belirli izin kümelerine sahip roller oluşturmanız önerilir. Ardından her kullanıcıya uygun rolleri atayabilirsiniz. Roller, veritabanı nesnelerine erişmek için en az ayrıcalık modelini zorlamak için kullanılır.
PostgreSQL için Azure Veritabanı - Esnek Sunucu örneği, PostgreSQL'in oluşturduğu yerleşik rollere ek olarak tanımlanan üç varsayılan rolle oluşturulur. Komutunu çalıştırarak bu rolleri görebilirsiniz:
SELECT rolname FROM pg_roles;
Roller aşağıda listelenmiştir:
- azure_pg_admin
- azuresu
- yönetici rolü
PostgreSQL için Azure Veritabanı - Esnek Sunucu örneğini oluştururken, yönetici rolü için kimlik bilgileri sağlarsınız. Bu yönetici rolü, daha fazla PostgreSQL rolü oluşturmak için kullanılabilir.
Örneğin, aşağıda 'demouser' adlı örnek bir kullanıcı/rol oluşturabiliriz
CREATE USER demouser PASSWORD password123;
Yönetici rolü hiçbir zaman uygulama tarafından kullanılmamalıdır.
Bulut tabanlı PaaS ortamlarında PostgreSQL için Azure Veritabanı Esnek Sunucu süper kullanıcı hesabına erişim yalnızca bulut operatörleri tarafından denetim düzlemi işlemleriyle sınırlıdır. Bu nedenle, azure_pg_admin hesap sahte süper kullanıcı hesabı olarak mevcuttur. Yönetici rolünüz rolün azure_pg_admin bir üyesidir.
Ancak sunucu yönetici hesabı, süper kullanıcı ayrıcalıklarına sahip olan ve denetim düzlemi işlemlerini gerçekleştirmek için kullanılan rolün bir parçası azuresu değildir. Bu hizmet yönetilen bir PaaS hizmeti olduğundan yalnızca Microsoft süper kullanıcı rolünün bir parçasıdır.
Sunucunuzdaki rollerin listesini düzenli aralıklarla denetleyebilirsiniz. Örneğin, istemci kullanarak psql bağlanabilir ve diğer rolleri oluşturma, veritabanı oluşturma, çoğaltma vb. ayrıcalıklarla birlikte tüm rollerin listelendiği tabloyu sorgulayabilirsiniz pg_roles .
select * from pg_roles where rolname='demouser';
-[ RECORD 1 ]--+---------
rolname | demouser
rolsuper | f
rolinherit | t
rolcreaterole | f
rolcreatedb | f
rolcanlogin | f
rolreplication | f
rolconnlimit | -1
rolpassword | ********
rolvaliduntil |
rolbypassrls | f
rolconfig |
oid | 24827
Önemli
Son zamanlarda, POSTGRESQL IÇIN AZURE VERITABANı Esnek Sunucu'da CAST komutları oluşturma özelliği etkinleştirildi. CREATE CAST deyimini çalıştırmak için kullanıcının azure_pg_admin grubunun üyesi olması gerekir. Bir CAST oluşturulduktan sonra bırakmanın şu anda mümkün olmadığını lütfen unutmayın.
PostgreSQL için Azure Veritabanı - Esnek Sunucu'da denetim günlüğü, veritabanlarınızdaki etkinliği izlemek için PostgreSQL için Azure Veritabanı - Esnek Sunucu ile de kullanılabilir.
Şema erişimini denetleme
PostgreSQL için Azure Veritabanı - Esnek Sunucu'da yeni oluşturulan veritabanları, veritabanının genel şemasında tüm veritabanı kullanıcılarının ve rollerinin nesne oluşturmasına olanak tanıyan varsayılan bir ayrıcalık kümesine sahiptir. Uygulama kullanıcısının PostgreSQL için Azure Veritabanı - Esnek Sunucu örneğinizde oluşturduğunuz veritabanlarına erişimini daha iyi sınırlamak için, bu varsayılan genel ayrıcalıkları iptal etmeyi göz önünde bulundurmanızı öneririz. Bunu yaptıktan sonra veritabanı kullanıcıları için daha ayrıntılı bir şekilde belirli ayrıcalıklar vekleyebilirsiniz. Örneğin:
Uygulama veritabanı kullanıcılarının ortak şemada nesne oluşturmasını önlemek için rolden
publicşema oluşturmapublicayrıcalıklarını iptal edin.REVOKE CREATE ON SCHEMA public FROM PUBLIC;Ardından yeni veritabanı oluşturun.
CREATE DATABASE Test_db;Bu yeni veritabanındaki PUBLIC şemasındaki tüm ayrıcalıkları iptal edin.
REVOKE ALL ON DATABASE Test_db FROM PUBLIC;Uygulama veritabanı kullanıcıları için özel rol oluşturma
CREATE ROLE Test_db_user;Bu role sahip veritabanı kullanıcılarına veritabanına bağlanma olanağı verin.
GRANT CONNECT ON DATABASE Test_db TO Test_db_user; GRANT ALL PRIVILEGES ON DATABASE Test_db TO Test_db_user;Veritabanı kullanıcısı oluşturma
CREATE USER user1 PASSWORD 'Password_to_change'Kullanıcıya bağlanması ve ayrıcalıkları seçmesi ile rol atama
GRANT Test_db_user TO user1;
Bu örnekte user1 kullanıcısı bağlanabilir ve test veritabanımız Test_db tüm ayrıcalıklara sahiptir, ancak sunucudaki diğer veritabanlarına sahip değildir. Select, INSERT, EXECUTE gibi daha seçmeli izinler sağlamak için bu kullanıcıya\role o veritabanında ve nesnelerinde TÜM AYRıCALıKLAR vermek yerine daha fazla önerilir. PostgreSQL veritabanlarındaki ayrıcalıklar hakkında daha fazla bilgi için PostgreSQL belgelerindeki GRANT ve REVOKE komutlarına bakın.
PostgreSQL 15'te genel şema sahipliği değişiklikleri
Postgres sürüm 15'ten genel şemanın sahipliği yeni pg_database_owner rolüne değiştirildi. Her veritabanı sahibinin veritabanının genel şemasına sahip olmasını sağlar.
PostgreSQL sürüm notlarında daha fazla bilgi bulabilirsiniz.
Rol tabanlı güvenlikle postgreSQL 16 değişiklikleri
PostgreSQL veritabanı rolünün ayrıcalıklarını tanımlayan birçok özniteliği olabilir. Bu özniteliklerden biri, kullanıcıların ve rollerin PostgreSQL veritabanı yönetimi için önemli olan CREATEROLE özniteliğidir. PostgreSQL'de 16 bu öznitelikte önemli değişiklikler yapıldı. PostgreSQL 16'da CREATEROLE özniteliğine sahip kullanıcılar artık herhangi bir roldeki üyeliği herkese verme olanağına sahip değildir; bunun yerine, diğer kullanıcılar gibi, bu öznitelik olmadan yalnızca YÖNETİCİ SEÇeneğe sahip oldukları rollerdeki üyelikleri verebilirler. Ayrıca PostgreSQL 16'da CREATEROLE özniteliği yine de bir kullanıcı olmayanın yeni kullanıcılar sağlamasına izin verir, ancak yalnızca kendi oluşturduğu kullanıcıları bırakabilir. CREATEROLE özniteliğine sahip kullanıcı tarafından oluşturulmayan kullanıcıları bırakma girişimleri hataya neden olur.
PostgreSQL 16 ayrıca yeni ve geliştirilmiş yerleşik rolleri de kullanıma sunar. PostgreSQL 16'daki yeni pg_use_reserved_connections rolü, reserved_connections aracılığıyla ayrılmış bağlantı yuvalarının kullanılmasına olanak tanır. pg_create_subscription rolü, süper kullanıcıların abonelik oluşturmasına olanak tanır.
Önemli
PostgreSQL için Azure Veritabanı - Esnek Sunucu, kullanıcılara pg_write_all_data özniteliği verilmesine izin vermez. Bu öznitelik, açıkça verilmemiş olsa bile, kullanıcının bu nesneler üzerinde INSERT, UPDATE ve DELETE haklarına ve tüm şemalarda KULLANIM haklarına sahip olduğu gibi tüm verileri (tablolar, görünümler, diziler) yazmasına olanak tanır. Geçici bir çözüm olarak, veritabanı ve nesne başına daha sonlu bir düzeyde benzer izinler verilmesi önerilir.
Satır düzeyi güvenlik
Satır düzeyi güvenlik (RLS), veritabanı yöneticilerinin belirli veri satırlarının bir veya daha fazla rol için nasıl görüntüleneceğini ve çalıştığını denetleyebilen ilkeler tanımlamasına olanak tanıyan bir PostgreSQL için Azure Veritabanı - Esnek Sunucu güvenlik özelliğidir. Satır düzeyi güvenlik, PostgreSQL için Azure Veritabanı - Esnek Sunucu veritabanı tablosuna uygulayabileceğiniz ek bir filtredir. Kullanıcı bir tabloda eylem gerçekleştirmeye çalıştığında, bu filtre sorgu ölçütleri veya diğer filtrelemeden önce uygulanır ve veriler güvenlik ilkenize göre daraltılır veya reddedilir. SELECT, INSERT, UPDATE ve DELETE gibi belirli komutlar için satır düzeyi güvenlik ilkeleri oluşturabilir ve TÜM komutlar için belirtebilirsiniz. Satır düzeyi güvenlik için kullanım örnekleri ARASıNDA PCI uyumlu uygulamalar, sınıflandırılmış ortamlar ve paylaşılan barındırma /çok kiracılı uygulamalar bulunur.
Tabloya yalnızca hakları olan SET ROW SECURITY kullanıcılar satır güvenlik hakları uygulayabilir. Tablo sahibi bir tabloda satır güvenliğini ayarlayabilir. Bu OVERRIDE ROW SECURITY şu anda örtük bir hak gibi. Satır düzeyi güvenlik mevcut GRANT izinleri geçersiz kılmaz, daha ayrıntılı bir denetim düzeyi ekler. Örneğin, belirli bir kullanıcının satır vermesine izin verme ayarı ROW SECURITY FOR SELECT , yalnızca kullanıcının söz konusu sütun veya tabloda ayrıca SELECT ayrıcalıkları varsa bu kullanıcıya erişim verebilir.
Burada, yalnızca özel oluşturulan "yönetici" rolünün üyelerinin yalnızca belirli bir hesabın satırlarına erişebilmesini sağlayan bir ilkenin nasıl oluşturulacağını gösteren bir örnek verilmiştir. Aşağıdaki örnekteki kod PostgreSQL belgelerinde paylaşılmıştır.
CREATE TABLE accounts (manager text, company text, contact_email text);
ALTER TABLE accounts ENABLE ROW LEVEL SECURITY;
CREATE POLICY account_managers ON accounts TO managers
USING (manager = current_user);
USING yan tümcesi, yönetici rolünün üyelerinin diğer yöneticilere ait olan satırlarda , DELETEveya UPDATE işlemlerini gerçekleştirememelerini SELECTve başka bir WITH CHECK yöneticiye ait yeni satırlar oluşturamamalarını INSERT sağlayan bir yan tümceyi örtük olarak ekler.
Örneğinde olduğu gibi DROP POLICY komutunu kullanarak bir satır güvenlik ilkesini bırakabilirsiniz:
DROP POLICY account_managers ON accounts;
İlkeyi bırakmış olabilirsiniz, ancak rol yöneticisi yine de başka bir yöneticiye ait olan verileri görüntüleyemiyor. Bunun nedeni, satır düzeyi güvenlik ilkesinin hesaplar tablosunda hala etkinleştirilmesidir. Satır düzeyi güvenlik varsayılan olarak etkinse PostgreSQL varsayılan reddetme ilkesi kullanır. Aşağıda gösterildiği gibi satır düzeyi güvenliği devre dışı bırakabilirsiniz:
ALTER TABLE accounts DISABLE ROW LEVEL SECURITY;
Satır Düzeyi Güvenliğini Atlama
PostgreSQL, bir role atanabilen BYPASSRLS ve NOBYPASSRLS izinlerine sahiptir; NOBYPASSRLS varsayılan olarak atanır. PostgreSQL için Azure Veritabanı yeni sağlanan sunucularla - Esnek Sunucu satır düzeyi güvenlik ayrıcalığını (BYPASSRLS) atlayarak aşağıdaki gibi uygulanır:
- Postgres 16 ve üzeri sürüme yükseltilmiş sunucular için standart PostgreSQL 16 davranışını takip ediyoruz. azure_pg_admin yönetici rolü tarafından oluşturulan yönetici olmayan kullanıcılar, gerektiğinde BYPASSRLS özniteliği\ayrıcalığı olan roller oluşturmanıza olanak tanır.
- Postgres 15 ve altı sürüme alınan sunucular için. , azure_pg_admin kullanıcısını KULLANARAK BYPASSRLS ayrıcalığı gerektiren yönetim görevlerini gerçekleştirebilir, ancak yönetici rolünün bulut tabanlı PaaS PostgreSQL hizmetlerinde yaygın olarak olduğu gibi süper kullanıcı ayrıcalıkları olmadığından BypassRLS ayrıcalığına sahip yönetici olmayan kullanıcılar oluşturamazsınız.
Parolaları güncelleştirme
Daha iyi güvenlik için yönetici parolanızı ve veritabanı kullanıcı parolalarınızı düzenli aralıklarla döndürmek iyi bir uygulamadır. Büyük ve küçük harfler, sayılar ve özel karakterler kullanarak güçlü parolalar kullanmanız önerilir.
SCRAM kullanma
Salted Challenge Response Authentication Mechanism (SCRAM), gökkuşağı tablosu saldırılarını, ortadaki adam saldırılarını ve depolanan parola saldırılarını önleyen çeşitli temel güvenlik özellikleri ekleyip ASCII olmayan karakterler içeren birden çok karma algoritma ve parola desteği ekleyerek parola tabanlı kullanıcı kimlik doğrulamasının güvenliğini büyük ölçüde artırır.
SCRAM kimlik doğrulamasında istemci, kimlik kanıtı oluşturmak için şifreleme işini yapmaya katılır. Bu nedenle SCRAM kimlik doğrulaması, hesaplama maliyetinin bir kısmını istemcilerine boşaltarak çoğu durumda uygulama sunucularıdır. ScRAM'ın benimsenmesi, daha güçlü karma algoritmaya ek olarak, sunucunun parola karmalarını hesaplamak için CPU aşırı yüklemesini önleyerek PostgreSQL'e yönelik dağıtılmış hizmet reddi (DDoS) saldırılarına karşı da koruma sağlar.
İstemci sürücünüz SCRAM'ı destekliyorsa, SCRAM yerine varsayılan md5olarak scram-sha-256 kullanarak PostgreSQL için Azure Veritabanı - Esnek Sunucu'ya erişimi ayarlayabilirsiniz.
Yönetici parolasını sıfırlama
Yönetici parolasını sıfırlamak için nasıl yapılır kılavuzunu izleyin.
Veritabanı kullanıcı parolasını güncelleştirme
Veritabanı kullanıcı parolalarını güncelleştirmek için istemci araçlarını kullanabilirsiniz.
Örneğin,
ALTER ROLE demouser PASSWORD 'Password123!';
ALTER ROLE
Azure İlkesi Desteği
Azure İlkesi, kurumsal standartların uygulanmasına ve uygun ölçekte uyumluluğun değerlendirilmesine yardımcı olur. Uyumluluk panosu aracılığıyla, ortamın genel durumunu değerlendirmek için toplu bir görünüm sağlar; ayrıca tek tek her kaynak ve her ilke için detaya gitmeye de olanak tanır. Bu pano mevcut kaynaklar için toplu düzeltme, yeni kaynaklar için de otomatik düzeltme eylemleriyle kaynaklarınızı uyumlu hale getirmenize de yardımcı olur.
Yerleşik İlke Tanımları
Yerleşik ilkeler Microsoft tarafından geliştirilip test edilerek ortak standartları ve en iyi yöntemleri karşıladığından emin olur ve ek yapılandırmaya gerek kalmadan hızla dağıtılarak standart uyumluluk gereksinimleri için idealdir. Yerleşik ilkeler genellikle yaygın olarak tanınan standartları ve uyumluluk çerçevelerini kapsar.
Aşağıdaki bölüm, PostgreSQL için Azure Veritabanı - Esnek Sunucu için yerleşik Azure İlkesi ilke tanımlarının dizinini sağlar. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Kaynak sütunundaki bağlantıyı kullanın.
| Ad (Azure Portal) | Açıklama | Efekt(ler) | Version(GitHub) |
|---|---|---|---|
| PostgreSQL esnek sunucuları için bir Microsoft Entra yöneticisi sağlanmalıdır | Microsoft Entra kimlik doğrulamasını etkinleştirmek için PostgreSQL esnek sunucunuz için Bir Microsoft Entra yöneticisinin sağlanmasını denetleyin. Microsoft Entra kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL esnek sunucuları için PgAudit ile denetim etkinleştirilmelidir | Bu ilke, ortamınızdaki pgaudit kullanmak için etkinleştirilmemiş postgreSQL esnek sunucularını denetlemenize yardımcı olur. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL esnek sunucuları için bağlantı azaltma etkinleştirilmelidir | Bu ilke, bağlantı azaltma etkinleştirilmeden ortamınızdaki tüm PostgreSQL esnek sunucularını denetlemenize yardımcı olur. Bu ayar, çok fazla geçersiz parola oturum açma hatası için IP başına geçici bağlantı azaltmayı etkinleştirir | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL esnek sunucuları için Tanılama Ayarlarını Log Analytics çalışma alanına dağıtma | PostgreSQL esnek sunucuları, bu tanılama ayarı oluşturulduğunda veya güncelleştirildiğinde eksik olan herhangi bir PostgreSQL esnek sunucusu olduğunda bölgesel log analytics çalışma alanına akış yapmak üzere PostgreSQL esnek sunucuları için tanılama ayarlarını dağıtır | DeployIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL esnek sunucuları için bağlantı kesilmeleri günlüğe kaydedilmelidir | Bu ilke, log_disconnections etkinleştirilmeden ortamınızdaki tüm PostgreSQL esnek sunucularını denetlemenize yardımcı olur | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL esnek sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | PostgreSQL için Azure Veritabanı, PostgreSQL için Azure Veritabanı esnek sunucunuzu Güvenli Yuva Katmanı (SSL) kullanarak istemci uygulamalarına bağlamayı destekler. Veritabanı esnek sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, SSL'nin PostgreSQL esnek sunucunuza erişmek için her zaman etkin olduğunu zorlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL için Azure Veritabanı esnek sunucular için coğrafi olarak yedekli yedekleme etkinleştirilmelidir | esnek sunucular PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamayı yedekleme için yapılandırmaya yalnızca sunucu oluşturma sırasında izin verilir | Denetim, Devre Dışı | 1.0.0 |
| PostgreSQL esnek sunucuları için günlük denetim noktaları etkinleştirilmelidir | Bu ilke, log_checkpoints ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL esnek sunucularını denetlemenize yardımcı olur | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL esnek sunucuları için günlük bağlantıları etkinleştirilmelidir | Bu ilke, log_connections ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL esnek sunucularını denetlemenize yardımcı olur | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL FlexIble sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | PostgreSQL esnek sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| PostgreSQL esnek sunucuları TLS sürüm 1.2 veya daha yeni bir sürümü çalıştırıyor olmalıdır | Bu ilke, ortamınızdaki 1.2'den küçük TLS sürümüyle çalışan postgreSQL esnek sunucularını denetlemeye yardımcı olur | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL esnek sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın | AuditIfNotExists, Devre Dışı | 1.0.0 |
Özel İlke Tanımları
Özel ilkeler, benzersiz güvenlik ilkeleri veya uyumluluk ilkeleri dahil olmak üzere kuruluşunuzun belirli gereksinimlerine uyacak şekilde hassas bir şekilde uyarlanabilir. Özel ilkelerle, ilke mantığı ve parametreleri üzerinde tam denetime sahip olursunuz ve gelişmiş ve ayrıntılı ilke tanımlarına olanak sağlarsınız.