Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
PostgreSQL için Azure Veritabanı yerleşik yüksek kullanılabilirlik, otomatik yedeklemeler ve ölçeklendirme özellikleri sağlayan tam olarak yönetilen bir veritabanı hizmetidir. PostgreSQL veritabanı dağıtımlarınızın güvenliğini sağlamak, hassas verileri korumak ve sektör standartlarıyla uyumluluğu korumak için çok önemlidir.
Bu makale PostgreSQL için Azure Veritabanı Sunucu dağıtımınızın güvenliğini sağlama konusunda size yol gösterir.
Önemli
Microsoft, ara sertifika yetkilisi sertifikalarını ve buna bağlı sertifika zincirini güncellemek amacıyla Azure Veritabanı için PostgreSQL'de bir TLS sertifika döngüsü başlattı. Kök CA'lar aynı kalır.
İstemci yapılandırmanız TLS için önerilen yapılandırmaları kullanıyorsa herhangi bir işlem yapmanız gerekmez.
Sertifika döndürme zamanlaması
- Orta Batı ABD, Doğu Asya ve Güney Birleşik Krallık Azure bölgeleri TLS sertifika rotasyonuna 11 Kasım 2025'te başladı.
- 19 Ocak 2026'da bu sertifika rotasyonunun Azure Kamu dahil olmak üzere kalan (Çin hariç) bölgelere kadar uzatılması planlanmaktadır.
- Bahar Festivali (Çin Yeni Yılı) 2026'nın ardından, Çin bölgeleri kök CA'lardan birinde değişiklik içeren bir sertifika rotasyonundan da geçecek.
Ağ güvenliği
Ağ Güvenliği bölümü, genel erişimi önleme ve PostgreSQL'inizi güvenli, segmentlere ayrılmış bir bulut ağı mimarisine tümleştirmek için ağ özelliklerini kullanma konusunda size yol gösterir.
Genel ağ erişimini devre dışı bırakma: İnternet'e erişimi önlemek için PostgreSQL'iniz için genel ağ erişimini devre dışı bırakın. Bu eylem, veritabanınıza yalnızca güvenilen ağların erişebilmesini sağlar.
Özel Uç Noktalar: Sanal ağınızdan PostgreSQL'inize güvenli bir şekilde bağlanmak için Özel Uç Noktaları kullanın.
Alternatif olarak, sanal ağ tümleştirmesini kullanın: PostgreSQL'inizi sanal ağınıza bağlamak için sanal ağ tümleştirmesini kullanın . Bu tümleştirme, Azure kaynaklarınızdan ve sunucudan yapay zeka gibi tüketilen kaynaklara güvenli erişim sağlar.
Eski güvenlik duvarı kuralları ve hizmet uç noktaları: Belirli IP adreslerinden erişime izin vermeniz gerekiyorsa , eski güvenlik duvarı kurallarını ve hizmet uç noktalarını kullanın. Ancak bu yaklaşım önerilmez. Bunun yerine, özel uç noktaları veya sanal ağ tümleştirmesini kullanmayı tercih edin.
Ağ güvenliği makaleleri ağ bölümlerinde yer almaktadır:
Genel erişimle PostgreSQL için Azure Veritabanı'na genel bakış (izin verilen IP adresleri)
PostgreSQL için Azure Veritabanı için özel erişimli ağ (sanal ağ tümleştirmesi)
Kimlik yönetimi
Kimlik Yönetimi bölümü, merkezi kimlik ve erişim yönetim sistemlerini kullanarak kimlik doğrulamasına, kimliklerin güvenliğini sağlamaya ve erişim denetimlerine odaklanır. Uygulamalar için güçlü kimlik doğrulama mekanizmaları ve yönetilen kimlikler gibi en iyi yöntemleri kapsar.
Kimlik yönetimi bölümü için bazı olası güvenlik hizmetleri, özellikler ve en iyi yöntemler şunlardır:
Veritabanı yerel kimlik doğrulaması yerine Entra kullanın: PostgreSQL sunucunuz için yerel kimlik doğrulamasına izin vermemelisiniz. Bunun yerine, veritabanınıza erişimi yönetmek için yalnızca Microsoft Entra kimlik doğrulamasını kullanın (karma mod değil). Microsoft Entra, güçlü güvenlik denetimleri ve Kimlik için Defender gerçek zamanlı koruma ile merkezi kimlik doğrulaması sağlar. Daha fazla bilgi için Genel olarak Microsoft Entra'yı ve PostgreSQL için Azure Veritabanı ile Microsoft Entra kimlik doğrulamasını ziyaret edin.
Güvenli uygulama erişimi için yönetilen kimlikleri kullanma: Kimlik bilgilerini yönetmeye gerek kalmadan uygulamaların ve hizmetlerin kimliğini güvenli bir şekilde doğrulamak için Azure'da yönetilen kimlikleri kullanın. Bu, PostgreSQL için Azure Veritabanı gibi kaynaklara erişmek için güvenli ve basitleştirilmiş bir yol sağlar. Daha fazla bilgi için Yönetilen Kimlikler'i ziyaret edin.
Koşullu erişim ilkeleri aracılığıyla güvenliği zorunlu kılma: Kullanıcı, konum veya cihaz bağlamı temelinde güvenlik denetimlerini zorunlu kılmak için Microsoft Entra'da koşullu erişim ilkeleri ayarlayın. Bu ilkeler, güvenlik gereksinimlerinin risk temelinde dinamik olarak uygulanmasına olanak tanıyarak genel güvenlik duruşunun geliştirilmesini sağlar. Daha fazla bilgi için Microsoft Entra Koşullu Erişim'i ziyaret edin.
Yerel kimlik doğrulaması SCRAM kimlik doğrulaması kullanmalıdır: Yerel kimlik doğrulaması kullanmanız gerekiyorsa, güçlü parola ilkelerinin uygulandığından emin olun. Güvenliği aşılmış hesap riskini en aza indirmek için parola karmaşıklığı gereksinimlerini ve düzenli parola döndürmeyi kullanın. Daha fazla bilgi için PostgreSQL için Azure Veritabanı'nda SCRAM kimlik doğrulaması bölümünü ziyaret edin.
Erişim denetimi
Erişim denetimi bölümü, en düşük ayrıcalık ilkesine göre erişim düzeyinin güvenliğini sağlamaya odaklanır. Yükseltilmiş izinleri kısıtlayıp yöneterek, çok faktörlü kimlik doğrulamasını zorunlu kılarak ve ayrıcalıklı eylemlerin günlüğe kaydedilip denetlendiğinden emin olarak hassas kaynaklara yetkisiz erişim riskini en aza indirmeyi vurgular.
Erişim denetimi bölümü için bazı olası güvenlik hizmetleri, özellikler ve en iyi yöntemler şunlardır:
Erişim denetimi için Entra rollerini kullanma: PostgreSQL için Azure Veritabanı kaynaklarına erişimi yönetmek için Azure Role-Based Erişim Denetimi (Role-Based Erişim Denetimi (RBAC) uygulayın. Kullanıcıların ve uygulamaların yalnızca ihtiyaç duydukları izinlere sahip olduğundan emin olarak, en düşük ayrıcalık ilkesine göre roller atayın. Daha fazla bilgi için genel olarak Azure Rol Tabanlı Erişim Denetimi (RBAC) adresini ziyaret edin ve PostgreSQL için Azure Veritabanı'nda Microsoft Entra rollerini yönetin.
Entra en iyi yöntemlerini izleyin: Kullanıcılarınızı ve veritabanlarınızı korumak için MFA, Koşullu Erişim ilkelerini tam zamanında (JIT) kullanın.
Yerel veritabanı kullanıcılarını, rollerini ve izinlerini yönetme: Veritabanı düzeyinde erişimi denetlemek için PostgreSQL'in yerleşik rol yönetimini kullanın. En az ayrıcalık ilkesini zorunlu kılmak için belirli izinlere sahip özel roller oluşturun. Güvenlik ilkeleriyle uyumluluğu sağlamak için bu rolleri düzenli olarak gözden geçirin ve denetleyin. Daha fazla bilgi için PostgreSQL için Azure Veritabanı'nda kullanıcı oluşturma bölümünü ziyaret edin.
Veri koruma
Veri koruma bölümü, bekleyen ve aktarımdaki hassas verilerin güvenliğini sağlamaya odaklanır. Verilerin şifrelenmesini, erişimin denetlenmesini ve hassas bilgilerin yetkisiz erişime karşı korunmasını sağlar. Veri bütünlüğünü ve gizliliğini korumak için şifreleme, güvenli bağlantılar ve veri maskeleme kullanımını vurgular.
Veri koruma bölümü için bazı olası güvenlik hizmetleri, özellikleri ve en iyi yöntemleri aşağıda bulabilirsiniz:
Aktarımdaki verileri şifreleyin
TLS bağlantılarını doğrulama: Azure PostgreSQL, uygulamanızla veritabanı arasında aktarımda olan verileri şifrelemek için her zaman SSL veya TLS kullanır. Uygulamanızı kök CA, süresi dolan sertifikalar, ana bilgisayar adı uyuşmazlığı ve sertifika iptali gibi kullanılan sertifikayı doğrulayacak şekilde yapılandırmanız gerekir. Bu uygulama, gizli bilgilerin gizlice dinlemeye ve ortadaki adam saldırılarına karşı korunmasına yardımcı olur. Daha fazla bilgi için PostgreSQL için Azure Veritabanı'nda TLS ve SSL ile güvenli bağlantı bağlantısını ziyaret edin.
İstemcinin en son TLS sertifikalarının yüklü olduğundan emin olun: Güvenli bağlantıları desteklemek için istemci uygulamalarınızda en son TLS sertifikalarının yüklü olduğundan emin olun. Bu uygulama, bağlantı hatalarını önlemeye yardımcı olur ve uygulamanızın PostgreSQL sunucusuyla güvenli bağlantılar kurabilmesini sağlar. Daha fazla bilgi için Kök CA sertifikalarını indirme ve uygulama istemcilerini güncelleştirme konularını ziyaret edin.
TLS 1.3 kullanımını gerektir: PostgreSQL sunucunuzu tüm bağlantılar için TLS 1.3 gerektirecek şekilde yapılandırın. Bu yapılandırma, protokolün yalnızca en son ve en güvenli sürümünün kullanılmasını sağlayarak daha iyi güvenlik ve performans sağlar. Daha fazla bilgi için TLS sürümleri'ne bakın.
Atıl durumdaki şifreleme
Bekleyen veriler SMK ile her zaman saydam bir şekilde şifrelenir: PostgreSQL için Azure Veritabanı hizmet tarafından yönetilen anahtarları (SMK) kullanarak bekleyen verileri otomatik olarak şifreler. Bu şifreleme, ek yapılandırma gerektirmeden verilerinizin korunmasını sağlar. Temel alınan Azure depolama altyapısını kullanır. Birincil sunucuyu, çoğaltmaları, belirli bir noktaya kurtarmayı (PITR) ve yedeklemeleri kapsar. Daha fazla bilgi için PostgreSQL için Azure Veritabanı'nda veri şifreleme bölümünü ziyaret edin.
Ek denetim için müşteri tarafından yönetilen anahtarları kullanın: Şifreleme anahtarları üzerinde daha fazla denetime ihtiyacınız varsa Azure Key Vault veya Azure HSM'de depolanan müşteri tarafından yönetilen anahtarları (CMK) kullanın. Bu seçenek, şifreleme anahtarlarınızı yönetmenize olanak tanır ve daha fazla güvenlik ve uyumluluk seçeneği sağlar. Daha fazla bilgi için PostgreSQL için Azure Veritabanı'nda müşteri tarafından yönetilen anahtarlar ve PostgreSQL için Azure Veritabanı'nda veri şifrelemeyi yapılandırma konularını ziyaret edin.
KV veya Yönetilen HSM'de otomatik anahtar döndürmeyi ayarlama: Müşteri tarafından yönetilen anahtarlar kullanıyorsanız, şifreleme anahtarlarınızın düzenli olarak güncelleştirildiğinden emin olmak için Azure Key Vault'ta otomatik anahtar döndürmeyi yapılandırın. PostgreSQL için Azure Veritabanı, bir anahtar döndürüldükten sonra otomatik anahtar sürümü güncelleştirmelerini destekler. Daha fazla bilgi için Azure Yönetilen HSM'de anahtar otomatik döndürmeyi yapılandırma veya DiğerKey Vault ayrıntıları için Azure Key Vault'ta otomatik döndürmeyi anlama bölümünü ziyaret edin. Daha fazla bilgi için, otomatik anahtar döndürmeyi yapılandırma hakkında daha fazla bilgi için Sunucu sağlama sırasında müşteri tarafından yönetilen anahtarla veri şifrelemeyi yapılandırma bölümünü ziyaret edin.
İstemci tarafı şifreleme ile ultra hassas verileri şifreleme: Ultra hassas veriler için istemci tarafı şifrelemesi uygulamayı göz önünde bulundurun. Bu yaklaşım, verileri veritabanına göndermeden önce şifreleyerek veritabanında yalnızca şifrelenmiş verilerin depolanmasını sağlar. Bu uygulama, veritabanının kendisi ve dolayısıyla veritabanı yöneticisinin şifrelenmemiş verilere erişimi olmadığından daha fazla güvenlik katmanı sağlar.
Gizli işlem
Azure Gizli Bilgi İşlem (ACC), kuruluşların kişisel veriler veya korumalı sağlık bilgileri (PHI) gibi hassas verileri güvenli bir şekilde işlemesine ve üzerinde işbirliği yapmasına olanak tanır. ACC, Güvenilen Yürütme Ortamları (TEE) aracılığıyla kullanılan verilerin güvenliğini sağlayarak yetkisiz erişime karşı yerleşik koruma sağlar.
- SaaS ve barındırma sağlayıcıları gizli işlem yapılandırmayı göz önünde bulundurun: Hizmet olarak yazılım (SaaS) veya barındırma sağlayıcısıysanız ve PostgreSQL iş yükleriniz hassas verilerin işlenmesini içeriyorsa, kullanımdaki verileri korumak için Azure Gizli Bilgi İşlem'i kullanmayı göz önünde bulundurun. Bu çözüm, verilerin güvenli bir ortamda işlenmesini sağlayarak daha fazla güvenlik katmanı sağlar ve ayrıcalıklı kullanıcılardan bile yetkisiz erişimi engeller. Daha fazla bilgi için daha fazla ayrıntı için PostgreSQL için Azure Veritabanı için Azure Gizli Bilgi İşlem'i ziyaret edin.
Veri maskeleme ve yeniden eylem
Veri maskeleme uygulama: Aşağıdakileri desteklemek için PostgreSQL Anonymizer uzantısını kullanın:
Anonim Dökümler: Maskelenmiş verileri bir SQL dosyasına aktarın.
Statik Maskeleme: Kişisel verileri kurallara göre kaldırın.
Dinamik Maskeleme: Kişisel verileri yalnızca maskelenmiş kullanıcılar için gizleyin.
Maskeleme Görünümleri: Maskelenmiş kullanıcılar için ayrılmış görünümler oluşturun.
Veri Sarmalayıcılarını Maskeleme: Dış verilere maskeleme kuralları uygulayın.
Log tutma ve tehdit algılama
Günlüğe kaydetme ve tehdit algılama bölümü, Azure ortamlarındaki tehditleri algılama denetimlerini kapsar. Azure hizmetleri için denetim günlüklerini etkinleştirme, toplama ve depolamayı kapsar. Yerel tehdit algılama özelliklerinin kullanımını, merkezi günlük yönetimini ve güvenlik araştırmaları ve uyumluluk için uygun günlük saklamayı vurgular. Bu bölümde yüksek kaliteli uyarılar oluşturmaya, Azure araçları aracılığıyla güvenlik analizini merkezileştirmeye, doğru zaman eşitlemesini korumaya ve etkin günlük saklama stratejilerini sağlamaya odaklanmaktadır.
Günlüğe kaydetme ve tehdit algılama bölümüne yönelik bazı olası güvenlik hizmetleri, özellikler ve en iyi yöntemler şunlardır:
Tanılama günlüklerinin toplanmasını etkinleştirme: "Denetim" grubu kategorisini seçerek tanılama günlüğünün etkinleştirildiğinden emin olun. Azure İlkesi'ni kullanarak şu adımları uygulayın:
Girişim Log Analytics'e desteklenen kaynaklar için denetim kategorisi grubu kaynak günlüğünü etkinleştirme
Open-Source İlişkisel Veritabanları için Microsoft Defender'ı kullanma: PostgreSQL esnek sunucu örneğinizin güvenlik duruşunu geliştirmek için Open-Source İlişkisel Veritabanları için Microsoft Defender'ı kullanın. Bu hizmet, açık kaynak veritabanları için uyarlanmış gelişmiş tehdit koruması, güvenlik açığı değerlendirmeleri ve güvenlik önerileri sağlar. Daha fazla bilgi için, daha fazla ayrıntı için Open-Source İlişkisel Veritabanları için Microsoft Defender'a Genel Bakış bölümünü ziyaret edin.
Denetim günlüğünü etkinleştirme: pgaudit uzantısını kullanarak veritabanı etkinliklerini izlemek ve günlüğe kaydetmek için PostgreSQL'iniz için denetim günlüğünü yapılandırın. Daha fazla bilgi için PostgreSQL için Azure Veritabanı'nda denetim günlüğü makalesini ziyaret edin.
Yedekleme ve kurtarma
Yedekleme ve kurtarma bölümü, Azure hizmetlerindeki verilerin ve yapılandırmaların düzenli olarak yedeklenmesine, korunmasına ve hatalarda veya olağanüstü durumlarda kurtarılabilir olmasını sağlamaya odaklanır. Yedeklemeleri otomatikleştirmeyi, yedekleme verilerinin güvenliğini sağlamayı ve kurtarma işlemlerinin kurtarma süresi hedeflerini (RTO) ve kurtarma noktası hedeflerini (RPO) karşılayacak şekilde test edilmesini ve doğrulandığından emin olmasını vurgular. Bu bölümde ayrıca, uyumluluk ve hazırlığı sağlamak için yedekleme işlemlerini izleme ve denetlemenin önemi vurgulanır. Genel bakış için, Daha fazla bilgi için PostgreSQL için Azure Veritabanı ile iş sürekliliğine genel bakış bölümünü ziyaret edin.
Yedekleme ve kurtarma algılama bölümü için bazı olası güvenlik hizmetleri, özellikler ve en iyi yöntemler şunlardır:
Yüksek kullanılabilirlik kullanın: Kapalı kalma süresini en aza indirmek ve veritabanınıza sürekli erişim sağlamak için PostgreSQL esnek sunucu örneğiniz için yüksek kullanılabilirlik (HA) yapılandırmaları uygulayın. Daha fazla bilgi için PostgreSQL için Azure Veritabanı'nda yüksek kullanılabilirlik (Güvenilirlik) ve Yüksek kullanılabilirliği yapılandırma konularını ziyaret edin.
Otomatik yedeklemeleri yapılandırma: PostgreSQL için Azure Veritabanı, veritabanı dosyalarınızın günlük yedeklemelerini otomatik olarak gerçekleştirir ve işlem günlüklerini sürekli olarak yedekler. Yedeklemeleri yedi günden 35 güne kadar koruyabilirsiniz. Veritabanı sunucunuzu yedekleme saklama süreniz içinde herhangi bir noktaya geri yükleyebilirsiniz. RTO, geri yükleneceği verilerin boyutuna ve günlük kurtarma gerçekleştirme süresine bağlıdır. Birkaç dakika ile 12 saat arasında değişebilir. Daha fazla bilgi için PostgreSQL için Azure Veritabanı'nda yedekleme ve geri yükleme bölümünü ziyaret edin.
Okuma amaçlı çoğaltmaları yapılandırma: Okuma işlemlerini birincil sunucudan boşaltmak için okuma çoğaltmalarını kullanarak performansı ve kullanılabilirliği geliştirin. Ayrıca olağanüstü durum kurtarma senaryoları için okuma amaçlı çoğaltmaları kullanarak birincil sunucu hatasıyla bir çoğaltmaya hızlı bir şekilde geçiş yapabilirsiniz. Daha fazla bilgi için PostgreSQL için Azure Veritabanı'nda çoğaltmaları okuma bölümünü ziyaret edin.
Müşteri tarafından yönetilen anahtar şifrelemesi ile yedekleme verilerini koruma: Bekleyen şifrelemeyi kullanarak yedekleme verilerinizin güvenliğini sağlayın.