PostgreSQL için Azure Veritabanı Altyapısı çift şifreleme
ŞUNLAR IÇIN GEÇERLIDIR:
PostgreSQL için Azure Veritabanı - Tek Sunucu
Önemli
PostgreSQL için Azure Veritabanı - Tek Sunucu kullanımdan kaldırma yolundadır. PostgreSQL için Azure Veritabanı - Esnek Sunucu'ya yükseltmenizi kesinlikle öneririz. PostgreSQL için Azure Veritabanı - Esnek Sunucu'ya geçiş hakkında daha fazla bilgi için bkz. PostgreSQL için Azure Veritabanı Tek Sunucuya ne oluyor?.
PostgreSQL için Azure Veritabanı, Microsoft'un yönetilen anahtarlarını kullanarak bekleyen verilerin depolama şifrelemesini kullanır. Yedeklemeler de dahil olmak üzere veriler diskte şifrelenir ve bu şifreleme her zaman açık olur ve devre dışı bırakılamaz. Şifreleme, Azure depolama şifrelemesi için FIPS 140-2 doğrulanmış şifreleme modülünü ve AES 256 bit şifrelemeyi kullanır.
Altyapı çift şifrelemesi, hizmet tarafından yönetilen anahtarları kullanarak ikinci bir şifreleme katmanı ekler. FIPS 140-2 doğrulanmış şifreleme modülünü kullanır ancak farklı bir şifreleme algoritması kullanır. Bu, bekleyen verileriniz için ek bir koruma katmanı sağlar. Altyapı çift şifrelemesinde kullanılan anahtar, PostgreSQL için Azure Veritabanı hizmeti tarafından da yönetilir. Ek şifreleme katmanının performansı etkileyebileceğinden altyapı çift şifrelemesi varsayılan olarak etkinleştirilmez.
Not
Bu özellik yalnızca PostgreSQL için Azure Veritabanı "Genel Amaçlı" ve "Bellek için İyileştirilmiş" fiyatlandırma katmanları için desteklenir.
Altyapı Katmanı şifrelemesi, depolama cihazına veya ağ kablolarına en yakın katmanda uygulanma avantajına sahiptir. PostgreSQL için Azure Veritabanı, hizmet tarafından yönetilen anahtarları kullanarak şifrelemenin iki katmanını uygular. Hala teknik olarak hizmet katmanında olsa da, bekleyen verileri depolayan donanıma çok yakındır. Sağlanan PostgreSQL sunucusu için müşteri tarafından yönetilen anahtarı kullanarak bekleyen veri şifrelemeyi isteğe bağlı olarak etkinleştirmeye devam edebilirsiniz.
Altyapı katmanlarında uygulama, çeşitli anahtarları da destekler. Altyapının farklı makine ve ağ kümelerini bilmesi gerekir. Bu nedenle, altyapı saldırılarının patlama yarıçapını ve çeşitli donanım ve ağ hatalarını en aza indirmek için farklı anahtarlar kullanılır.
Not
Altyapı çift şifrelemesinin kullanılması, ek şifreleme işlemi nedeniyle PostgreSQL için Azure Veritabanı sunucusu üzerinde performansı etkiler.
Sosyal haklar
PostgreSQL için Azure Veritabanı için altyapı çift şifrelemesi aşağıdaki avantajları sağlar:
- Ek şifreleme uygulaması çeşitliliği - Donanım tabanlı şifrelemeye planlanan geçiş, yazılım tabanlı uygulamaya ek olarak donanım tabanlı bir uygulama sağlayarak uygulamaları daha da çeşitlendirecektir.
- Uygulama hataları - Altyapı katmanındaki iki şifreleme katmanı, düz metin verilerini kullanıma sunan daha yüksek katmanlardaki önbelleğe alma veya bellek yönetimi hatalarına karşı koruma sağlar. Buna ek olarak, iki katman genel olarak şifrelemenin uygulanmasındaki hatalara karşı da güvence sağlar.
Bunların birleşimi, şifrelemeye saldırmak için kullanılan yaygın tehditlere ve zayıflıklara karşı güçlü koruma sağlar.
Altyapı çift şifrelemesi ile desteklenen senaryolar
PostgreSQL için Azure Veritabanı tarafından sağlanan şifreleme özellikleri birlikte kullanılabilir. Kullanabileceğiniz çeşitli senaryoların özeti aşağıdadır:
| ## | Varsayılan şifreleme | Altyapı çift şifreleme | Müşteri tarafından yönetilen anahtarları kullanarak veri şifreleme |
|---|---|---|---|
| 1 | Evet | Hayır | Hayır |
| 2 | Evet | Evet | Hayır |
| 3 | Evet | Hayır | Evet |
| 4 | Evet | Evet | Evet |
Önemli
- Senaryo 2 ve 4, ek altyapı şifreleme katmanı nedeniyle PostgreSQL için Azure Veritabanı sunucusu üzerinde performans etkisine sahip olacaktır.
- PostgreSQL için Azure Veritabanı için Altyapı çift şifreleme yapılandırmasına yalnızca sunucu oluşturma sırasında izin verilir. Sunucu sağlandıktan sonra depolama şifrelemesini değiştiremezsiniz. Ancak, altyapı çift şifrelemesi ile/olmadan oluşturulan sunucu için müşteri tarafından yönetilen anahtarları kullanarak Veri şifrelemeyi etkinleştirmeye devam edebilirsiniz.
Sınırlamalar
PostgreSQL için Azure Veritabanı için, hizmet tarafından yönetilen anahtar kullanılarak altyapı çift şifreleme desteği aşağıdaki sınırlamalara sahiptir:
Bu işlev desteği Genel Amaçlı ve Bellek için İyileştirilmiş fiyatlandırma katmanlarıyla sınırlıdır.
Bu özellik yalnızca 16 TB'a kadar depolamayı destekleyen bölgelerde ve sunucularda desteklenir. 16 TB'a kadar depolamayı destekleyen Azure bölgelerinin listesi için depolama belgelerine bakın.
Not
- Yukarıda listelenen bölgelerde oluşturulan tüm yeni PostgreSQL sunucuları, müşteri yöneticisi anahtarlarıyla veri şifrelemeyi de destekler. Bu durumda, belirli bir noktaya geri yükleme (PITR) veya okuma amaçlı çoğaltmalar aracılığıyla oluşturulan sunucular "yeni" olarak nitelenmez.
- Sağlanan sunucunuzun 16 TB'a kadar destekleyip desteklemediğini doğrulamak için portaldaki fiyatlandırma katmanı dikey penceresine gidebilir ve depolama kaydırıcısının 16 TB'a kadar taşınıp taşınamadığını görebilirsiniz. Kaydırıcıyı yalnızca 4 TB'a kadar taşıyabiliyorsanız, sunucunuz müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklemeyebilir; ancak veriler her zaman hizmet tarafından yönetilen anahtarlar kullanılarak şifrelenir. Sorularınız varsa lütfen adresine ulaşın AskAzureDBforPostgreSQL@service.microsoft.com .
Sonraki adımlar
PostgreSQL için Azure veritabanı için altyapı çift şifrelemesi ayarlamayı öğrenin.