適用於 PostgreSQL 的 Azure 資料庫 基礎結構雙重加密
適用於:
適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器
重要
適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器位於淘汰路徑上。 強烈建議您升級至 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器。 如需移轉至 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器的詳細資訊,請參閱單一伺服器 適用於 PostgreSQL 的 Azure 資料庫 發生什麼事?。
適用於 PostgreSQL 的 Azure 資料庫 使用 Microsoft 受控金鑰的數據待用資料的記憶體加密。 數據,包括備份,都會在磁碟上加密,而且此加密一律為開啟且無法停用。 加密會使用 FIPS 140-2 驗證的密碼編譯模組和 AES 256 位加密進行 Azure 記憶體加密。
基礎結構雙重加密會使用服務管理的密鑰來新增第二層加密。 它會使用 FIPS 140-2 驗證的密碼編譯模組,但使用不同的加密演算法。 這會為待用數據提供額外的保護層。 基礎結構雙重加密中使用的金鑰也會由 適用於 PostgreSQL 的 Azure 資料庫 服務管理。 基礎結構雙重加密預設不會啟用,因為額外的加密層可能會影響效能。
注意
此功能僅支援 適用於 PostgreSQL 的 Azure 資料庫 中的「一般用途」和「記憶體優化」定價層。
基礎結構層加密的優點是在最接近儲存裝置或網路線的層實作。 適用於 PostgreSQL 的 Azure 資料庫 使用服務管理的密鑰實作兩層加密。 雖然在服務層技術上仍然很接近儲存待用數據的硬體。 您仍然可以選擇性地針對布建的 PostgreSQL 伺服器,使用客戶管理的金鑰來啟用待用數據加密。
基礎結構層的實作也支援索引鍵的多樣性。 基礎結構必須留意計算機和網路的不同叢集。 因此,不同的密鑰可用來將基礎結構攻擊的爆破半徑降到最低,以及各種硬體和網路失敗。
注意
由於額外的加密程式,使用基礎結構雙重加密會對 適用於 PostgreSQL 的 Azure 資料庫 伺服器造成效能影響。
福利
適用於 PostgreSQL 的 Azure 資料庫 的基礎結構雙重加密提供下列優點:
- 密碼編譯實 作的額外多樣性 - 計劃移至硬體型加密,除了以軟體為基礎的實作之外,還會提供硬體型實作,進一步將實作多樣化。
- 實作錯誤 - 基礎結構層的兩層加密可防範較高層中快取或記憶體管理中公開純文本數據的任何錯誤。 此外,這兩個層級也可確保在一般加密實作時發生錯誤。
這些組合提供強式保護,防範用來攻擊密碼編譯的常見威脅和弱點。
基礎結構雙重加密的支援案例
適用於 PostgreSQL 的 Azure 資料庫 所提供的加密功能可以一起使用。 以下是您可以使用的各種案例摘要:
| ## | 預設加密 | 基礎結構雙重加密 | 使用客戶管理的金鑰進行數據加密 |
|---|---|---|---|
| 1 | 是 | 否 | 否 |
| 2 | 是 | 是 | 否 |
| 3 | 是 | 否 | 是 |
| 4 | 是 | 是 | 是 |
重要
- 案例 2 和 4 會因為額外的基礎結構加密層而對 適用於 PostgreSQL 的 Azure 資料庫 伺服器造成效能影響。
- 只有在伺服器建立期間,才允許設定 適用於 PostgreSQL 的 Azure 資料庫的基礎結構雙重加密。 布建伺服器之後,您無法變更記憶體加密。 不過,您仍然可以針對使用/不使用基礎結構雙重加密所建立之伺服器的客戶自控密鑰來啟用數據加密。
限制
針對 適用於 PostgreSQL 的 Azure 資料庫,使用服務管理的密鑰支援基礎結構雙重加密具有下列限制:
此功能的支援僅限於 一般用途 和 記憶體優化 定價層。
只有區域和伺服器才支援這項功能,其支援最多 16 TB 的記憶體。 如需支援記憶體最多 16 TB 的 Azure 區域清單,請參閱 記憶體檔。
注意
- 在上述區域中建立的所有 新 PostgreSQL 伺服器也都支援使用客戶經理密鑰進行數據加密。 在此情況下,透過時間點還原 (PITR) 或讀取複本建立的伺服器不符合「新增」資格。
- 若要驗證布建的伺服器是否支援高達 16 TB,您可以移至入口網站中的定價層刀鋒視窗,並查看記憶體滑桿是否可以移至 16 TB。 如果您只能將滑桿移至 4 TB,您的伺服器可能不支援使用客戶管理的密鑰進行加密;不過,數據會隨時使用服務管理的金鑰來加密。 如果您有任何問題,請連絡 AskAzureDBforPostgreSQL@service.microsoft.com 。
下一步
瞭解如何 為適用於 PostgreSQL 的 Azure 資料庫設定基礎結構雙重加密。