適用於 PostgreSQL 的 Azure 資料庫 中的安全性 - 單一伺服器
適用於:
適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器
重要
適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器位於淘汰路徑上。 強烈建議您升級至 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器。 如需移轉至 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器的詳細資訊,請參閱單一伺服器 適用於 PostgreSQL 的 Azure 資料庫 發生什麼事?。
有多層安全性可供保護 適用於 PostgreSQL 的 Azure 資料庫 伺服器上的數據。 本文概述這些安全性選項。
資訊保護和加密
傳輸中
適用於 PostgreSQL 的 Azure 資料庫 使用傳輸層安全性加密傳輸中的數據來保護您的數據。 預設會強制執行加密 (SSL/TLS)。
待用
適用於 PostgreSQL 的 Azure 資料庫 服務會使用 FIPS 140-2 驗證的密碼編譯模組來儲存待用數據的加密。 資料 (包含備份) 會在磁碟上加密,這也包括執行查詢時所建立的暫存檔案。 該服務使用包含在 Azure 儲存體加密中的 AES 256 位元加密,且金鑰是由系統進行管理。 儲存體加密會一律啟用,且無法停用。
網路安全性
連線 至 適用於 PostgreSQL 的 Azure 資料庫 伺服器會先透過區域閘道路由傳送。 網關具有可公開存取的IP,而伺服器IP位址則受到保護。 如需閘道的詳細資訊,請瀏覽 連線架構一文。
新建立 適用於 PostgreSQL 的 Azure 資料庫 伺服器具有封鎖所有外部連線的防火牆。 雖然它們到達閘道,但不允許它們連線到伺服器。
IP 防火牆規則
IP 防火牆規則會根據每個要求的來源 IP 位址授與伺服器存取權。 如需詳細資訊, 請參閱防火牆規則概觀 。
虛擬網路防火牆規則
虛擬網路服務端點會透過 Azure 骨幹擴充虛擬網路連線能力。 使用虛擬網路規則,您可以啟用 適用於 PostgreSQL 的 Azure 資料庫 伺服器,以允許虛擬網路中所選子網的連線。 如需詳細資訊,請參閱 虛擬網路服務端點概觀。
私人 IP
Private Link 可讓您透過私人端點連線到 Azure 中的 適用於 PostgreSQL 的 Azure 資料庫 單一伺服器。 Azure Private Link 基本上會將 Azure 服務帶入私人虛擬網路 (VNet) 內部。 PaaS 資源可使用私人 IP 位址來存取,就像 VNet 中的任何其他資源一樣。 如需詳細資訊,請參閱 私人連結概觀
存取管理
建立 適用於 PostgreSQL 的 Azure 資料庫 伺服器時,您會提供系統管理員角色的認證。 此系統管理員角色可用來建立其他 PostgreSQL 角色。
您也可以使用 Microsoft Entra 驗證連線到伺服器。
威脅保護
您可以加入進 階威脅防護 ,以偵測異常活動,指出存取或惡意探索伺服器時發生異常且可能有害的嘗試。
稽核記錄 可用來追蹤資料庫中的活動。
從 Oracle 移轉
Oracle 支援 透明資料加密 (TDE) 來加密數據表和數據表空間數據。 在適用於 PostgreSQL 的 Azure 中,資料會在不同層級自動加密。 請參閱此頁面中的「待用」一節,並參閱各種安全性主題,包括 客戶管理的密鑰 和 基礎結構雙重加密。 您也可以考慮使用適用於 PostgreSQL 的 Azure 中支援的 pgcrypto 擴充功能。