Popis zabezpečení Služby Azure Database for PostgreSQL

  • 3 min

Azure Database for PostgreSQL používá k ochraně dat několik vrstev zabezpečení. Mezi tyto vrstvy patří:

  • Šifrování dat
  • Zabezpečení sítě
  • Správa přístupu

Šifrování dat

Azure Database for PostgreSQL šifruje přenášená a neaktivní uložená data. Toto téma je popsáno v lekci 5.

Zabezpečení sítě

Flexibilní server Azure Database for PostgreSQL nabízí dvě možnosti sítě:

  • Soukromý přístup. Server vytvoříte ve virtuální síti Azure s komunikací privátní sítě a privátními IP adresami. Pravidla zabezpečení ve skupinách zabezpečení sítě umožňují filtrovat typ síťového provozu, který může přicházet do podsítí virtuálních sítí a síťových rozhraní a odcházet z nich.
  • Veřejný přístup. Server je přístupný prostřednictvím veřejného koncového bodu s veřejně přeložitelnou adresou DNS (Domain Name System). Brána firewall ve výchozím nastavení blokuje veškerý přístup. Můžete vytvořit pravidla firewallu protokolu IP pro udělení přístupu k serverům na základě původní IP adresy každého požadavku.

Poznámka:

Při vytváření flexibilního serveru Azure Database for PostgreSQL vyberete privátní přístup nebo veřejný přístup. Po vytvoření serveru nemůžete změnit možnost sítě.

Obě možnosti řídí přístup na úrovni serveru, ne na úrovni databáze nebo tabulky. Role PostgreSQL slouží k udělení nebo zamítnutí přístupu k databázi, tabulce a dalším objektům.

Můžete také spravovat přístup k serveru vytvořením pravidel brány firewall, která povolí připojení pouze ze známých rozsahů IP adres.

Správa přístupu

Při vytváření serveru Azure Database for PostgreSQL vytvoříte také účet správce. Tento účet správce lze použít k vytvoření dalších rolí PostgreSQL. Role je uživatel databáze nebo skupina uživatelů. Přístup k serveru Azure Database for PostgreSQL se ověřuje pomocí uživatelského jména, hesla a oprávnění udělených nebo odepřených pro tuto roli.

Ověřování SCRAM

Většina přístupu k serveru Azure Database for PostgreSQL spoléhá na hesla. Je ale možné použít ověřování SCRAM, zabezpečený ověřovací protokol pro hesla, který může ověřit klienta bez odhalení hesla uživatele s jasným textem hesla na serveru. Mechanismus scRAM (Salted Challenge Response Authentication Mechanism) je navržený tak, aby ztěžoval útoky typu man-in-the-middle.

Konfigurace šifrování hesla:

  1. Na webu Azure Portal přejděte na flexibilní server Azure Database for PostgreSQL a v části Nastavení vyberte Parametry serveru.
  2. Do vyhledávacího panelu zadejte password_encryption. Existují dva parametry, které řídí šifrování hesel; obě výchozí hodnoty SCRAM-SHA-256:
    • password_encryption
    • azure.accepted_password_auth_method

.