Azure-Sicherheitsbaseline für Azure Database for PostgreSQL – Flexible Server
Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf Azure Database for PostgreSQL – Flexible Server an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird durch die Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für Azure Database for PostgreSQL – Flexible Server definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features, die nicht für Azure Database for PostgreSQL gelten: Flexible Server wurden ausgeschlossen. Informationen dazu, wie Azure Database for PostgreSQL – Flexibler Server vollständig dem Microsoft-Cloudsicherheitstest zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei Azure Database for PostgreSQL – Flexible Server-Sicherheitsbaseline.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Azure Database for PostgreSQL – Flexible Server mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Datenbanken |
| Der Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
| Speichert ruhende Kundeninhalte | True |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Funktionen
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Stellen Sie den Dienst in einem virtuellen Netzwerk bereit. Weisen Sie der Ressource (sofern zutreffend) private IP-Adressen zu, es sei denn, es gibt einen starken Grund, der Ressource öffentliche IP-Adressen direkt zuzuweisen.
Referenz: Privater Zugriff (VNET-Integration)
Unterstützung von Netzwerksicherheitsgruppen
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
Referenz: Netzwerkübersicht für Azure Database for PostgreSQL – Flexible Server
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Funktionen
Azure Private Link
Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Deaktivieren Sie den Zugriff auf öffentliche Netzwerke entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder mit einem Umschaltschalter für den Zugriff auf öffentliche Netzwerke.
Referenz: Öffentlicher Zugriff
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.DBforPostgreSQL:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Privater Endpunkt muss für PostgreSQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Das Feature befindet sich in der öffentlichen Vorschau, noch nicht in der allgemeinen Verfügbarkeit.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory-Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Es gibt keine aktuelle Microsoft-Anleitung für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für den bedingten Zugriff von Azure Active Directory (Azure AD) in der Workload. Ziehen Sie häufige Anwendungsfälle in Betracht, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Standorten, das Blockieren riskanter Anmeldeverhalten oder die Anforderung von organization verwalteten Geräten für bestimmte Anwendungen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für den Speicher von Anmeldeinformationen und Geheimnissen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Privilegierter Zugriff
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren
Funktionen
Lokale Admin-Konten
Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Zugriffsverwaltung
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Funktionen
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Daten während der Übertragung
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.DBforPostgreSQL:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Azure Storage-Verschlüsselung für ruhende Daten
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Bestimmungen erforderlich ist, definieren Sie den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.DBforPostgreSQL:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| PostgreSQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | AuditIfNotExists, Disabled | 1.0.4 |
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder bei einem Ausfall oder einer Kompromittierung des Schlüssels. Wenn der kundenseitig verwaltete Schlüssel (Customer Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, sollten Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs des Diensts oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) für den Dienst verwenden müssen (z. B. das Importieren von HSM-geschützten Schlüsseln von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.
Referenz: Verschlüsselung mit einem kundenseitig verwalteten Schlüssel
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Customer |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung, Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer, unsichere Kryptografie. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault und des Azure-Diensts (sofern unterstützt) basierend auf einem definierten Zeitplan oder beim Ablauf des Zertifikats ein. Wenn die automatische Rotation in der Anwendung nicht unterstützt wird, stellen Sie sicher, dass sie weiterhin mithilfe manueller Methoden in Azure Key Vault und der Anwendung gedreht werden.
Referenz: Herstellen einer Verbindung mit Azure AD-Identitäten
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Funktionen
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Funktionen
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Das Feature befindet sich noch in der öffentlichen Vorschau, noch nicht in der allgemeinen Verfügbarkeit.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Protokolle in Azure Database for PostgreSQL – Flexible Server
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Backup
Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Beachten Sie, dass Azure Database for PostgreSQL mithilfe von Sicherungen Point-in-Time-Wiederherstellungen für eine Hyperscale-Servergruppe (Citus) durchführen können.
Point-in-Time-Wiederherstellung einer Hyperscale (Citus)-Servergruppe
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Service Native Backup-Funktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (falls nicht Azure Backup). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Sichern und Wiederherstellen in Azure Database for PostgreSQL – Flexible Server
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.DBforPostgreSQL:
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
Nächste Schritte
- Übersicht über den Microsoft-Cloudsicherheitstest
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.