Beschreiben der Sicherheitseinstellungen in Azure Database for PostgreSQL

Abgeschlossen

Azure Database for PostgreSQL schützt Daten mithilfe mehrerer Sicherheitsebenen. Zu diesen Ebenen zählen:

• Datenverschlüsselung
• Netzwerksicherheit
• Zugriffsverwaltung

Datenverschlüsselung

Azure Database for PostgreSQL verschlüsselt Daten während der Übertragung und im Ruhezustand. Dieses Thema wird in Lerneinheit 5 behandelt.

Netzwerksicherheit

Azure Database for PostgreSQL – Flexibler Server bietet zwei Netzwerkoptionen:

• Privater Zugriff. Sie erstellen Ihren Server in einem virtuellen Azure-Netzwerk mit privater Netzwerkkommunikation und privaten IP-Adressen. Mit Sicherheitsregeln in Netzwerksicherheitsgruppen können Sie den Typ des ein- und ausgehenden Netzwerkdatenverkehrs von Subnetzen virtueller Netzwerke und Netzwerkschnittstellen filtern.
• Öffentlicher Zugriff. Der Zugriff auf den Server kann über einen öffentlichen Endpunkt mit einer öffentlich auflösbaren DNS-Adresse (Domain Name System) erfolgen. Eine Firewall blockiert standardmäßig den gesamten Zugriff. Sie können IP-Firewallregeln erstellen, um den Zugriff auf Server auf Grundlage der IP-Adresse, von der die jeweilige Anforderung ausgeht, zu gewähren.

Hinweis

Wenn Sie eine Instanz von Azure Database for PostgreSQL – Flexibler Server erstellen, wählen Sie entweder „Privater Zugriff“ oder „Öffentlicher Zugriff“ aus. Sobald Ihr Server erstellt wurde, können Sie Ihre Netzwerkoption nicht mehr ändern.

Über beide Optionen wird der Zugriff auf Serverebene, nicht auf Datenbank- oder auf Tabellenebene gesteuert. Mithilfe von PostgreSQL-Rollen können Sie Zugriff auf Datenbanken, Tabellen und andere Objekte gewähren oder verweigern.

Sie können den Zugriff auf den Server auch verwalten, indem Sie Firewallregeln erstellen, um Verbindungen nur aus bekannten IP-Adressbereichen zuzulassen.

Zugriffsverwaltung

Wenn Sie einen Azure Database for PostgreSQL-Server anlegen, erstellen Sie auch ein Administratorkonto. Mit diesem Administratorkonto können Sie weitere PostgreSQL-Rollen erstellen. Eine Rolle ist ein Datenbankbenutzer oder eine Gruppe von Benutzern. Der Zugriff auf einen Azure Database for PostgreSQL-Server wird anhand eines Benutzernamens mit Kennwort und der Berechtigungen authentifiziert, die der Rolle gewährt oder verweigert wurden.

SCRAM-Authentifizierung

Die meisten Zugriffe auf einen Azure Database for PostgreSQL-Server beruhen auf Kennwörtern. Es ist jedoch möglich, die SCRAM-Authentifizierung und somit ein sicheres Kennwortauthentifizierungsprotokoll zu verwenden, das den Client authentifizieren kann, ohne die Benutzerkennwörter im Klartext für den Server offenzulegen. SCRAM (Salted Challenge Response Authentication Mechanism) ist so konzipiert, dass Man-in-the-Middle-Angriffe erschwert werden.

So konfigurieren Sie die Kennwortverschlüsselung

1. Navigieren Sie im Azure-Portal zu Ihrer Instanz von Azure Database for PostgreSQL – Flexibler Server, und wählen Sie unter Einstellungen die Option Serverparameter aus.
2. Geben Sie in die Suchleiste password_encryption ein. Es gibt zwei Parameter, die die Kennwortverschlüsselung steuern. Für beide lautet die Standardeinstellungen „SCRAM-SHA-256“:
   • password_encryption
   • azure.accepted_password_auth_method

.