Descrivere la sicurezza di Database di Azure per PostgreSQL

  • 3 minuti

Database di Azure per PostgreSQL usa più livelli di sicurezza per proteggere i dati. Questi livelli includono:

  • Crittografia dei dati
  • Sicurezza della rete
  • Gestione degli accessi

Crittografia dei dati

Database di Azure per PostgreSQL crittografa i dati in transito e inattivi. Questo argomento viene trattato nell'Unità 5.

Sicurezza della rete

Il server flessibile di Database di Azure per PostgreSQL offre due opzioni di rete:

  • Accesso privato. Il server viene creato in una rete virtuale di Azure con comunicazione di rete privata e usando indirizzi IP privati. Le regole di sicurezza dei gruppi di sicurezza di rete consentono di filtrare il tipo di traffico di rete consentito in ingresso e in uscita dalle subnet della rete virtuale e dalle interfacce di rete.
  • Accesso pubblico. È possibile accedere al server tramite un endpoint pubblico con un indirizzo DNS (Domain Name System) risolvibile pubblicamente. Un firewall blocca tutti gli accessi per impostazione predefinita. È possibile creare regole del firewall IP per concedere l'accesso ai server in base all'indirizzo IP di origine di ogni richiesta.

Nota

Quando si crea un server flessibile di Database di Azure per PostgreSQL si seleziona Accesso privato o Accesso pubblico. Dopo aver creato il server, non è possibile modificare l'opzione di rete.

Entrambe le opzioni controllano l'accesso a livello di server, non a livello di database o di tabella. Usare i ruoli di PostgreSQL per concedere o negare l'accesso a database, tabelle e altri oggetti.

È anche possibile gestire l'accesso al server creando regole del firewall per consentire le connessioni solo da intervalli di indirizzi IP noti.

Gestione degli accessi

Quando si crea un server di Database di Azure per PostgreSQL, si crea anche un account amministratore. L'account amministratore può essere usato per creare altri ruoli di PostgreSQL. Un ruolo è un utente o un gruppo di utenti del database. L'accesso a un server di Database di Azure per PostgreSQL viene autenticato con un nome utente, una password e le autorizzazioni concesse o negate al ruolo.

Autenticazione SCRAM

La maggior parte degli accessi a un server di Database di Azure per PostgreSQL si basa sulle password. Tuttavia, è possibile usare l'autenticazione SCRAM, un protocollo di autenticazione della password sicuro che è in grado di autenticare il client senza rivelare la password non crittografata dell'utente al server. L'autenticazione SCRAM (Salted Challenge Response Authentication Mechanism) è progettata per rendere più difficili gli attacchi man-in-the-middle.

Per configurare la crittografia delle password:

  1. Nel portale di Azure passare al server flessibile di Database di Azure per PostgreSQL e in Impostazioni selezionare Parametri del server.
  2. Nella barra di ricerca immettere password_encryption. Esistono due parametri che regolano la crittografia delle password ed entrambi fanno riferimento per impostazione predefinita a SCRAM-SHA-256:
    • password_encryption
    • azure.accepted_password_auth_method

.