Azure Database for PostgreSQL-beveiliging beschrijven

  • 3 minuten

Azure Database for PostgreSQL maakt gebruik van meerdere beveiligingslagen om gegevens te beveiligen. Deze lagen zijn onder andere:

  • Gegevensversleuteling
  • Netwerkbeveiliging
  • Toegangsbeheer

Gegevensversleuteling

Azure Database for PostgreSQL versleutelt gegevens in transit en at rest. Dit onderwerp wordt besproken in les 5.

Netwerkbeveiliging

Flexibele Azure Database for PostgreSQL-server biedt twee netwerkopties:

  • Privétoegang. U maakt uw server in een virtueel Azure-netwerk met privénetwerkcommunicatie en met behulp van privé-IP-adressen. Met beveiligingsregels in netwerkbeveiligingsgroepen kunt u filteren op het type netwerkverkeer dat van en naar subnetten van virtuele netwerken en netwerkinterfaces kan stromen.
  • Openbare toegang. De server kan worden geopend via een openbaar eindpunt met een openbaar DNS-adres (Domain Name System). Een firewall blokkeert standaard alle toegang. U kunt IP-firewallregels maken om toegang te verlenen tot servers op basis van het oorspronkelijke IP-adres van elke aanvraag.

Notitie

Wanneer u een flexibele Azure Database for PostgreSQL-server maakt, selecteert u persoonlijke toegang of openbare toegang. Zodra uw server is gemaakt, kunt u de netwerkoptie niet meer wijzigen.

Beide opties beheren de toegang op serverniveau, niet op database- of tabelniveau. Gebruik PostgreSQL-rollen om toegang tot databases, tabellen en andere objecten te verlenen of te weigeren.

U beheert ook de toegang tot de server door firewallregels te maken om alleen verbindingen van bekende IP-adresbereiken toe te staan.

Toegangsbeheer

Wanneer u een Azure Database for PostgreSQL-server maakt, maakt u ook een beheerdersaccount. Dit beheerdersaccount kan worden gebruikt om meer PostgreSQL-rollen te maken. Een rol is een databasegebruiker of groep gebruikers. Toegang tot een Azure Database for PostgreSQL-server wordt geverifieerd met een gebruikersnaam, wachtwoord en de machtigingen die aan de rol zijn verleend of geweigerd.

SCRAM-verificatie

De meeste toegang tot een Azure Database for PostgreSQL-server is afhankelijk van wachtwoorden. Het is echter mogelijk om SCRAM-verificatie te gebruiken, een beveiligd wachtwoordverificatieprotocol waarmee de client kan worden geverifieerd zonder dat het wachtwoord voor duidelijke tekst van de gebruiker aan de server wordt weergegeven. Salted Challenge Response Authentication Mechanism (SCRAM) is ontworpen om man-in-the-middle-aanvallen moeilijker te maken.

Wachtwoordversleuteling configureren:

  1. Navigeer in Azure Portal naar uw flexibele Azure Database for PostgreSQL-server en selecteer onder Instellingen de serverparameters.
  2. Voer password_encryption in de zoekbalk in. Er zijn twee parameters voor wachtwoordversleuteling; beide standaard ingesteld op SCRAM-SHA-256:
    • password_encryption
    • azure.accepted_password_auth_method

.