Opis zabezpieczeń usługi Azure Database for PostgreSQL

Ukończone

Usługa Azure Database for PostgreSQL używa wielu warstw zabezpieczeń do ochrony danych. Te warstwy obejmują:

• Szyfrowanie danych
• Bezpieczeństwo sieci
• Zarządzanie dostępem

Szyfrowanie danych

Usługa Azure Database for PostgreSQL szyfruje dane przesyłane i magazynowane. Ten temat został omówiony w lekcji 5.

Bezpieczeństwo sieci

Serwer elastyczny usługi Azure Database for PostgreSQL oferuje dwie opcje sieciowe:

• Dostęp prywatny. Serwer można utworzyć w sieci wirtualnej platformy Azure z komunikacją sieci prywatnej i przy użyciu prywatnych adresów IP. Reguły zabezpieczeń w sieciowych grupach zabezpieczeń umożliwiają filtrowanie typu ruchu sieciowego, który może wchodzić do podsieci sieci wirtualnej i interfejsów sieciowych oraz z nich wychodzić.
• Dostęp publiczny. Dostęp do serwera można uzyskać za pośrednictwem publicznego punktu końcowego z publicznie rozpoznawanym adresem DNS (system nazw domen). Zapora domyślnie blokuje cały dostęp. Reguły zapory adresów IP można utworzyć, aby udzielić dostępu do serwerów na podstawie źródłowego adresu IP każdego żądania.

Uwaga

Podczas tworzenia elastycznego serwera usługi Azure Database for PostgreSQL wybierz opcję Dostęp prywatny lub Dostęp publiczny. Po utworzeniu serwera nie można zmienić opcji sieci.

Obie opcje kontrolują dostęp na poziomie serwera, a nie na poziomie bazy danych lub tabeli. Użyj ról PostgreSQL, aby udzielić lub odmówić dostępu do bazy danych, tabeli i innych obiektów.

Możesz również zarządzać dostępem do serwera, tworząc reguły zapory, aby zezwalać na połączenia tylko ze znanych zakresów adresów IP.

Zarządzanie dostępem

Podczas tworzenia serwera usługi Azure Database for PostgreSQL utworzysz również konto administratora. To konto administratora może służyć do tworzenia większej liczby ról bazy danych PostgreSQL. Rola jest użytkownikiem bazy danych lub grupą użytkowników. Dostęp do serwera usługi Azure Database for PostgreSQL jest uwierzytelniany przy użyciu nazwy użytkownika, hasła oraz uprawnień przyznanych lub odrzuconych do roli.

Uwierzytelnianie PROTOKOŁU SCRAM

Większość dostępu do serwera usługi Azure Database for PostgreSQL opiera się na hasłach. Jednak można użyć uwierzytelniania SCRAM, bezpiecznego protokołu uwierzytelniania haseł, który może uwierzytelnić klienta bez ujawniania hasła w postaci zwykłego tekstu użytkownika na serwerze. Mechanizm uwierzytelniania odpowiedzi na wyzwania (Salted Challenge Response Authentication Mechanism, SCRAM) został zaprojektowany w celu utrudnienia ataków typu man-in-the-middle.

Aby skonfigurować szyfrowanie haseł:

1. W witrynie Azure Portal przejdź do serwera elastycznego usługi Azure Database for PostgreSQL, a następnie w obszarze Ustawienia wybierz pozycję Parametry serwera.
2. Na pasku wyszukiwania wprowadź password_encryption. Istnieją dwa parametry, które zarządzają szyfrowaniem haseł; obie wartości domyślne dla protokołu SCRAM-SHA-256:
   • password_encryption
   • azure.accepted_password_auth_method

.