Descrever a segurança do Banco de Dados do Azure para PostgreSQL

  • 3 minutos

O Banco de Dados do Azure para PostgreSQL usa várias camadas de segurança para proteger dados. Essas camadas incluem:

  • Criptografia de dados
  • Segurança de rede
  • Gerenciamento de acesso

Criptografia de dados

O Banco de Dados do Azure para PostgreSQL criptografa dados em trânsito e inativos. Este tópico é discutido na Unidade 5.

Segurança de rede

O servidor flexível do Banco de Dados do Azure para PostgreSQL fornece duas opções de rede:

  • Acesso privado. Crie seu servidor em uma rede virtual do Azure com comunicação de rede privada e usando endereços IP privados. As regras de segurança em grupos de segurança de rede permitem filtrar o tipo de tráfego de rede que pode fluir para dentro e fora das sub-redes da rede virtual e dos adaptadores de rede.
  • Acesso público. O servidor pode ser acessado por meio de um ponto de extremidade público com um endereço DNS (Sistema de Nomes de Domínio) publicamente resolvível. Um firewall bloqueia todo o acesso por padrão. Você pode criar regras de firewall de IP para permitir acesso ao servidor com base no endereço IP de origem de cada solicitação.

Observação

Ao criar um servidor flexível do Banco de Dados do Azure para PostgreSQL, você seleciona Acesso privado ou Acesso público. Depois que o servidor for criado, você não poderá alterar a opção de rede.

As duas opções controlam o acesso no nível do servidor, não no nível do banco de dados ou da tabela. Use as funções do PostgreSQL para permitir ou negar acesso a bancos de dados, tabelas e outros objetos.

Você também gerencia o acesso ao servidor criando regras de firewall para permitir conexões somente de intervalos de endereços IP conhecidos.

Gerenciamento de acesso

Ao criar um servidor Banco de Dados do Azure para PostgreSQL, você também cria uma conta de administrador. Essa conta de administrador pode ser usada para criar funções adicionais do PostgreSQL. Uma função é um usuário ou grupo de usuários de banco de dados. O acesso a um servidor do Banco de Dados do Azure para PostgreSQL é autenticado com um nome de usuário, senha e as permissões concedidas ou negadas à função.

Autenticação SCRAM

A maior parte do acesso a um servidor do Banco de Dados do Azure para PostgreSQL depende de senhas. No entanto, é possível usar a autenticação SCRAM, um protocolo de autenticação de senha segura que pode autenticar o cliente sem revelar a senha de texto não criptografado do usuário para o servidor. O SCRAM (Mecanismo de Autenticação Distribuída de Resposta ao Desafio) foi projetado para dificultar os ataques man-in-the-middle.

Para configurar a criptografia de senha:

  1. No portal do Azure, navegue até o servidor flexível do Banco de Dados do Azure para PostgreSQL e, em Configurações, selecione Parâmetros do servidor.
  2. Na barra de pesquisa, insira password_encryption. Existem dois parâmetros que regem a criptografia de senha; ambos por padrão usam SCRAM-SHA-256:
    • password_encryption
    • azure.accepted_password_auth_method

.