Описание безопасности в Базе данных Azure для PostgreSQL

  • 3 мин

База данных Azure для PostgreSQL использует несколько уровней безопасности для защиты данных. К таким уровням относятся:

  • Шифрование данных
  • Безопасность сети
  • Управление доступом

Шифрование данных

База данных Azure для PostgreSQL шифрует как неактивные, так и передаваемые данные. Этот раздел рассматривается в уроке 5.

Безопасность сети

Гибкий сервер Базы данных Azure для PostgreSQL предоставляет два варианта сети:

  • Закрытый доступ. Сервер создается в виртуальной сети Azure с подключением к частной сети и с помощью частных IP-адресов. Правила безопасности в группах безопасности сети позволяют фильтровать различный сетевой трафик, который может проходить из подсетей виртуальной сети и сетевых интерфейсов или в них.
  • Открытый доступ. К серверу можно получить доступ через общедоступную конечную точку с общедоступным адресом DNS (система доменных имен). Брандмауэр по умолчанию блокирует весь доступ. Вы можете создать правила брандмауэра для IP-адресов, чтобы предоставлять доступ к серверам на основе исходного IP-адреса каждого запроса.

Примечание.

При создании гибкого сервера Базы данных Azure для PostgreSQL выбирается частный доступ или открытый доступ. После создания сервера вы не сможете изменить параметр сети.

Оба параметра управляют доступом на уровне сервера, а не на уровне базы данных или таблицы. Используйте роли PostgreSQL для предоставления или запрета доступа к базе данных, таблице и другим объектам.

Вы также можете управлять доступом к серверу, создавая правила брандмауэра, чтобы разрешить подключения только из известных диапазонов IP-адресов.

Управление доступом

При создании сервера База данных Azure для PostgreSQL также создается учетная запись администратора. Эту учетную запись администратора можно использовать для создания дополнительных ролей PostgreSQL. Роль — это пользователь базы данных или группа пользователей. Доступ к серверу База данных Azure для PostgreSQL проходит проверку подлинности с помощью имени пользователя, пароля и разрешений, предоставленных или отклоненных роли.

Проверка подлинности SCRAM

Большинство доступа к серверу База данных Azure для PostgreSQL зависит от паролей. Однако можно использовать проверку подлинности SCRAM, протокол безопасной проверки подлинности паролей, который может пройти проверку подлинности клиента, не показывая на сервере пароль с открытым текстом. Механизм Salted Challenge Response Authentication Mechanism (SCRAM) предназначен для того, чтобы затруднить атаки "злоумышленник в середине".

Чтобы настроить шифрование паролей, выполните приведенные действия.

  1. На портале Azure перейдите к гибкому серверу Базы данных Azure для PostgreSQL и в разделе Параметры выберите Параметры сервера.
  2. В строке поиска введите password_encryption. Существует два параметра, которые управляют шифрованием паролей; оба значения по умолчанию — SCRAM-SHA-256:
    • password_encryption
    • azure.accepted_password_auth_method

.