Beskriva Azure Database for PostgreSQL-säkerhet

  • 3 minuter

Azure Database for PostgreSQL använder flera säkerhetslager för att skydda data. Dessa lager omfattar:

  • Datakryptering
  • Nätverkssäkerhet
  • Åtkomsthantering

Datakryptering

Azure Database for PostgreSQL krypterar data under överföring och i vila. Det här avsnittet beskrivs i enhet 5.

Nätverkssäkerhet

Azure Database for PostgreSQL – flexibel server innehåller två nätverksalternativ:

  • Privat åtkomst. Du skapar servern i ett virtuellt Azure-nätverk med privat nätverkskommunikation och med hjälp av privata IP-adresser. Med säkerhetsregler i nätverkssäkerhetsgrupper kan du filtrera vilken typ av nätverkstrafik som kan flöda in i och ut ur virtuella nätverk, undernät och nätverksgränssnitt.
  • Offentlig åtkomst. Servern kan nås via en offentlig slutpunkt med en offentligt matchbar DNS-adress (Domain Name System). En brandvägg blockerar all åtkomst som standard. Du kan skapa IP-brandväggsregler för att bevilja åtkomst till servrar baserat på den ursprungliga IP-adressen för varje begäran.

Kommentar

När du skapar en flexibel Azure Database for PostgreSQL-server väljer du antingen Privat åtkomst eller Offentlig åtkomst. När servern har skapats kan du inte ändra nätverksalternativet.

Båda alternativen styr åtkomsten på servernivå, inte på databas- eller tabellnivå. Använd PostgreSQL-roller för att bevilja eller neka åtkomst till databas, tabell och andra objekt.

Du kan också hantera åtkomst till servern genom att skapa brandväggsregler för att endast tillåta anslutningar från kända IP-adressintervall.

Åtkomsthantering

När du skapar en Azure Database for PostgreSQL-server skapar du även ett administratörskonto. Det här administratörskontot kan användas för att skapa fler PostgreSQL-roller. En roll är en databasanvändare eller grupp av användare. Åtkomst till en Azure Database for PostgreSQL-server autentiseras med användarnamn, lösenord och behörigheter som beviljats eller nekats rollen.

SCRAM-autentisering

De flesta åtkomsten till en Azure Database for PostgreSQL-server är beroende av lösenord. Det är dock möjligt att använda SCRAM-autentisering, ett protokoll för säker lösenordsautentisering som kan autentisera klienten utan att avslöja användarens klartextlösenord för servern. Scram (Salted Challenge Response Authentication Mechanism) är utformad för att göra man-in-the-middle-attacker svårare.

Så här konfigurerar du lösenordskryptering:

  1. I Azure Portal navigerar du till din flexibla Azure Database for PostgreSQL-server och väljer Serverparametrar under Inställningar.
  2. I sökfältet anger du password_encryption. Det finns två parametrar som styr lösenordskryptering. båda som standard är SCRAM-SHA-256:
    • password_encryption
    • azure.accepted_password_auth_method

.