Azure Database for PostgreSQL(单一服务器)中的安全性

适用于: Azure Database for PostgreSQL 单一服务器

重要

Azure Database for PostgreSQL - 单一服务器即将停用。 我们强烈建议升级到 Azure Database for PostgreSQL 灵活服务器。 若要详细了解如何迁移到 Azure Database for PostgreSQL 灵活服务器,请参阅 Azure Database for PostgreSQL 单一服务器的最新动态

可以通过多层安全性来保护 Azure Database for PostgreSQL 服务器上的数据。 本文概述了这些安全选项。

信息保护和加密

动态

Azure Database for PostgreSQL 使用传输层安全性来加密动态数据,通过这种方式来保护数据。 默认情况下,强制实施加密 (SSL/TLS)。

静态

Azure Database for PostgreSQL 服务使用 FIPS 140-2 验证的加密模块对静态数据进行存储加密。 数据(包括备份)在磁盘上加密,包括运行查询时创建的临时文件。 该服务使用包含在 Azure 存储加密中的 AES 256 位密码,并且密钥由系统进行管理。 存储加密始终处于启用状态,无法禁用。

网络安全性

到 Azure Database for PostgreSQL 服务器的连接首先通过区域性网关进行路由。 网关 IP 可以公开访问,而服务器 IP 地址则受保护。 有关网关的详细信息,请参阅连接体系结构文章

新创建的 Azure Database for PostgreSQL 服务器有一个防火墙,可以阻止所有外部连接。 它们可以到达网关,但不能连接到服务器。

IP 防火墙规则

IP 防火墙规则基于每个请求的起始 IP 地址授予对服务器的访问权限。 有关详细信息,请参阅防火墙规则概述

虚拟网络防火墙规则

虚拟网络服务终结点将虚拟网络连接扩展到 Azure 主干网。 使用虚拟网络规则,Azure Database for PostgreSQL 服务器就会允许从虚拟网络中的所选子网进行连接。 有关详细信息,请参阅虚拟网络服务终结点概述

专用 IP

使用专用链接可以通过专用终结点连接到 Azure 中的 Azure Database for PostgreSQL 单一服务器。 Azure 专用链接实质上是将 Azure 服务引入专用虚拟网络 (VNet) 中。 就像 VNet 中的任何其他资源一样,可以使用专用 IP 地址访问 PaaS 资源。 有关详细信息,请参阅专用链接概述

访问管理

在创建 Azure Database for PostgreSQL 服务器时,我们会提供管理员角色的凭据。 可以通过此管理员角色创建其他 PostgreSQL 角色

还可以使用 Microsoft Entra 身份验证连接到服务器。

从 Oracle 迁移

Oracle 支持透明数据加密 (TDE) 来加密表和表空间数据。 在 Azure for PostgreSQL 中,数据在不同层自动进行加密。 请参阅本页中的“静态”部分,并同时参考各个安全主题,包括客户管理的密钥。 你还可以考虑使用 Azure for PostgreSQL 中支持的 pgcrypto 扩展。

后续步骤