Sicherheit in Azure Cosmos DB for PostgreSQL

GILT FÜR: Azure Cosmos DB for PostgreSQL (unterstützt von der Citus-Datenbankerweiterung auf PostgreSQL)

Auf dieser Seite werden die verschiedenen Sicherheitsebenen beschrieben, die zum Schutz der Daten in Ihrem Cluster verfügbar sind.

Informationsschutz und -verschlüsselung

Während der Übertragung

Wenn Daten in einem Knoten erfasst werden, schützt Azure Cosmos DB for PostgreSQL Ihre Daten, indem sie während der Übertragung mit TLS 1.2 (Transport Layer Security) oder höher verschlüsselt werden. Verschlüsselung (SSL/TLS) wird immer erzwungen und kann nicht deaktiviert werden.

Die TLS-Mindestversion, die für die Verbindung mit dem Cluster erforderlich ist, kann erzwungen werden, indem der Koordinator- und Workerknotenparameter ssl_min_protocol_version auf TLSV1.2 für TLS 1.2 bzw. TLSV1.3 für TLS 1.3 festgelegt wird.

Im Ruhezustand

Der Azure Cosmos DB for PostgreSQL-Dienst nutzt das FIPS 140-2-zertifizierte Kryptografiemodul für die Speicherverschlüsselung ruhender Daten. Daten, einschließlich Sicherungen, werden auf dem Datenträger verschlüsselt (einschließlich der temporären Dateien, die während der Ausführung von Abfragen erstellt wurden). Der Dienst verwendet das in der Azure Storage-Verschlüsselung enthaltene AES-256-Bit-Verschlüsselungsverfahren, und die Schlüssel werden vom System verwaltet. Die Speicherverschlüsselung ist immer aktiviert und kann nicht deaktiviert werden.

Netzwerksicherheit

Azure Cosmos DB for PostgreSQL unterstützt drei Netzwerkoptionen:

  • Kein Zugriff
    • Dies ist die Standardeinstellung für einen neu erstellten Cluster, wenn der öffentliche oder private Zugriff nicht aktiviert ist. Keine Computer, weder innerhalb noch außerhalb von Azure, können eine Verbindung mit den Datenbankknoten herstellen.
  • Öffentlicher Zugriff
    • Dem Koordinatorknoten wird eine öffentliche IP-Adresse zugewiesen.
    • Der Zugriff auf den Koordinatorknoten wird durch eine Firewall geschützt.
    • Optional kann der Zugriff auf alle Workerknoten aktiviert werden. In diesem Fall werden den Workerknoten öffentliche IP-Adressen zugewiesen und sie werden durch dieselbe Firewall geschützt.
  • Privater Zugriff
    • Den Clusterknoten werden nur private IP-Adressen zugewiesen.
    • Jeder Knoten erfordert einen privaten Endpunkt, damit Hosts im ausgewählten virtuellen Netzwerk auf die Knoten zugreifen können.
    • Sicherheitsfeatures virtueller Azure-Netzwerke wie Netzwerksicherheitsgruppen können für die Zugriffssteuerung verwendet werden.

Wenn Sie einen Cluster erstellen, können Sie den öffentlichen oder privaten Zugriff aktivieren oder sich für die Standardeinstellung „Kein Zugriff“ entscheiden. Nachdem der Cluster erstellt wurde, können Sie zwischen öffentlichem oder privatem Zugriff wechseln oder beide Optionen gleichzeitig aktivieren.

Grenzwerte und Einschränkungen

Weitere Informationen finden Sie auf der Seite Grenzwerte und Einschränkungen für Azure Cosmos DB for PostgreSQL.

Nächste Schritte