Protezione in Azure Cosmos DB for PostgreSQL

  • Articolo

SI APPLICA A: Azure Cosmos DB for PostgreSQL (basato su estensione database Citus per PostgreSQL)

Questa pagina delinea i diversi livelli di sicurezza disponibili per proteggere i dati nel cluster.

Crittografia e protezione delle informazioni

In transito

Ogni volta che i dati vengono inseriti in un nodo, Azure Cosmos DB for PostgreSQL protegge i dati crittografandoli in transito con Transport Layer Security (TLS) 1.2 o versione successiva. La crittografia (SSL/TLS) viene sempre applicata e non può essere disabilitata.

La versione minima di TLS necessaria per connettersi al cluster potrebbe essere impostata settando coordinatore e parametro del nodo di lavoro ssl_min_protocol_version rispettivamente su TLSV1.2 o TLSV1.3 per TLS 1.2 o TLS 1.3.

Inattivi

Il servizio Azure Cosmos DB for PostgreSQL usa il modulo crittografico convalidato FIPS 140-2 per la crittografia dei dati archiviati inattivi. I dati, inclusi i backup, vengono crittografati su disco, compresi i file temporanei creati durante l'esecuzione delle query. Il servizio usa la crittografia AES a 256 bit inclusa nella crittografia di archiviazione di Azure e le chiavi vengono gestite dal sistema. La crittografia dell'archiviazione è sempre attiva e non può essere disabilitata.

Sicurezza di rete

Azure Cosmos DB for PostgreSQL supporta tre opzioni di rete:

  • Nessun accesso
    • È l'impostazione predefinita per un cluster appena creato, se non è abilitato l'accesso pubblico o privato. Nessun computer, all'interno o all'esterno di Azure, può connettersi ai nodi del database.
  • Accesso pubblico
    • Un indirizzo IP pubblico viene assegnato al nodo coordinatore.
    • L'accesso al nodo coordinatore è protetto dal firewall.
    • Facoltativamente, è possibile abilitare l'accesso a tutti i nodi di lavoro. In questo caso, gli indirizzi IP pubblici vengono assegnati ai nodi di lavoro e sono protetti dallo stesso firewall.
  • Accesso privato
    • Ai nodi del cluster sono assegnati solo gli indirizzi IP privati.
    • Ogni nodo richiede un endpoint privato per consentire agli host nella rete virtuale selezionata di accedere ai nodi.
    • Per il controllo di accesso è possibile usare le funzionalità di sicurezza delle reti virtuali di Azure, ad esempio i gruppi di sicurezza di rete.

Quando si crea un cluster, è possibile abilitare l'accesso pubblico o privato o scegliere l'impostazione predefinita di nessun accesso. Dopo aver creato il cluster, è possibile scegliere di alternare tra accesso pubblico o privato, oppure attivarli entrambi contemporaneamente.

Limiti e limitazioni

Vedere la pagina Limiti e limitazioni di Azure Cosmos DB for PostgreSQL.

Passaggi successivi