Partilhar via


Segurança no Azure Cosmos DB para PostgreSQL

APLICA-SE A: Azure Cosmos DB para PostgreSQL (alimentado pela extensão de banco de dados Citus para PostgreSQL)

Esta página descreve as várias camadas de segurança disponíveis para proteger os dados no cluster.

Proteção e encriptação de informações

Em trânsito

Sempre que os dados são ingeridos em um nó, o Azure Cosmos DB para PostgreSQL protege seus dados criptografando-os em trânsito com o Transport Layer Security (TLS) 1.2 ou superior. A encriptação (SSL/TLS) é sempre imposta e não pode ser desativada.

A versão mínima do TLS necessária para se conectar ao cluster pode ser imposta definindo ssl_min_protocol_version parâmetro coordenador e nó de trabalho como TLSV1.2 ou TLSV1.3 para TLS 1.2 ou TLS 1.3, respectivamente.

Em repouso

O serviço Azure Cosmos DB para PostgreSQL usa o módulo criptográfico validado FIPS 140-2 para criptografia de armazenamento de dados em repouso. Os dados, incluindo backups, são criptografados no disco, incluindo os arquivos temporários criados durante a execução de consultas. O serviço usa a cifra AES de 256 bits incluída na criptografia de armazenamento do Azure e as chaves são gerenciadas pelo sistema. A criptografia de armazenamento está sempre ativada e não pode ser desativada.

Segurança da rede

O Azure Cosmos DB para PostgreSQL suporta três opções de rede:

  • Sem acesso
    • Esse é o padrão para um cluster recém-criado se o acesso público ou privado não estiver habilitado. Nenhum computador, dentro ou fora do Azure, pode se conectar aos nós do banco de dados.
  • Acesso do público
    • Um endereço IP público é atribuído ao nó coordenador.
    • O acesso ao nó coordenador é protegido por firewall.
    • Opcionalmente, o acesso a todos os nós de trabalho pode ser habilitado. Nesse caso, os endereços IP públicos são atribuídos aos nós de trabalho e são protegidos pelo mesmo firewall.
  • Acesso privado
    • Apenas endereços IP privados são atribuídos aos nós do cluster.
    • Cada nó requer um ponto de extremidade privado para permitir que os hosts na rede virtual selecionada acessem os nós.
    • Os recursos de segurança das redes virtuais do Azure, como grupos de segurança de rede, podem ser usados para controle de acesso.

Ao criar um cluster, você pode habilitar o acesso público ou privado ou optar pelo padrão de nenhum acesso. Depois que o cluster for criado, você poderá optar por alternar entre acesso público ou privado ou ativá-los ambos de uma só vez.

Limites e limitações

Consulte a página de limites e limitações do Azure Cosmos DB para PostgreSQL.

Próximos passos