Azure Cosmos DB for PostgreSQL 中的安全性
適用於:
Azure Cosmos DB for PostgreSQL (由 PostgreSQL 的超大規模 (Citus) 資料庫延伸模組提供)
此頁面概述可用來保護叢集中資料的多層安全性。
資訊保護和加密
傳輸中
每當資料內嵌到節點中時,Azure Cosmos DB for PostgreSQL 都會使用傳輸層安全性 (TLS) 1.2 或更新版本將傳輸中的資料加密來保護資料。 系統會一律強制執行加密 (SSL/TLS),且無法停用。
連接到叢集所需的最低 TLS 版本可以透過將 ssl_min_protocol_version 協調器和工作節點參數 TLS 1.2 和 TLS 1.3 分別設為 TLSV1.2 或 TLSV1.3 來強制實作。
待用
Azure Cosmos DB for PostgreSQL 服務針對待用資料的儲存體加密,是使用經過 FIPS 140-2 驗證的密碼編譯模組。 資料 (包含備份) 會在磁碟上加密,這也包括執行查詢時所建立的暫存檔案。 此服務使用包含在 Azure 儲存體加密機制中的 AES 256 位元加密,且金鑰是由系統管理。 系統會一律啟用儲存體加密,且無法停用。
網路安全性
Azure Cosmos DB for PostgreSQL 支援三個網路選項:
- 無存取權
- 如果沒有啟用公用或私人存取,這便是新建立叢集的預設值。 無論在 Azure 內部或外部,任何電腦都無法連線至資料庫節點。
- 公用存取權
- 系統會指派公用 IP 位址給協調器節點。
- 協調器節點的存取權受防火牆保護。
- 您可以選擇性啟用所有背景工作節點的存取權。 在此情況下,系統會指派公用 IP 位址給背景工作節點,並受到相同防火牆保護。
- 私人存取
- 系統只會指派私人 IP 位址給叢集的節點。
- 每個節點都需要有私人端點,以允許所選虛擬網路中的主機存取節點。
- Azure 虛擬網路的安全性功能 (例如網路安全性群組) 可用於存取控制。
建立叢集時,您可以啟用公用或私人存取,或選擇預設值 (無存取權)。 建立叢集之後,您可以選擇在公用或私人存取之間切換,或同時啟用兩者。
限制
請參閱 Azure Cosmos DB for PostgreSQL 限制頁面。