Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Database for PostgreSQL is een volledig beheerde databaseservice die ingebouwde mogelijkheden voor hoge beschikbaarheid, geautomatiseerde back-ups en schaalmogelijkheden biedt. Het beveiligen van uw PostgreSQL-database-implementaties is van cruciaal belang voor het beveiligen van gevoelige gegevens en het onderhouden van de naleving van industriestandaarden.
In dit artikel wordt uitgelegd hoe u uw Implementatie van Azure Database for PostgreSQL Server kunt beveiligen.
Belangrijk
Vanaf 19 januari 2026 en hoger zijn Azure-regio's gepland voor een TLS/SSL-certificaatrotatie met nieuwe tussenliggende CA-certificaten.
Vanaf november 2025 zijn deze regio's gepland voor een TLS/SSL-certificaatrotatie met nieuwe tussenliggende CA-certificaten
- West-Centraal VS
- Oost-Azië
- UK South
Zie Problemen met het vastmaken van certificaten voor informatie over het oplossen van problemen.
Netwerkbeveiliging
In de sectie Netwerkbeveiliging wordt u begeleid bij het voorkomen van openbare toegang en het gebruik van de netwerkfuncties om uw PostgreSQL te integreren in een beveiligde, gesegmenteerde cloudnetwerkarchitectuur.
Openbare netwerktoegang uitschakelen: openbare netwerktoegang voor uw PostgreSQL uitschakelen om blootstelling aan internet te voorkomen. Deze actie zorgt ervoor dat alleen vertrouwde netwerken toegang hebben tot uw database.
Privé-eindpunten: gebruik privé-eindpunten om veilig verbinding te maken met uw PostgreSQL vanuit uw virtuele netwerk.
U kunt ook virtuele netwerkintegratie gebruiken: gebruik integratie van virtuele netwerken om uw PostgreSQL te verbinden met uw virtuele netwerk. Deze integratie biedt veilige toegang vanaf uw Azure-resources en van de server tot verbruikte resources, zoals AI.
Verouderde firewallregels en service-eindpunten: als u toegang vanaf specifieke IP-adressen wilt toestaan, gebruikt u verouderde firewallregels en service-eindpunten. Deze benadering wordt echter niet aanbevolen. Gebruik in plaats daarvan liever privé-eindpunten of integratie van virtuele netwerken.
Artikelen over netwerkbeveiliging bevinden zich in de netwerksecties:
Netwerkoverzicht voor Azure Database for PostgreSQL met openbare toegang (toegestane IP-adressen)
Netwerk met privétoegang (integratie van virtueel netwerk) voor Azure Database for PostgreSQL
Identiteitsbeheer
De sectie Identiteitsbeheer richt zich op verificatie, het beveiligen van identiteiten en toegangsbeheer met behulp van gecentraliseerde identiteits- en toegangsbeheersystemen. Hierin worden aanbevolen procedures behandeld, zoals sterke verificatiemechanismen en beheerde identiteiten voor toepassingen.
Hier volgen enkele mogelijke beveiligingsservices, functies en aanbevolen procedures voor het gedeelte Identiteitsbeheer:
Gebruik Entra in plaats van lokale databaseverificatie: u moet lokale verificatie voor uw PostgreSQL-server niet inschakelen. Gebruik in plaats daarvan alleen Microsoft Entra-verificatie (niet gemengde modus) om de toegang tot uw database te beheren. Microsoft Entra biedt gecentraliseerde verificatie met sterke beveiligingscontroles en Defender for Identity Realtime-beveiliging. Ga voor meer informatie naar Microsoft Entra in het algemeen en Microsoft Entra-verificatie met Azure Database for PostgreSQL.
Beheerde identiteiten gebruiken voor beveiligde toegang tot toepassingen: gebruik beheerde identiteiten in Azure om toepassingen en services veilig te verifiëren zonder referenties te hoeven beheren. Dit biedt een veilige en vereenvoudigde manier om toegang te krijgen tot resources zoals Azure Database for PostgreSQL. Ga naar Beheerde identiteiten voor meer informatie.
Beveiliging afdwingen via beleid voor voorwaardelijke toegang: stel beleidsregels voor voorwaardelijke toegang in Microsoft Entra in om beveiligingscontroles af te dwingen op basis van de gebruikers-, locatie- of apparaatcontext. Deze beleidsregels bieden dynamische afdwinging van beveiligingsvereisten op basis van risico's, waardoor de algehele beveiligingspostuur wordt verbeterd. Ga voor meer informatie naar voorwaardelijke toegang van Microsoft Entra.
Lokale verificatie moet SCRAM-verificatie gebruiken: als u lokale verificatie moet gebruiken, moet u ervoor zorgen dat sterk wachtwoordbeleid wordt afgedwongen. Gebruik vereisten voor wachtwoordcomplexiteit en regelmatige wachtwoordrotatie om het risico van gecompromitteerde accounts te minimaliseren. Ga naar SCRAM-verificatie in Azure Database for PostgreSQL voor meer informatie.
Toegangsbeheer
De sectie toegangsbeheer is gericht op het beveiligen van het toegangsniveau op basis van het principe van minimale bevoegdheden. Het minimaliseert het risico van onbevoegde toegang tot gevoelige resources door verhoogde machtigingen te beperken en te beheren, meervoudige verificatie af te dwingen en ervoor te zorgen dat bevoegde acties worden geregistreerd en gecontroleerd.
Hier volgen enkele mogelijke beveiligingsservices, functies en aanbevolen procedures voor de sectie toegangsbeheer:
Entra-rollen gebruiken voor toegangsbeheer: Azure Role-Based-toegangsbeheer (Role-Based RBAC) implementeren om de toegang tot Azure Database for PostgreSQL-resources te beheren. Wijs rollen toe op basis van het principe van minimale bevoegdheden, zodat gebruikers en toepassingen alleen de machtigingen hebben die ze nodig hebben. Ga voor meer informatie naar RBAC (Op rollen gebaseerd toegangsbeheer) van Azure en beheer Microsoft Entra-rollen in Azure Database for PostgreSQL.
Volg best practices voor Entra: Gebruik MFA, beleid voor voorwaardelijke toegang, just-in-time -toegang (JIT) om uw gebruikers en databases te beveiligen.
Lokale databasegebruikers, rollen en machtigingen beheren: gebruik het ingebouwde rolbeheer van PostgreSQL om de toegang op databaseniveau te beheren. Maak aangepaste rollen met specifieke machtigingen om het principe van minimale bevoegdheden af te dwingen. Controleer deze rollen regelmatig en controleer deze om naleving van beveiligingsbeleid te garanderen. Ga naar Create users in Azure Database for PostgreSQL voor meer informatie.
Gegevensbescherming
De sectie gegevensbescherming is gericht op het beveiligen van gevoelige gegevens in rust en in transit. Het zorgt ervoor dat gegevens worden versleuteld, toegang wordt beheerd en gevoelige informatie wordt beschermd tegen onbevoegde toegang. Het benadrukt het gebruik van versleuteling, beveiligde verbindingen en gegevensmaskering om de integriteit en vertrouwelijkheid van gegevens te waarborgen.
Hier volgen enkele mogelijke beveiligingsservices, functies en aanbevolen procedures voor de sectie gegevensbescherming:
Gegevens tijdens overdracht versleutelen
CONTROLEER OF TLS-verbindingen: Azure PostgreSQL gebruikt altijd SSL of TLS om gegevens die worden verzonden tussen uw toepassing en de database te versleutelen. U moet uw toepassing configureren om te controleren of het gebruikte certificaat, zoals de basis-CA, verlopen certificaten, niet-overeenkomende hostnaam en certificaatintrekking. Deze praktijk helpt gevoelige informatie te beschermen tegen afluisteren en man-in-the-middle-aanvallen. Ga voor meer informatie naar Beveiligde connectiviteit met TLS en SSL in Azure Database for PostgreSQL.
Zorg ervoor dat de client de meest recente TLS-certificaten heeft geïnstalleerd: zorg ervoor dat uw clienttoepassingen de nieuwste TLS-certificaten hebben geïnstalleerd ter ondersteuning van beveiligde verbindingen. Deze procedure helpt verbindingsfouten te voorkomen en zorgt ervoor dat uw toepassing beveiligde verbindingen met de PostgreSQL-server tot stand kan brengen. Ga naar Basis-CA-certificaten downloaden en toepassingsclients bijwerken voor meer informatie.
Gebruik van TLS 1.3 vereisen: configureer uw PostgreSQL-server om TLS 1.3 voor alle verbindingen te vereisen. Deze configuratie zorgt ervoor dat alleen de nieuwste en veiligste versie van het protocol wordt gebruikt, wat betere beveiliging en prestaties biedt. Ga naar TLS-versies voor meer informatie.
Versleuteling van opgeslagen data
Gegevens worden altijd transparant versleuteld met SMK: Azure Database for PostgreSQL versleutelt automatisch data-at-rest met behulp van door de service beheerde sleutels (SMK). Deze versleuteling zorgt ervoor dat uw gegevens worden beveiligd zonder extra configuratie. Deze is afhankelijk van de onderliggende Azure-opslaginfrastructuur. Het behandelt de primaire server, replica's, herstel naar een bepaald tijdstip (PITR) en back-ups. Ga naar Gegevensversleuteling in Azure Database for PostgreSQL voor meer informatie.
Gebruik door de klant beheerde sleutels voor extra controle: als u meer controle over versleutelingssleutels nodig hebt, gebruikt u door de klant beheerde sleutels (CMK) die zijn opgeslagen in Azure Key Vault of Azure HSM. Met deze optie kunt u uw versleutelingssleutels beheren en meer beveiligings- en nalevingsopties bieden. Ga voor meer informatie naar door de klant beheerde sleutels in Azure Database for PostgreSQL en configureer gegevensversleuteling in Azure Database for PostgreSQL.
Automatische sleutelrotatie instellen in KV of Beheerde HSM: als u door de klant beheerde sleutels gebruikt, configureert u automatische sleutelrotatie in Azure Key Vault om ervoor te zorgen dat uw versleutelingssleutels regelmatig worden bijgewerkt. Azure Database for PostgreSQL ondersteunt automatische updates van sleutelversies nadat een sleutel is geroteerd. Ga voor meer informatie naar Autorotatie voor sleutels configureren in Azure Managed HSM of Inzicht in automatischerotatie in Azure Key Vault voor meer details van Key Vault. Ga voor meer informatie naar Gegevensversleuteling configureren met door de klant beheerde sleutel tijdens het inrichten van de server voor meer informatie over het configureren van automatische sleutelrotatie.
Ultragevoelige gegevens versleutelen met versleuteling aan de clientzijde: voor ultragevoelige gegevens kunt u overwegen versleuteling aan de clientzijde te implementeren. Deze benadering omvat het versleutelen van gegevens voordat u deze naar de database verzendt, zodat alleen versleutelde gegevens worden opgeslagen in de database. Deze procedure biedt een meer beveiligingslaag, omdat de database zelf en daarom de databasebeheerder geen toegang heeft tot de niet-versleutelde gegevens.
Vertrouwelijke berekening
Met Azure Confidential Computing (ACC) kunnen organisaties veilig verwerken en samenwerken aan gevoelige gegevens, zoals persoonlijke gegevens of beschermde gezondheidsinformatie (PHI). ACC biedt ingebouwde beveiliging tegen onbevoegde toegang door gegevens in gebruik te beveiligen via TEE's (Trusted Execution Environments).
- SaaS- en hostingproviders overwegen vertrouwelijke berekeningen te configureren: als u een SaaS(Software as a Service) of hostingprovider bent en uw PostgreSQL-workloads gevoelige gegevens verwerken, kunt u overwegen om Azure Confidential Computing te gebruiken om gegevens in gebruik te beveiligen. Deze oplossing biedt een meer beveiligingslaag door ervoor te zorgen dat gegevens worden verwerkt in een beveiligde omgeving, waardoor onbevoegde toegang zelfs van bevoegde gebruikers wordt voorkomen. Ga voor meer informatie naar Azure Confidential Computing voor Azure Database for PostgreSQL voor meer informatie.
Gegevensmaskering en -redaction
Gegevensmaskering implementeren: Gebruik de PostgreSQL Anonymizer-extensie ter ondersteuning van:
Anonieme dumps: exporteer de gemaskeerde gegevens naar een SQL-bestand.
Statische maskering: Verwijder de persoonlijke gegevens volgens de regels.
Dynamische maskering: verberg persoonlijke gegevens alleen voor de gemaskeerde gebruikers.
Maskeringsweergaven: bouw toegewezen weergaven voor de gemaskeerde gebruikers.
Gegevenswikkelaars maskeren: maskeringsregels toepassen op externe gegevens.
Logboekregistratie en detectie van bedreigingen
De sectie logboekregistratie en detectie van bedreigingen bevat besturingselementen voor het detecteren van bedreigingen in Azure-omgevingen. Dit omvat het inschakelen, verzamelen en opslaan van auditlogboeken voor Azure-services. Het benadrukt het gebruik van systeemeigen mogelijkheden voor detectie van bedreigingen, gecentraliseerd logboekbeheer en de juiste retentie van logboeken voor beveiligingsonderzoeken en naleving. Deze sectie is gericht op het genereren van waarschuwingen van hoge kwaliteit, het centraliseren van beveiligingsanalyse via Azure-hulpprogramma's, het onderhouden van nauwkeurige tijdsynchronisatie en het garanderen van effectieve strategieën voor logboekretentie.
Hier volgen enkele mogelijke beveiligingsservices, functies en aanbevolen procedures voor de sectie logboekregistratie en detectie van bedreigingen:
Verzameling diagnostische logboeken inschakelen: zorg ervoor dat diagnostische logboekregistratie is ingeschakeld door categoriegroep 'audit' te selecteren. Azure Policy gebruiken om het volgende te implementeren:
Gebruik Microsoft Defender voor Open-Source relationele databases: Gebruik Microsoft Defender voor Open-Source relationele databases om het beveiligingspostuur van uw flexibele PostgreSQL-serverexemplaren te verbeteren. Deze service biedt geavanceerde bedreigingsbeveiliging, evaluatie van beveiligingsproblemen en beveiligingsaanbevelingen die zijn afgestemd op opensource-databases. Ga voor meer informatie naar Overzicht van Microsoft Defender voor Open-Source Relationele databases voor meer informatie.
Schakel auditlogboekregistratie in: configureer auditlogboekregistratie voor uw PostgreSQL om databaseactiviteiten bij te houden en te registreren met behulp van de pgaudit-extensie. Ga voor meer informatie naar Auditlogboeken in Azure Database for PostgreSQL voor meer informatie.
Back-up en herstel
De sectie back-up en herstel is gericht op het garanderen dat er regelmatig een back-up van gegevens en configuraties in Azure-services wordt gemaakt, beschermd en hersteld bij storingen of noodgevallen. Het benadrukt het automatiseren van back-ups, het beveiligen van back-upgegevens en het garanderen dat herstelprocessen worden getest en gevalideerd om te voldoen aan de beoogde hersteltijd (RTO) en beoogde herstelpunten (RPO). In de sectie wordt ook het belang van het bewaken en controleren van back-upprocessen benadrukt om naleving en gereedheid te garanderen. Voor een overzicht gaat u naar Overzicht van bedrijfscontinuïteit met Azure Database for PostgreSQL voor meer informatie.
Hier volgen enkele mogelijke beveiligingsservices, functies en aanbevolen procedures voor de sectie back-up- en hersteldetectie:
Hoge beschikbaarheid gebruiken: Implementeer hoge beschikbaarheidsconfiguraties voor uw flexibele PostgreSQL-serverexemplaren om downtime te minimaliseren en continue toegang tot uw database te garanderen. Ga naar Hoge beschikbaarheid (betrouwbaarheid) in Azure Database for PostgreSQL en configureer hoge beschikbaarheid voor meer informatie.
Automatische back-ups configureren: Azure Database for PostgreSQL voert automatisch dagelijkse back-ups van uw databasebestanden uit en maakt continu een back-up van transactielogboeken. U kunt back-ups bewaren van zeven dagen tot 35 dagen. U kunt uw databaseserver herstellen naar een bepaald tijdstip binnen de bewaarperiode voor back-ups. De RTO is afhankelijk van de grootte van de gegevens die moeten worden hersteld en de tijd die nodig is om logboekherstel uit te voeren. Het kan variëren van een paar minuten tot 12 uur. Ga naar Back-up en herstel in Azure Database for PostgreSQL voor meer informatie.
Leesreplica's configureren: gebruik de leesreplica's om leesbewerkingen van de primaire server te offloaden, waardoor de prestaties en beschikbaarheid worden verbeterd. U kunt ook leesreplica's gebruiken voor scenario's voor herstel na noodgevallen, zodat u snel kunt overschakelen naar een replica met een primaire serverfout. Ga naar Leesreplica's in Azure Database for PostgreSQL voor meer informatie.
Back-upgegevens beveiligen met door de klant beheerde sleutelversleuteling: beveilig uw back-upgegevens met behulp van versleuteling-at-rest.