Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Database for PostgreSQL ist ein vollständig verwalteter Datenbankdienst, der integrierte Hochverfügbarkeit, automatisierte Sicherungen und Skalierungsfunktionen bereitstellt. Die Sicherung Ihrer PostgreSQL-Datenbankbereitstellungen ist entscheidend, um vertrauliche Daten zu schützen und die Einhaltung von Branchenstandards aufrechtzuerhalten.
In diesem Artikel erfahren Sie, wie Sie Ihre Azure Database for PostgreSQL Server-Bereitstellung sichern.
Von Bedeutung
Ab dem 11. November 2025 sind die Azure-Regionen in der folgenden Liste für einen TLS/SSL-Zertifikatswechsel vorgesehen, der neue Zwischenzertifikate verwendet.
- Zentraler Westen der USA
- Ostasien
- UK South
Ab dem 19. Januar 2026 soll diese Rotation auf alle verbleibenden Azure-Regionen, einschließlich Azure Government und aller anderen Regionen, ausgedehnt werden.
Informationen zur Problembehandlung finden Sie unter Probleme beim Anheften von Zertifikaten.
Netzwerksicherheit
Im Abschnitt „Netzwerksicherheit“ erfahren Sie, wie Sie den öffentlichen Zugriff verhindern und die Netzwerkfeatures verwenden, um PostgreSQL in eine sichere, segmentierte Cloudnetzwerkarchitektur zu integrieren.
Deaktivieren Sie den Zugriff auf öffentliche Netzwerke: Deaktivieren Sie den öffentlichen Netzwerkzugriff für PostgreSQL, um eine Gefährdung durch das Internets zu verhindern. Diese Aktion stellt sicher, dass nur vertrauenswürdige Netzwerke auf Ihre Datenbank zugreifen können.
Private Endpunkte: Verwenden Sie private Endpunkte, um eine sichere Verbindung mit PostgreSQL in Ihrem virtuellen Netzwerk herzustellen.
Alternativ können Sie die Virtual Network-Integration verwenden: Verwenden Sie die Virtual Network-Integration, um PostgreSQL mit Ihrem virtuellen Netzwerk zu verbinden. Diese Integration ermöglicht den sicheren Zugriff von Ihren Azure-Ressourcen und vom Server aus auf verbrauchte Ressourcen, z. B. KI.
Legacyfirewallregeln und Dienstendpunkte: Wenn Sie den Zugriff von bestimmten IP-Adressen zulassen müssen, verwenden Sie Legacyfirewallregeln und Dienstendpunkte. Dieser Ansatz wird jedoch nicht empfohlen. Verwenden Sie stattdessen private Endpunkte oder Virtual Network-Integration.
Die Netzwerksicherheitsartikel sind in den Abschnitten zum Netzwerk aufgeführt:
Netzwerkübersicht für Azure Database for PostgreSQL mit öffentlichem Zugriff (zulässige IP-Adressen)
Netzwerk mit privatem Zugriff (Virtual Network-Integration) für Azure Database for PostgreSQL
Identitätsverwaltung
Der Abschnitt „Identitätsverwaltung“ konzentriert sich auf die Authentifizierung, die Sicherung von Identitäten und Zugriffssteuerungen mithilfe zentralisierter Identitäts- und Zugriffsverwaltungssysteme. Er behandelt bewährte Methoden wie starke Authentifizierungsmechanismen und verwaltete Identitäten für Anwendungen.
Im Folgenden finden Sie einige mögliche Sicherheitsdienste, Features und bewährte Methoden für den Abschnitt „Identitätsverwaltung“:
Verwenden Sie Entra anstelle der lokalen Datenbankauthentifizierung: Sie sollten die lokale Authentifizierung für Ihren PostgreSQL-Server nicht zulassen. Verwenden Sie stattdessen nur die Microsoft Entra-Authentifizierung (nicht gemischter Modus), um den Zugriff auf Ihre Datenbank zu verwalten. Microsoft Entra bietet eine zentrale Authentifizierung mit starken Sicherheitskontrollen und Defender for Identity-Echtzeitschutz. Weitere Informationen finden Sie unter Microsoft Entra im Allgemeinen und Microsoft Entra-Authentifizierung mit Azure Database for PostgreSQL.
Verwenden Sie verwaltete Identitäten für den sicheren Anwendungszugriff: Verwenden Sie verwaltete Identitäten in Azure, um Anwendungen und Dienste sicher zu authentifizieren, ohne Anmeldeinformationen verwalten zu müssen. Dies bietet eine sichere und vereinfachte Möglichkeit für den Zugriff auf Ressourcen wie Azure Database for PostgreSQL. Weitere Informationen finden Sie unter Verwaltete Identitäten.
Erzwingen der Sicherheit durch Richtlinien für bedingten Zugriff: Richten Sie Richtlinien für bedingten Zugriff in Microsoft Entra ein, um Sicherheitskontrollen basierend auf Benutzer-, Standort- oder Gerätekontext zu erzwingen. Diese Richtlinien ermöglichen die dynamische Durchsetzung von Sicherheitsanforderungen auf der Grundlage des Risikos, wodurch der allgemeine Sicherheitsstatus verbessert wird. Weitere Informationen finden Sie unter Microsoft Entra Conditional Access.
Die lokale Authentifizierung sollte die SCRAM-Authentifizierung verwenden: Wenn Sie die lokale Authentifizierung verwenden müssen, stellen Sie sicher, dass sichere Kennwortrichtlinien erzwungen werden. Verwenden Sie Kennwortkomplexitätsanforderungen und regelmäßige Kennwortrotation, um das Risiko kompromittierter Konten zu minimieren. Weitere Informationen finden Sie unter SCRAM-Authentifizierung in Azure Database for PostgreSQL.
Zugriffskontrolle
Der Abschnitt „Zugriffssteuerung“ konzentriert sich auf die Sicherung der Zugriffsebene basierend auf dem Ansatz der geringsten Rechte. Er unterstreicht die Wichtigkeit, das Risiko eines nicht autorisierten Zugriffs auf vertrauliche Ressourcen zu minimieren, indem erhöhte Berechtigungen eingeschränkt und verwaltet werden, die Multi-Faktor-Authentifizierung erzwungen und sichergestellt wird, dass privilegierte Aktionen protokolliert und überwacht werden.
Im Folgenden finden Sie einige mögliche Sicherheitsdienste, Features und bewährte Methoden für den Abschnitt zur Zugriffssteuerung:
Verwenden Sie Entra-Rollen für die Zugriffssteuerung: Implementieren Sie die rollenbasierte Zugriffssteuerung von Azure (RBAC), um den Zugriff auf Azure Database for PostgreSQL-Ressourcen zu verwalten. Weisen Sie Rollen basierend auf dem Ansatz der geringsten Rechte zu, um sicherzustellen, dass Benutzer und Anwendungen nur über erforderliche Berechtigungen verfügen. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung von Azure (RBAC) im Allgemeinen und Verwalten von Microsoft Entra-Rollen in Azure Database for PostgreSQL.
Befolgen Sie die bewährten Methoden von Entra: Verwenden Sie MFA und Richtlinien für bedingten Zugriff und Just-In-Time (JIT)-Zugriff, um Ihre Benutzer und Datenbanken zu schützen.
Verwalten lokaler Datenbankbenutzer, -rollen und -berechtigungen: Verwenden Sie die integrierte Rollenverwaltung von PostgreSQL, um den Zugriff auf Datenbankebene zu steuern. Erstellen Sie benutzerdefinierte Rollen mit bestimmten Berechtigungen, um den Ansatz der geringsten Rechte zu erzwingen. Überprüfen und überwachen Sie diese Rollen regelmäßig, um die Einhaltung von Sicherheitsrichtlinien sicherzustellen. Weitere Informationen finden Sie unter Erstellen von Benutzern in Azure Database for PostgreSQL.
Datenschutz
Der Abschnitt „Datenschutz“ konzentriert sich auf die Sicherung vertraulicher ruhender Daten und Daten im Transit. Er stellt sicher, dass Daten verschlüsselt sind, der Zugriff kontrolliert wird und vertrauliche Informationen vor unbefugtem Zugriff geschützt sind. Er hebt die Verwendung von Verschlüsselung, sicheren Verbindungen und Datenmaskierung hervor, um die Datenintegrität und Vertraulichkeit zu schützen.
Im Folgenden finden Sie einige mögliche Sicherheitsdienste, Features und bewährte Methoden für den Datenschutzabschnitt:
Verschlüsseln von Daten während der Übertragung
Überprüfen von TLS-Verbindungen: Azure PostgreSQL verwendet immer SSL oder TLS, um Daten während der Übertragung zwischen Ihrer Anwendung und der Datenbank zu verschlüsseln. Sie sollten Ihre Anwendung so konfigurieren, dass das verwendete Zertifikat überprüft wird, z. B. die Stammzertifizierungsstelle, abgelaufene Zertifikate, Übereinstimmung mit Hostnamen und Zertifikatsperrung. Diese Übung schützt vertrauliche Informationen vor Abhör- und Man-in-the-Middle-Angriffen. Weitere Informationen finden Sie unter Sichere Konnektivität mit TLS und SSL in Azure Database for PostgreSQL.
Stellen Sie sicher, dass der Client über die neuesten TLS-Zertifikate verfügt: Stellen Sie sicher, dass Ihre Clientanwendungen die neuesten TLS-Zertifikate installiert haben, um sichere Verbindungen zu unterstützen. Diese Vorgehensweise hilft dabei, Verbindungsfehler zu vermeiden und sicherzustellen, dass Ihre Anwendung sichere Verbindungen mit dem PostgreSQL-Server herstellen kann. Weitere Informationen finden Sie unter Herunterladen von Zertifikaten der Stammzertifizierungsstelle und Aktualisieren von Anwendungsclients.
Erfordert die Verwendung von TLS 1.3: Konfigurieren Sie Ihren PostgreSQL-Server so, dass TLS 1.3 für alle Verbindungen erforderlich ist. Diese Konfiguration stellt sicher, dass nur die neueste und sicherste Version des Protokolls verwendet wird, die eine bessere Sicherheit und Leistung bietet. Weitere Informationen finden Sie unter TLS-Versionen.
Datenverschlüsselung im Ruhezustand
Ruhende Daten werden immer transparent mit SMK verschlüsselt: Azure Database for PostgreSQL verschlüsselt ruhende Daten automatisch mithilfe von dienstverwalteten Schlüsseln (SMK). Diese Verschlüsselung stellt sicher, dass Ihre Daten geschützt sind, ohne dass eine zusätzliche Konfiguration erforderlich ist. Sie basiert auf der zugrunde liegenden Azure-Speicherinfrastruktur. Sie umfasst den primären Server, Replikate, Point-in-Time-Recovery (PITR) und Sicherungen. Weitere Informationen finden Sie unter Datenverschlüsselung in der Azure Database for PostgreSQL.
Verwenden Sie kundenseitig verwaltete Schlüssel für zusätzliche Kontrolle: Wenn Sie mehr Kontrolle über Verschlüsselungsschlüssel benötigen, verwenden Sie kundenseitig verwaltete Schlüssel (CMK), die in Azure Key Vault oder Azure HSM gespeichert sind. Mit dieser Option können Sie Ihre Verschlüsselungsschlüssel verwalten und mehr Sicherheits- und Complianceoptionen bieten. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel in der Azure Database for PostgreSQL und Konfigurieren der Datenverschlüsselung in Azure Database for PostgreSQL.
Einrichten der automatischen Schlüsselrotation in KV oder verwaltetem HSM: Wenn Sie kundenseitig verwaltete Schlüssel verwenden, konfigurieren Sie die automatische Schlüsselrotation in Azure Key Vault, um sicherzustellen, dass Ihre Verschlüsselungsschlüssel regelmäßig aktualisiert werden. Azure Database for PostgreSQL unterstützt automatische Aktualisierungen der Schlüsselversion, nachdem ein Schlüssel rotiert wurde. Weitere Informationen und Key Vault-Details finden Sie unter Konfigurieren der automatischen Schlüsselrotation in Azure Managed HSM oder Verstehen der automatischen Rotation in Azure Key Vault. Weitere Informationen finden Sie unter Konfigurieren der Datenverschlüsselung mit kundenseitig verwaltetem Schlüssel während der Serverbereitstellung, um weitere Informationen zum Konfigurieren der automatischen Schlüsselrotation zu erhalten.
Verschlüsseln Sie ultravertrauliche Daten mit clientseitiger Verschlüsselung: Bei ultravertraulichen Daten sollten Sie die clientseitige Verschlüsselung implementieren. Dieser Ansatz umfasst das Verschlüsseln von Daten, bevor Sie sie an die Datenbank senden, um sicherzustellen, dass nur verschlüsselte Daten in der Datenbank gespeichert werden. Diese Vorgehensweise bietet eine größere Sicherheitsebene, da die Datenbank selbst und daher Datenbankadmins keinen Zugriff auf die unverschlüsselten Daten haben.
Confidential Compute
Azure Confidential Computing (ACC) ermöglicht Organisationen die sichere Verarbeitung und Zusammenarbeit an vertraulichen Daten, z. B. personenbezogenen Daten oder geschützten Gesundheitsinformationen (Protected Health Information, PHI). ACC bietet integrierten Schutz vor unbefugtem Zugriff, indem Daten gesichert werden, die über Trusted Execution Environments (TEEs) verwendet werden.
- SaaS- und Hostinganbieter erwägen die Konfiguration von Confidential Computing: Wenn Sie ein Software as a Service (SaaS)- oder Hostinganbieter sind und Ihre PostgreSQL-Workloads vertrauliche Daten verarbeiten, sollten Sie Azure Confidential Computing verwenden, um die verwendeten Daten zu schützen. Diese Lösung bietet eine größere Sicherheitsebene, indem sichergestellt wird, dass Daten in einer sicheren Umgebung verarbeitet werden, wodurch sogar nicht autorisierter Zugriff von privilegierten Benutzern verhindert wird. Weitere Informationen finden Sie unter Azure Confidential Computing for Azure Database for PostgreSQL, um weitere Details zu erhalten.
Datenmaskierung und -bearbeitung
Implementieren von Datenmaskierung: Verwenden Sie die PostgreSQL-Anonymisierungserweiterung, um Folgendes zu unterstützen:
Anonyme Dumps: Exportieren sie die maskierten Daten in eine SQL-Datei.
Statische Maskierung: Entfernen Sie die personenbezogenen Daten gemäß den Regeln.
Dynamische Maskierung: Blenden Sie personenbezogene Daten nur für die maskierten Benutzer aus.
Maskieren von Ansichten: Erstellen Sie dedizierte Ansichten für die maskierten Benutzer.
Maskieren von Datenwrappern: Anwenden von Maskierungsregeln für externe Daten.
Protokollierung und Bedrohungserkennung
Im Abschnitt „Protokollierung und Bedrohungserkennung“ werden Steuerelemente zum Erkennen von Bedrohungen in Azure-Umgebungen behandelt. Er umfasst das Aktivieren, Sammeln und Speichern von Überwachungsprotokollen für Azure-Dienste. Er betont die Verwendung von systemeigenen Bedrohungserkennungsfunktionen, der zentralen Protokollverwaltung und der richtigen Protokollaufbewahrung für Sicherheitsuntersuchungen und Compliance. Dieser Abschnitt konzentriert sich auf das Generieren von qualitativ hochwertigen Warnungen, die Zentralisierung der Sicherheitsanalyse über Azure-Tools, die Aufrechterhaltung einer genauen Zeitsynchronisierung und die Sicherstellung effektiver Aufbewahrungsstrategien für Protokolle.
Im Folgenden finden Sie einige mögliche Sicherheitsdienste, Features und bewährte Methoden für den Abschnitt „Protokollierung und Bedrohungserkennung“:
Aktivieren der Sammlung von Diagnoseprotokollen: Stellen Sie sicher, dass die Diagnoseprotokollierung aktiviert ist, indem Sie die Kategorie „Gruppe überwachen“ auswählen. Verwenden Sie Azure-Richtlinie, um Folgendes zu implementieren:
Verwenden Sie Microsoft Defender für Open-Source relationale Datenbanken: Verwenden Sie Microsoft Defender für Open-Source relationale Datenbanken, um den Sicherheitsstatus Ihrer flexiblen Serverinstanz von PostgreSQL zu verbessern. Dieser Dienst bietet erweiterten Bedrohungsschutz, Sicherheitsrisikobewertungen und Sicherheitsempfehlungen, die auf Open Source-Datenbanken zugeschnitten sind. Weitere Informationen und Details finden Sie unter Übersicht über Microsoft Defender für Open-Source relationale Datenbanken.
Aktivieren der Überwachungsprotokollierung: Konfigurieren Sie die Überwachungsprotokollierung für PostgreSQL, um Datenbankaktivitäten mithilfe der pgaudit-Erweiterung nachzuverfolgen und zu protokollieren. Weitere Informationen finden Sie unter Überwachungsprotokollierung in Azure Database for PostgreSQL.
Sicherung und Wiederherstellung
Der Abschnitt „Sicherung und Wiederherstellung“ konzentriert sich auf die Sicherstellung, dass Daten und Konfigurationen in Azure-Diensten regelmäßig gesichert werden, geschützt sind und bei Fehlern oder Katastrophen wiederhergestellt werden können. Er betont das Automatisieren von Sicherungen, das Sichern von Sicherungsdaten und die Sicherstellung, dass Wiederherstellungsprozesse getestet und überprüft werden, um Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) zu erfüllen. Der Abschnitt unterstreicht außerdem die Bedeutung der Überwachung von Sicherungsprozessen, um die Compliance und Bereitschaft zu gewährleisten. Eine Übersicht finden Sie unter Übersicht über die Geschäftskontinuität mit Azure Database for PostgreSQL.
Im Folgenden finden Sie einige mögliche Sicherheitsdienste, Features und bewährte Methoden für den Abschnitt zur Sicherung und Wiederherstellungserkennung:
Nutzen Sie hohe Verfügbarkeit: Implementieren Sie Konfigurationen für hohe Verfügbarkeit (High Availability, HA) für Ihre flexible Serverinstanz von PostgreSQL, um Ausfallzeiten zu minimieren und den kontinuierlichen Zugriff auf Ihre Datenbank sicherzustellen. Weitere Informationen finden Sie unter Hochverfügbarkeit (Zuverlässigkeit) in Azure Database for PostgreSQL und Konfigurieren der Hochverfügbarkeit.
Konfigurieren Sie automatisierte Sicherungen: Die Azure-Datenbank für PostgreSQL führt automatisch tägliche Sicherungen Ihrer Datenbankdateien durch und sichert fortlaufend Transaktionsprotokolle. Sie können Sicherungen für sieben bis 35 Tage aufbewahren. Sie können Ihren Datenbankserver auf jeden beliebigen Zeitpunkt innerhalb des Aufbewahrungszeitraums Ihrer Sicherung wiederherstellen. Das RTO hängt von der Größe der wiederherzustellenden Daten und der Zeit für die Protokollwiederherstellung ab. Es kann von ein paar Minuten bis zu 12 Stunden reichen. Weitere Informationen finden Sie unter Sicheren und Wiederherstellen in Azure Database for PostgreSQL.
Konfigurieren von Lesereplikaten: Verwenden Sie die Lesereplikate, um Lesevorgänge vom primären Server zu entladen, um die Leistung und Verfügbarkeit zu verbessern. Sie können auch Lesereplikate für Notfallwiederherstellungsszenarien verwenden, sodass Sie schnell zu einem Replikat mit einem primären Serverfehler wechseln können. Weitere Informationen finden Sie unter Lesen von Replikaten in Azure Database for PostgreSQL.
Schützen Sie Sicherungsdaten mit der kundenseitig verwalteten Schlüsselverschlüsselung: Sichern Sie Ihre Sicherungsdaten mit ruhender Verschlüsselung.