Sécurisé

Sécurité au niveau de la ligne

La sécurité peut être conçue par couche, et nous conseillons de n'autoriser l'accès qu'au minimum nécessaire pour la tâche à accomplir ou pour la fonction concernée en bloquant tout accès inutile dès que possible.

  • Tout d'abord, par ordre d'importance, il convient de sécuriser l'accès physique à l'hôte.
  • Ensuite, il faut limiter l'accès au réseau de votre entreprise.
  • Puis limiter l'accès au serveur de la base de données.
  • Puis limiter l'accès à l'application de la base de données.
  • Enfin, il faut limiter l'accès aux données qu'elle contient.

Les abonnements à l'assistance d'EDB envoient des notifications lorsque des mises à jour de sécurité ou des correctifs appropriés sont publiés pour Postgres.

Ressources

 

 

Ressources

  • À venir

 

 

Audit

EDB Postgres Advanced Server fournit aux DBA de puissantes commandes qui leur permettent de mettre en œuvre des politiques de sécurité allant jusqu'au niveau ligne. Grâce à la sécurité de niveau ligne, les DBA peuvent restreindre les informations visualisées ou actualisées selon autant de propriétés qu'ils le souhaitent, comme par exemple le nom d'utilisateur, le niveau d'autorisation ou l'appartenance à l'entreprise. Les DBA peuvent également surveiller l'activité des utilisateurs avec le même degré de granularité. Cette fonctionnalité est syntaxiquement compatible avec l'implémentation d'Oracle, elle inclut l'application de politiques au niveau colonne (limitant la visibilité des valeurs ou colonnes sensibles) et elle prend en charge une application de politique plus restrictive (en utilisant ET au lieu de OU pour appliquer plusieurs politiques).

 

 

 

 


Intégration à LDAP, Active Directory et Kerberos

La méthode d'authentification LDAP est utile lorsqu'il faut gérer un grand nombre d'utilisateurs et de mots de passe depuis un endroit centralisé. Dans ce cas de figure, le fichier de configuration de sécurité pg_hba.conf (accès par hôte postgres) limite l'accès en fonction du nom d'utilisateur, de la base de données et de l'adresse IP source (si l'utilisateur se connecte via un protocole eTCP/IP.) Cette méthode présente l'avantage de rendre le fichier pg_hba.conf plus petit et plus maniable et offre aux utilisateurs une « expérience de mot de passe unifiée » sur toute l'infrastructure. RADIUS est une autre option prise en charge par EDB Postgres Advanced Server en cas d'utilisateurs nombreux.

GSSAPI (Generic Security Services API) est un protocole répandu qui offre une authentification sécurisée professionnelle et des modèles d'autorisation, comme Kerberos (et LDAP). EDB Postgres Advanced Server est compatible avec Kerberos, un système d'authentification sécurisée adapté aux architectures distribuées sur un réseau public. Kerberos propose une authentification sécurisée par cryptographie avec code secret.

Ressources

  • À venir.