Saltar al contenido principal
Managed Postgres está diseñado con funciones de seguridad de nivel empresarial para proteger sus datos y cumplir los requisitos de cumplimiento normativo. Esta página cubre la seguridad de red, el cifrado y las políticas de retención de copias de seguridad.

Inclusión de IP en listas de permitidos

Los filtros de IP determinan qué direcciones IP de origen pueden conectarse a su instancia de Managed Postgres, y proporcionan control de acceso a nivel de red para proteger la base de datos frente a conexiones no autorizadas.

Configuración de filtros IP

Para obtener información detallada sobre cómo configurar los filtros IP, consulta la página Settings. Puedes especificar:
  • Direcciones IP individuales (p. ej., 203.0.113.5)
  • Rangos CIDR de red (p. ej., 192.168.1.0/24)
  • Anywhere para permitir todas las direcciones IP (no se recomienda en producción)
  • Nowhere para bloquear todas las conexiones
Buenas prácticas para producciónSi no se configura ningún filtro IP, se permiten conexiones desde cualquier dirección IP. Para cargas de trabajo de producción, restringe el acceso a direcciones IP conocidas o rangos CIDR. Considera limitar el acceso a:
  • Tus servidores de aplicaciones
  • Direcciones IP del gateway de VPN
  • Hosts bastión para acceso administrativo
  • Direcciones IP de pipelines de CI/CD para implementaciones automatizadas

Cifrado

Managed Postgres cifra sus datos tanto en reposo como en tránsito para garantizar una protección integral.

Cifrado en reposo

Todos los datos almacenados por Managed Postgres están cifrados en reposo para protegerlos frente al acceso no autorizado a la infraestructura de almacenamiento subyacente.

Cifrado del almacenamiento NVMe

Los archivos de la base de datos, los logs de transacciones y los archivos temporales almacenados en unidades NVMe se cifran mediante algoritmos de cifrado estándar del sector. Este cifrado es transparente para las aplicaciones y no requiere ninguna configuración.

Cifrado del almacenamiento de objetos (S3)

Las copias de seguridad y los archivos de Write-Ahead Log (WAL) almacenados en el almacenamiento de objetos también se cifran en reposo. Esto incluye:
  • Copias de seguridad completas diarias
  • Archivos WAL incrementales
  • Datos de recuperación a un punto en el tiempo
Todos los datos de las copias de seguridad se almacenan en buckets de almacenamiento dedicados y aislados, con credenciales restringidas a cada instancia individual, lo que garantiza que estos datos permanezcan seguros y solo sean accesibles para los sistemas autorizados.
El cifrado en reposo está habilitado de forma predeterminada para todas las instancias de Managed Postgres y no puede deshabilitarse. No se requiere ninguna configuración adicional.

Cifrado en tránsito

Todas las conexiones de red a Managed Postgres están protegidas con TLS (Transport Layer Security) para proteger los datos mientras se transfieren entre sus aplicaciones y la base de datos.

Configuración de TLS/SSL

De forma predeterminada, las conexiones usan cifrado TLS sin verificación de certificados. Para las cargas de trabajo de producción, recomendamos conectarse mediante TLS con verificación de certificados para garantizar que se está comunicando con el servidor correcto. Para obtener más detalles sobre la configuración de TLS y las opciones de conexión, consulte la página Conexión. Private Link permite la conectividad privada entre tu instancia de Managed Postgres y tu nube privada virtual (VPC), sin exponer el tráfico a la Internet pública. Esto proporciona una capa adicional de aislamiento y seguridad de red.
Se requiere configuración manualPrivate Link está disponible, pero requiere configuración manual por parte del soporte de ClickHouse. Esta funcionalidad es ideal para clientes empresariales con requisitos estrictos de aislamiento de red.
Para habilitar Private Link para tu instancia de Managed Postgres:
  1. Ponte en contacto con el soporte de ClickHouse creando un ticket de soporte
  2. Proporciona la siguiente información:
    • Tu ID de organización de ClickHouse
    • El ID/hostname del servicio de Postgres
    • Los ID/ARN de las cuentas de AWS con las que quieres conectar el Private Link
      • (Opcional) Cualquier región distinta de la región de la instancia de Postgres desde la que quieras conectarte
  3. El soporte de ClickHouse:
    • Aprovisionará el endpoint de Private Link en el lado de Managed Postgres
    • Te proporcionará los detalles de conexión del endpoint, que podrás usar para crear una interfaz de endpoint.
  4. Configura tu Private Link:
    • Crea el Private Link yendo a la interfaz de endpoint en la configuración de AWS y usando la configuración proporcionada por el soporte de ClickHouse.
    • Una vez que tu Private Link esté en estado “Available”, podrás conectarte usando el nombre DNS privado proporcionado en la UI de AWS.

Retención de copias de seguridad

Managed Postgres realiza copias de seguridad de sus datos automáticamente para protegerlos frente a la eliminación accidental, la corrupción y otros escenarios de pérdida de datos.

Política de retención

  • Período de retención predeterminado: 7 días
  • Frecuencia de las copias de seguridad: copias de seguridad completas diarias + archivado continuo del WAL (cada 60 segundos o 16 MB, lo que ocurra primero)
  • Granularidad de la recuperación: recuperación a punto en el tiempo dentro del período de retención

Seguridad de las copias de seguridad

Las copias de seguridad se almacenan con las mismas garantías de seguridad que sus datos principales:
  • Cifrado en reposo en el almacenamiento de objetos
  • Buckets de almacenamiento aislados por instancia con credenciales de alcance limitado
  • Control de acceso limitado a la instancia de Postgres vinculada a la copia de seguridad.
Para obtener más información sobre las estrategias de copia de seguridad y la recuperación a un punto en el tiempo, consulte la página Backup and restore.
Última modificación el 10 de junio de 2026