Pular para o conteúdo principal
O Managed Postgres foi desenvolvido com recursos de segurança de nível empresarial para proteger seus dados e atender aos requisitos de conformidade. Esta página aborda segurança de rede, criptografia e políticas de retenção de backup.

Lista de permissões de IP

Os filtros de IP controlam quais endereços IP de origem têm permissão para se conectar à sua instância do Managed Postgres, fornecendo controle de acesso em nível de rede para proteger seu banco de dados contra conexões não autorizadas.

Configuração de filtros de IP

Para informações detalhadas sobre a configuração de filtros de IP, consulte a página de Configurações. Você pode especificar:
  • Endereços IP individuais (por exemplo, 203.0.113.5)
  • Faixas CIDR de redes (por exemplo, 192.168.1.0/24)
  • Anywhere para permitir todos os endereços IP (não recomendado para produção)
  • Nowhere para bloquear todas as conexões
Boas práticas para produçãoSe nenhum filtro de IP for configurado, conexões de todos os endereços IP serão permitidas. Para cargas de trabalho de produção, restrinja o acesso a endereços IP ou faixas CIDR conhecidas. Considere limitar o acesso a:
  • Seus servidores de aplicação
  • Endereços IP do gateway da VPN
  • Servidores bastion para acesso administrativo
  • IPs de pipelines de CI/CD para implantações automatizadas

Criptografia

O Managed Postgres criptografa seus dados tanto em repouso quanto em trânsito para garantir uma proteção abrangente.

Criptografia em repouso

Todos os dados armazenados pelo Managed Postgres são criptografados em repouso para proteger contra acesso não autorizado à infraestrutura de armazenamento subjacente.

Criptografia do armazenamento NVMe

Seus arquivos de banco de dados, logs de transações e arquivos temporários armazenados em unidades NVMe são criptografados com algoritmos de criptografia padrão do setor. Essa criptografia é transparente para suas aplicações e não requer configuração.

Criptografia no armazenamento de objetos (S3)

Os backups e os arquivos de WAL (Write-Ahead Log) armazenados no armazenamento de objetos também são criptografados em repouso. Isso inclui:
  • Backups completos diários
  • Arquivos de WAL incrementais
  • Dados de recuperação pontual
Todos os dados de backup são armazenados em buckets de armazenamento dedicados e isolados, com credenciais de escopo específico para cada instância, garantindo que os dados de backup permaneçam seguros e acessíveis apenas a sistemas autorizados.
A criptografia em repouso é habilitada por padrão para todas as instâncias do Managed Postgres e não pode ser desabilitada. Nenhuma configuração adicional é necessária.

Criptografia em trânsito

Todas as conexões de rede com o Managed Postgres são protegidas com TLS (Transport Layer Security) para proteger os dados durante o tráfego entre suas aplicações e o banco de dados.

Configuração de TLS/SSL

Por padrão, as conexões usam criptografia TLS sem verificação de certificado. Para workloads de produção, recomendamos usar TLS com verificação para garantir que você esteja se comunicando com o servidor correto. Para mais detalhes sobre a configuração de TLS e as opções de conexão, consulte a página Conexão. O Private Link permite conectividade privada entre sua instância do Managed Postgres e sua Virtual Private Cloud (VPC), sem expor o tráfego à internet pública. Isso oferece uma camada adicional de isolamento e segurança de rede.
Configuração manual necessáriaO suporte a Private Link está disponível, mas requer configuração manual pelo suporte do ClickHouse. Esse recurso é ideal para clientes Enterprise com requisitos rigorosos de isolamento de rede.
Para habilitar o Private Link para sua instância de Managed Postgres:
  1. Entre em contato com o suporte do ClickHouse criando um ticket de suporte
  2. Forneça as seguintes informações:
    • Seu Organization ID do ClickHouse
    • ID/hostname do serviço Postgres
    • IDs/ARNs da conta AWS à qual você deseja conectar o Private Link
      • (Opcional) Quaisquer regiões, além da região da instância do Postgres, das quais você deseja se conectar
  3. O suporte do ClickHouse irá:
    • Provisionar o endpoint do Private Link no lado do Managed Postgres
    • Fornecer os detalhes de conexão do endpoint, que você poderá usar para criar uma interface de endpoint.
  4. Configure seu Private Link:
    • Crie o Private Link acessando a interface de endpoint nas configurações da AWS e usando a configuração fornecida pelo suporte do ClickHouse.
    • Quando seu Private Link estiver no estado “Available”, você poderá se conectar a ele usando o nome DNS privado fornecido na UI da AWS.

Retenção de backups

O Managed Postgres faz backup automático dos seus dados para protegê-los contra exclusão acidental, corrupção ou outros cenários de perda de dados.

Política de retenção

  • Período de retenção padrão: 7 dias
  • Frequência de backup: backups completos diários + arquivamento contínuo de WAL (a cada 60 segundos ou 16 MB, o que ocorrer primeiro)
  • Granularidade de recuperação: recuperação pontual para qualquer momento dentro da janela de retenção

Segurança dos backups

Os backups são armazenados com as mesmas garantias de segurança dos seus dados principais:
  • Criptografia em repouso no armazenamento de objetos
  • Buckets de armazenamento isolados por instância, com credenciais de escopo restrito
  • Controle de acesso limitado à instância do Postgres vinculada ao backup.
Para mais detalhes sobre estratégias de backup e recuperação pontual, consulte a página Backup e restauração.
Última modificação em 10 de junho de 2026