Перейти к основному содержанию
Managed Postgres включает средства защиты корпоративного уровня, которые помогают защищать ваши данные и обеспечивать соответствие нормативным требованиям. На этой странице рассматриваются сетевая безопасность, шифрование и политики хранения резервных копий.

Белый список IP-адресов

IP-фильтры определяют, каким исходным IP-адресам разрешено подключаться к вашему экземпляру Managed Postgres, обеспечивая управление доступом на уровне сети и защищая вашу базу данных от несанкционированных подключений.

Настройка IP-фильтров

Подробную информацию о настройке IP-фильтров см. на странице Settings. Вы можете указать:
  • Отдельные IP-адреса (например, 203.0.113.5)
  • Диапазоны CIDR для сетей (например, 192.168.1.0/24)
  • Anywhere, чтобы разрешить доступ с любых IP-адресов (не рекомендуется для продакшн)
  • Nowhere, чтобы заблокировать все подключения
Рекомендации для продакшнЕсли IP-фильтры не настроены, подключения разрешены со всех IP-адресов. Для рабочих нагрузок в продакшн ограничьте доступ, разрешив только известные IP-адреса или диапазоны CIDR. Рекомендуется ограничить доступ следующими источниками:
  • Серверы ваших приложений
  • IP-адреса VPN-шлюзов
  • Бастион-хосты для административного доступа
  • IP-адреса CI/CD-конвейеров для автоматизированных развертываний

Шифрование

Managed Postgres шифрует ваши данные как при хранении, так и при передаче, обеспечивая их комплексную защиту.

Шифрование при хранении

Все данные, хранящиеся в Managed Postgres, шифруются при хранении для защиты от несанкционированного доступа к нижележащей инфраструктуре хранения.

Шифрование NVMe-хранилища

Файлы базы данных, журналы транзакций и временные файлы, хранящиеся на NVMe-накопителях, шифруются с использованием общепринятых в отрасли алгоритмов шифрования. Это шифрование прозрачно для приложений и не требует никакой настройки.

Шифрование в объектном хранилище (S3)

Резервные копии и архивы журнала предзаписи (WAL), хранящиеся в объектном хранилище, также шифруются при хранении. Это включает:
  • Полные ежедневные резервные копии
  • Инкрементные архивы WAL
  • Данные для восстановления на определённый момент времени
Все данные резервных копий хранятся в отдельных изолированных бакетах, а учётные данные ограничены рамками каждого конкретного экземпляра, что обеспечивает безопасность данных резервных копий и доступ к ним только для авторизованных систем.
Шифрование при хранении включено по умолчанию для всех экземпляров Managed Postgres и не может быть отключено. Дополнительная настройка не требуется.

Шифрование при передаче

Все сетевые соединения с Managed Postgres защищены с помощью TLS (Transport Layer Security), чтобы обеспечить защиту данных при передаче между вашими приложениями и базой данных.

Настройка TLS/SSL

По умолчанию соединения используют шифрование TLS без проверки сертификата. Для продакшн-нагрузок рекомендуем использовать TLS с проверкой сертификата, чтобы убедиться, что вы подключаетесь к нужному серверу. Подробнее о настройке TLS и вариантах подключения см. на странице Connection. Private Link обеспечивает приватное подключение между вашим экземпляром Managed Postgres и вашей Virtual Private Cloud (VPC), не передавая трафик через публичный интернет. Это добавляет дополнительный уровень сетевой изоляции и безопасности.
Требуется ручная настройкаПоддержка Private Link доступна, но требует ручной настройки со стороны службы поддержки ClickHouse. Эта возможность идеально подходит для корпоративных клиентов со строгими требованиями к сетевой изоляции.
Чтобы включить Private Link для вашего экземпляра Managed Postgres:
  1. Обратитесь в службу поддержки ClickHouse, создав тикет
  2. Предоставьте следующую информацию:
    • ID вашей организации ClickHouse
    • ID/имя хоста сервиса Postgres
    • ID аккаунтов AWS/ARN, с которыми вы хотите связать Private Link
      • (Необязательно) Любые регионы, отличные от региона экземпляра Postgres, из которых вы хотите подключаться
  3. Служба поддержки ClickHouse:
    • Подготовит конечную точку Private Link на стороне Managed Postgres
    • Предоставит вам сведения о подключении к конечной точке, которые можно использовать для создания интерфейса конечной точки.
  4. Настройте Private Link:
    • Создайте Private Link: перейдите к интерфейсу конечной точки в настройках AWS и используйте конфигурацию, предоставленную службой поддержки ClickHouse.
    • Когда ваш Private Link перейдет в состояние “Available”, вы сможете подключиться к нему, используя имя Private DNS, указанное в интерфейсе AWS.

Срок хранения резервных копий

Managed Postgres автоматически создает резервные копии данных, чтобы защитить их от случайного удаления, повреждения и других ситуаций, которые могут привести к потере данных.

Политика хранения

  • Период хранения по умолчанию: 7 дней
  • Частота резервного копирования: ежедневные полные резервные копии + непрерывное архивирование WAL (каждые 60 секунд или 16 МБ — в зависимости от того, что наступит раньше)
  • Точность восстановления: восстановление на определённый момент времени в любой момент в пределах периода хранения

Безопасность резервных копий

Резервные копии хранятся с теми же гарантиями безопасности, что и ваши основные данные:
  • Шифрование при хранении в объектном хранилище
  • Изолированные бакеты для каждого экземпляра с учётными данными ограниченной области действия
  • Управление доступом: доступ ограничен экземпляром Postgres, связанным с резервной копией.
Подробнее о стратегиях резервного копирования и восстановлении на определённый момент времени см. на странице Резервное копирование и восстановление.
Последнее изменение 10 июня 2026 г.