為提高安全性,Adobe Experience Platform Query Service 為加密用戶端/伺服器通訊的SSL連線提供原生支援。 本檔案涵蓋協力廠商用戶端連線可用的SSL選項 Query Service 以及如何使用 verify-full
SSL參數值。
本檔案假設您已下載第三方案頭用戶端應用程式,以便與您的平台資料搭配使用。 如需與協力廠商用戶端連線時如何整合SSL安全性的具體指示,請參閱其個別連線指南檔案。 要獲取所有 Query Service 支援的用戶端,請參閱 客戶端連接概述.
Platform支援各種SSL選項,以符合您的資料安全需求,並平衡加密和金鑰交換的處理開銷。
不同 sslmode
參數值提供不同級別的保護。 通過使用SSL證書對移動資料進行加密,有助於防止「中間人」(MITM)攻擊、竊聽和模擬。 下表提供了可用的不同SSL模式及其提供的保護級別的劃分。
SSL值 disable
由於符合必要的資料保護規範,Adobe Experience Platform不支援。
sslmode | 竊聽保護 | MITM保護 | 說明 |
---|---|---|---|
allow |
部分 | 無 | 安全性不是優先順序,速度和低處理開銷更重要。 此模式僅在伺服器堅持加密時選擇加密。 |
prefer |
部分 | 無 | 加密不是必需的,但如果伺服器支援,通信將被加密。 |
require |
是 | 無 | 所有通信都需要加密。 信任網路連接到正確的伺服器。 不需要伺服器SSL憑證驗證。 |
verify-ca |
是 | 取決於CA政策 | 所有通信都需要加密。 共用資料之前需要進行伺服器驗證。 這需要您在 PostgreSQL 首頁目錄。 詳情如下 |
verify-full |
是 | 是 | 所有通信都需要加密。 共用資料之前需要進行伺服器驗證。 這需要您在 PostgreSQL 首頁目錄。 詳情如下. |
兩者的差異 verify-ca
和 verify-full
取決於根證書頒發機構(CA)的策略。 如果您已建立自己的本地CA,為您的應用程式頒發專用證書,請使用 verify-ca
通常提供足夠的保護。 如果使用公用CA, verify-ca
允許連接到其他人可能已向CA註冊的伺服器。 verify-full
應一律搭配公用根CA使用。
建立與Platform資料庫的協力廠商連線時,建議您使用 sslmode=require
至少要確保資料的安全連線。 此 verify-full
建議在大多數安全敏感型環境中使用SSL模式。
為確保安全連線,必須先在用戶端和伺服器上設定SSL使用,才能進行連線。 如果SSL僅在伺服器上配置,則客戶端可能會在建立伺服器需要高度安全性之前發送敏感資訊(如密碼)。
依預設, PostgreSQL 不執行伺服器證書的任何驗證。 在傳送任何敏感資料之前(作為SSL的一部分),驗證伺服器的身分並確保安全連線 verify-full
模式),您必須在本機電腦(root.crt
)和由伺服器上的根憑證簽署的葉憑證。
若 sslmode
參數設為 verify-full
, libpq會檢查儲存在用戶端上的根憑證上的憑證鏈,以確認伺服器是否可信。 然後,它會驗證主機名稱是否與伺服器憑證中儲存的名稱相符。
若要允許伺服器憑證驗證,您必須放置一或多個根憑證(root.crt
) PostgreSQL 檔案。 檔案路徑類似於 ~/.postgresql/root.crt
.
如果你比 sslmode=require
,您可以依照醒目提示的步驟,將協力廠商用戶端連線至 Query Service 使用 verify-full
SSL模式。
取得SSL憑證有許多選項。 由於無管理證書的趨勢日益增長,本指南中使用DigiCert,因為它們是高保證TLS/SSL、PKI、IoT和簽名解決方案的可信全局提供者。
root.crt
./Users/<username>/.postgresql
%appdata%\postgresql
若要尋找 %appdata%
在Windows作業系統上的檔案位置,按⊞ Win + R 輸入 %appdata%
填入搜尋欄位。
在 DigiCert Global Root CA CRT檔案在 PostgreSQL 資料夾,您可以 Query Service 使用 sslmode=verify-full
或 sslmode=verify-ca
選項。
閱讀本檔案,您便能更清楚了解將協力廠商用戶端連線至 Query Service,以及如何啟用 verify-full
SSL選項,可加密正在移動的資料。
如果您尚未這麼做,請遵循 將第三方客戶端連接到 Query Service.