Комментарии 3
В целом неплохая подборка. Одно «но» — я бы рекомендовал использовать свой Certificate Authority для внутренних взаимодействий (а взаимодействие с базой данных как раз к таким относится).
Хорошая подборка. Из того, с чем работал, автор мало внимания уделил возможностям механизма pg_hba, который в том числе реализует подобие файрволла при подключении клиентов к Postgres, а также не было упомянуто шифрование данных на хранении и, например, модуль pgcrypto и его возможности. Ну и перед тем как внедрять защиту, нужно знать как эти меры работают, потому что, например, Row Level Security может негативно сказаться при высоких нагрузках на базу.
А нет ли ошибки в части создания клиентского сертификата? Там в -keyout указан server.key, но мы вроде для клиента же создаём сертификат и ключ.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Обеспечение безопасности базы данных PostgreSQL