> ## Documentation Index
> Fetch the complete documentation index at: https://private-7c7dfe99-mintlify-8c05c8a2.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# Безопасность

> Функции безопасности ClickHouse Managed Postgres, включая белый список IP-адресов, шифрование и Private Link

export const Image = ({img, alt, size}) => {
  return <Frame>
      <img src={img} alt={alt} />
    </Frame>;
};

export const galaxyOnClick = eventName => () => {
  try {
    if (typeof window !== "undefined" && window.galaxy && eventName) {
      window.galaxy.track(eventName, {
        interaction: "click"
      });
    }
  } catch (e) {}
};

export const BetaBadge = ({link, galaxyTrack, galaxyEvent}) => {
  if (link) {
    return <a href={link} target="_blank" rel="noopener noreferrer" className="betaBadge" onClick={galaxyTrack && galaxyEvent ? galaxyOnClick(galaxyEvent) : undefined}>
                <Icon />
                <span>Бета</span>
            </a>;
  }
  return <div className="betaBadge">
            <Icon />
            <span>
                Возможность в статусе бета. 
                <u>
                    <a href="/docs/beta-and-experimental-features#beta-features">
                        Подробнее.
                    </a>
                </u>
            </span>
        </div>;
};

Managed Postgres включает средства защиты корпоративного уровня, которые помогают защищать ваши данные и обеспечивать соответствие нормативным требованиям. На этой странице рассматриваются сетевая безопасность, шифрование и политики хранения резервных копий.

<div id="ip-whitelisting">
  ## Белый список IP-адресов
</div>

IP-фильтры определяют, каким исходным IP-адресам разрешено подключаться к вашему экземпляру Managed Postgres, обеспечивая управление доступом на уровне сети и защищая вашу базу данных от несанкционированных подключений.

<Image img="https://mintcdn.com/private-7c7dfe99-mintlify-8c05c8a2/CAgHfVRSetEkx9fz/images/managed-postgres/ip-filters.png?fit=max&auto=format&n=CAgHfVRSetEkx9fz&q=85&s=558217d1bd3092b0579c884e88648902" alt="Конфигурация IP Access List" size="md" border width="2510" height="1496" data-path="images/managed-postgres/ip-filters.png" />

<div id="configuring-ip-filters">
  ### Настройка IP-фильтров
</div>

Чтобы настроить IP-фильтры:

1. Перейдите на вкладку **Settings**
2. В разделе **IP Filters** нажмите **Edit**
3. Добавьте IP-адреса или диапазоны CIDR, которым нужно разрешить подключение
4. Нажмите **Save**, чтобы применить изменения

Вы можете указать:

* Отдельные IP-адреса (например, `203.0.113.5`)
* Диапазоны CIDR для сетей (например, `192.168.1.0/24`)
* **Anywhere**, чтобы разрешить доступ с любых IP-адресов (не рекомендуется для продакшн)
* **Nowhere**, чтобы заблокировать все подключения

<Warning>
  **Рекомендации для продакшн**

  Если IP-фильтры не настроены, подключения разрешены со всех IP-адресов. Для рабочих нагрузок в продакшн ограничьте доступ, разрешив только известные IP-адреса или диапазоны CIDR. Рекомендуется ограничить доступ следующими источниками:

  * Серверы ваших приложений
  * IP-адреса VPN-шлюзов
  * Бастион-хосты для административного доступа
  * IP-адреса CI/CD-конвейеров для автоматизированных развертываний
</Warning>

<div id="encryption">
  ## Шифрование
</div>

Managed Postgres шифрует ваши данные как при хранении, так и при передаче, обеспечивая их комплексную защиту.

<div id="encryption-at-rest">
  ### Шифрование при хранении
</div>

Все данные, хранящиеся в Managed Postgres, шифруются при хранении для защиты от несанкционированного доступа к нижележащей инфраструктуре хранения.

<div id="nvme-encryption">
  #### Шифрование NVMe-хранилища
</div>

Файлы базы данных, журналы транзакций и временные файлы, хранящиеся на NVMe-накопителях, шифруются с использованием общепринятых в отрасли алгоритмов шифрования. Это шифрование прозрачно для приложений и не требует никакой настройки.

<div id="s3-encryption">
  #### Шифрование в объектном хранилище (S3)
</div>

Резервные копии и архивы журнала предзаписи (WAL), хранящиеся в объектном хранилище, также шифруются при хранении. Это включает:

* Полные ежедневные резервные копии
* Инкрементные архивы WAL
* Данные для восстановления на определённый момент времени

Все данные резервных копий хранятся в отдельных изолированных бакетах, а учётные данные ограничены рамками каждого конкретного экземпляра, что обеспечивает безопасность данных резервных копий и доступ к ним только для авторизованных систем.

<Info>
  Шифрование при хранении включено по умолчанию для всех экземпляров Managed Postgres и не может быть отключено. Дополнительная настройка не требуется.
</Info>

<div id="encryption-in-transit">
  ### Шифрование при передаче
</div>

Все сетевые соединения с Managed Postgres защищены с помощью TLS (Transport Layer Security), чтобы обеспечить защиту данных при передаче между вашими приложениями и базой данных.

<div id="tls-ssl">
  #### Настройка TLS/SSL
</div>

По умолчанию соединения используют шифрование TLS без проверки сертификата. Для продакшн-нагрузок рекомендуем использовать TLS с проверкой сертификата, чтобы убедиться, что вы подключаетесь к нужному серверу.

Подробнее о настройке TLS и вариантах подключения см. на странице [Connection](/ru/products/managed-postgres/connection#tls).

<div id="private-link">
  ## Private Link
</div>

Private Link обеспечивает приватное подключение между вашим экземпляром Managed Postgres и вашей Virtual Private Cloud (VPC), не передавая трафик через публичный интернет. Это добавляет дополнительный уровень сетевой изоляции и безопасности.

<Info>
  **Требуется ручная настройка**

  Поддержка Private Link доступна, но требует ручной настройки со стороны службы поддержки ClickHouse. Эта возможность идеально подходит для корпоративных клиентов со строгими требованиями к сетевой изоляции.
</Info>

<div id="requesting-private-link">
  ### Запрос настройки Private Link
</div>

Чтобы включить Private Link для вашего экземпляра Managed Postgres:

1. **Обратитесь в службу поддержки ClickHouse**, создав тикет

2. **Предоставьте следующую информацию**:
   * ID вашей организации ClickHouse
   * ID/имя хоста сервиса Postgres
   * ID аккаунтов AWS/ARN, с которыми вы хотите связать Private Link
     * (Необязательно) Любые регионы, отличные от региона экземпляра Postgres, из которых вы хотите подключаться

3. **Служба поддержки ClickHouse**:
   * Подготовит конечную точку Private Link на стороне Managed Postgres
   * Предоставит вам сведения о подключении к конечной точке, которые можно использовать для создания интерфейса конечной точки.

4. **Настройте Private Link**:
   * Создайте Private Link: перейдите к интерфейсу конечной точки в настройках AWS и используйте конфигурацию, предоставленную службой поддержки ClickHouse.
   * Когда ваш Private Link перейдет в состояние "Available", вы сможете подключиться к нему, используя имя Private DNS, указанное в интерфейсе AWS.

<div id="backup-retention">
  ## Срок хранения резервных копий
</div>

Managed Postgres автоматически создает резервные копии данных, чтобы защитить их от случайного удаления, повреждения и других ситуаций, которые могут привести к потере данных.

<div id="retention-policy">
  ### Политика хранения
</div>

* **Период хранения по умолчанию**: 7 дней
* **Частота резервного копирования**: ежедневные полные резервные копии + непрерывное архивирование WAL (каждые 60 секунд или 16 МБ — в зависимости от того, что наступит раньше)
* **Точность восстановления**: восстановление на определённый момент времени в любой момент в пределах периода хранения

<div id="backup-security">
  ### Безопасность резервных копий
</div>

Резервные копии хранятся с теми же гарантиями безопасности, что и ваши основные данные:

* **Шифрование при хранении** в объектном хранилище
* **Изолированные бакеты** для каждого экземпляра с учётными данными ограниченной области действия
* **Управление доступом**: доступ ограничен экземпляром Postgres, связанным с резервной копией.

Подробнее о стратегиях резервного копирования и восстановлении на определённый момент времени см. на странице [Резервное копирование и восстановление](/ru/products/managed-postgres/backup-and-restore).