Un petit article rapide pour vous montrer comment enforcer le TLS pour les bases PostgreSQL Flexible Server. Si vous regardez dans les options du control plan Azure vous n’allez pas trouver d’option comme sur les bases PostgreSQL Single Server.

Cependant en fouillant bien vous allez trouver l’option dans les paramètres du data plane de la base elle même.

Bonne nouvelle par défault, l’option require_secure_transport est à ON et la propriété minimum_tls_version est à TLSV1.2. Maintenant la première action se désactive via le portail Azure, quand à la deuxième les seuls options sont TLS 1.2 ou TLS 1.3, mais vous pourrez utiliser la même procédure pour bloquer.

On va donc ajouter deux policies ici, la première pour regarder si la propriété existe

{
  "if": {
    "field": "type",
    "equals": "Microsoft.DBforPostgreSQL/flexibleServers"
  },
  "then": {
    "effect": "auditIfNotExists",
    "details": {
      "type": "Microsoft.DBforPostgreSQL/flexibleServers/configurations",
      "name": "require_secure_transport",
      "existenceCondition": {
        "field": "Microsoft.DBForPostgreSql/flexibleServers/configurations/value",
        "equals": "ON"
      }
    }
  }
}

Et maintenant on peut aussi faire un Deny en cas de changement:

{
  "if": {
    "allOf": [
      {
        "field": "name",
        "equals": "require_secure_transport"
      },
      {
        "field": "type",
        "equals": "Microsoft.DBforPostgreSQL/flexibleServers/configurations"
      },
      {
        "field": "Microsoft.DBForPostgreSql/flexibleServers/configurations/value",
        "equals": "OFF"
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Vous pouvez bien entendu appliquer quelque chose de similaire si vous ne voulez que du TLS 1.3