Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Cosmos DB для NoSQL — это глобально распределенная многоуровневая служба баз данных, предназначенная для критически важных приложений. Хотя Azure Cosmos DB предоставляет встроенные функции безопасности для защиты данных, важно следовать рекомендациям, чтобы повысить безопасность учетной записи, данных и сетевых конфигураций.
В этой статье содержатся рекомендации по обеспечению безопасности развертывания Azure Cosmos DB для NoSQL.
Сетевая безопасность
Отключите доступ к общедоступной сети и используйте только частные конечные точки: разверните Azure Cosmos DB для NoSQL с конфигурацией, которая ограничивает сетевой доступ к виртуальной сети, размещенной в Azure. Учетная запись предоставляется через определенную подсеть, настроенную вами. Затем отключите доступ к общедоступной сети для всей учетной записи и используйте частные конечные точки исключительно для служб, которые подключаются к учетной записи. Дополнительные сведения см. в статье о настройке доступа к виртуальной сети и настройке доступа из частных конечных точек.
Включите периметр безопасности сети для сетевой изоляции: используйте периметр безопасности сети (NSP), чтобы ограничить доступ к учетной записи Azure Cosmos DB, определив границы сети и изолировав ее от общедоступного доступа к Интернету. Дополнительные сведения см. в разделе "Настройка периметра безопасности сети".
Управление идентичностью
Используйте управляемые удостоверения для доступа к учетной записи из других служб Azure: управляемые удостоверения устраняют необходимость управления учетными данными, предоставляя автоматически управляемое удостоверение в идентификаторе Microsoft Entra. Используйте управляемые удостоверения для безопасного доступа к Azure Cosmos DB из других служб Azure без внедрения учетных данных в код. Дополнительные сведения см. в разделе Управляемые идентификаторы для ресурсов Azure.
Используйте управление доступом на основе ролей Azure для управления учетными записями, базами данных и контейнерами. Примените управление доступом на основе ролей Azure, чтобы определить подробные разрешения для управления учетными записями, базами данных и контейнерами Azure Cosmos DB. Этот элемент управления гарантирует, что только авторизованные пользователи или службы могут выполнять административные операции. Дополнительные сведения см. в разделе "Предоставление доступа к плоскости управления".
Применяйте родные средства управления доступом уровня данных на основе ролей для запроса, создания и доступа к элементам в контейнере: реализуйте управление доступом на основе ролей слоя данных, чтобы обеспечить принцип наименьших привилегий при запросах, создании и доступе к элементам в контейнерах Azure Cosmos DB. Этот элемент управления помогает защитить операции с данными. Дополнительные сведения см. в разделе Предоставление доступа к плоскости данных.
Отделите удостоверения Azure, используемые для доступа к данным и плоскости управления. Используйте отдельные удостоверения Azure для операций уровня управления и плоскости данных, чтобы снизить риск эскалации привилегий и обеспечить более эффективное управление доступом. Это разделение повышает безопасность путем ограничения области каждого удостоверения.
Безопасность транспорта
- Используйте и примените TLS 1.3 для обеспечения безопасности транспорта. Примените протокол TLS 1.3 для защиты передаваемых данных с помощью последних криптографических протоколов, обеспечивая более надежное шифрование и улучшенную производительность. Дополнительные сведения см. в разделе "Минимальное применение TLS".
Шифрование данных
Шифрование данных в состоянии покоя или во время передачи с помощью ключей, управляемых службой, или ключей, управляемых клиентом (CMKs): защита конфиденциальных данных путем их шифрования в состоянии покоя и во время передачи. Используйте управляемые службой ключи для простоты или ключей, управляемых клиентом, для повышения контроля над шифрованием. Для получения дополнительной информации см. Configure customer-managed keys.
Используйте Always Encrypted для защиты данных с помощью шифрования на стороне клиента: Always Encrypted гарантирует, что конфиденциальные данные шифруются на стороне клиента перед отправкой в Azure Cosmos DB, обеспечивая дополнительный уровень безопасности. Дополнительные сведения см. в разделе Постоянное шифрование.
Резервное копирование и восстановление
Включение собственного непрерывного резервного копирования и восстановления. Защита данных путем включения непрерывного резервного копирования, что позволяет восстановить учетную запись Azure Cosmos DB в любой момент времени в течение периода хранения. Дополнительные сведения см. в разделе "Непрерывное резервное копирование и восстановление".
Тестирование процедур резервного копирования и восстановления. Чтобы проверить эффективность процессов резервного копирования, регулярно проверяйте восстановление баз данных, контейнеров и элементов. Дополнительные сведения см. в разделе "Восстановление контейнера или базы данных".