نظرة عامة على أمان قاعدة البيانات في Azure Cosmos DB ل MongoDB vCore
ينطبق على: 
MongoDB vCore
تتناول هذه المقالة أفضل ممارسات أمان قاعدة البيانات والميزات الرئيسية التي تقدمها Azure Cosmos DB ل MongoDB vCore لمساعدتك على منع انتهاكات قاعدة البيانات واكتشافها والاستجابة لها.
ما الجديد في Azure Cosmos DB لأمان MongoDB vCore
يتوفر التشفير الثابت الآن للمستندات والنسخ الاحتياطية المخزنة في Azure Cosmos DB ل MongoDB vCore في معظم مناطق Azure. يتم تطبيق التشفير في حالة عدم التشغيل تلقائياً لكل من العملاء الحاليين والجدد في هذه المناطق. ليست هناك حاجة لتكوين أي شيء. يمكنك الحصول على نفس زمن الانتقال الكبير ومعدل النقل والتوافر والوظائف كما كان من قبل مع الاستفادة من معرفة أن بياناتك آمنة وآمنة مع التشفير الثابت. يتم تشفير البيانات المخزنة في Azure Cosmos DB لنظام مجموعة MongoDB vCore تلقائيا وسلاسة باستخدام المفاتيح التي تديرها Microsoft باستخدام المفاتيح المدارة بواسطة الخدمة.
كيف يمكنني تأمين قاعدة بياناتي
أمان البيانات هو مسؤولية مشتركة بينك وبين العميل ومزود قاعدة بياناتك. اعتماداً على مزود قاعدة البيانات الذي تختاره، قد يختلف مقدار المسؤولية التي تتحملها. إذا اخترت حلاً محلياً، فأنت بحاجة إلى توفير كل شيء بدءاً من حماية نقطة النهاية وحتى الأمان المادي لجهازك - وهي ليست مهمة سهلة. إذا اخترت موفر قاعدة بيانات سحابة PaaS مثل Azure Cosmos DB، فإن مجال اهتمامك يتقلص إلى حد كبير. توضح الصورة التالية، المستعارة من المستند التقني المسؤوليات المشتركة للحوسبة السحابية من Microsoft، كيف تقل مسؤوليتك مع مزود PaaS مثل Azure Cosmos DB.
يُظهر الرسم التخطيطي السابق مكونات أمان السحابة عالية المستوى، ولكن ما العناصر التي تحتاج إلى القلق بشأنها خصيصاً لحل قاعدة بياناتك؟ وكيف يمكنك مقارنة الحلول مع بعضها؟
نوصي بقائمة التحقق التالية من المتطلبات التي يمكن من خلالها مقارنة أنظمة قواعد البيانات:
- إعدادات أمان الشبكة وجدار الحماية
- مصادقة المستخدم وعناصر تحكم المستخدم الدقيقة
- القدرة على تكرار البيانات على مستوى العالم للإخفاقات الإقليمية
- القدرة على الفشل من مركز بيانات إلى آخر
- تكرار البيانات المحلية داخل مركز البيانات
- النسخ الاحتياطي التلقائي للبيانات
- استعادة البيانات المحذوفة من النسخ الاحتياطية
- حماية البيانات الحساسة وعزلها
- رصد الهجمات
- الرد على الهجمات
- القدرة على تطويق البيانات جغرافياً للالتزام بقيود إدارة البيانات
- الحماية المادية للخوادم في مراكز البيانات المحمية
- الشهادات
على الرغم من أنه قد يبدو واضحاً، إلا إن عمليات خرق قواعد البيانات واسعة النطاق تذكرنا بالأهمية البسيطة والحاسمة للمتطلبات التالية:
- الخوادم المصححة التي يتم تحديثها باستمرار
- HTTPS افتراضياً/ تشفير TLS
- حسابات إدارية بكلمات مرور قوية
كيف يؤمن Azure Cosmos DB قاعدة بياناتي
يفي Azure Cosmos DB ل MongoDB vCore بكل متطلبات الأمان هذه بسلاسة.
دعونا نتعمق في كل واحد بالتفصيل.
| متطلبات الأمان | نهج أمان Azure Cosmos DB |
|---|---|
| أمن الشبكة | يعد استخدام جدار حماية IP هو الطبقة الأولى من الحماية لتأمين قاعدة بياناتك. يدعم Azure Cosmos DB ل MongoDB vCore عناصر التحكم في الوصول المستندة إلى IP المستندة إلى النهج لدعم جدار الحماية الوارد. تشبه عناصر التحكم في الوصول المستندة إلى IP قواعد جدار الحماية المستخدمة من قبل أنظمة قواعد البيانات التقليدية. ومع ذلك، يتم توسيعها بحيث لا يمكن الوصول إلى Azure Cosmos DB لنظام مجموعة MongoDB vCore إلا من مجموعة معتمدة من الأجهزة أو الخدمات السحابية. يتيح لك Azure Cosmos DB ل MongoDB vCore تمكين عنوان IP محدد (168.61.48.0)، ونطاق IP (168.61.48.0/8)، ومجموعات من عناوين IP والنطاقات. يتم حظر جميع الطلبات التي تنشأ من أجهزة خارج هذه القائمة المسموح بها بواسطة Azure Cosmos DB ل MongoDB vCore. بعد ذلك، يجب أن تكمل الطلبات الواردة من الأجهزة والخدمات السحابية المعتمدة عملية المصادقة لمنح التحكم في الوصول إلى الموارد. |
| النسخ المتماثل المحلي | حتى داخل مركز بيانات واحد، يقوم Azure Cosmos DB ل MongoDB vCore بنسخ البيانات باستخدام LRS. تحتوي المجموعات التي تدعم قابلية الوصول العالية أيضا على طبقة أخرى من النسخ المتماثل بين عقدة أساسية وثانوية، وبالتالي تضمن توفر اتفاقية مستوى الخدمة بنسبة 99.995٪. |
| النسخ الاحتياطي الآلي عبر الإنترنت | يتم نسخ Azure Cosmos DB لقواعد بيانات MongoDB vCore احتياطيا بانتظام وتخزينها في مخزن جغرافي متكرر. |
| استعادة البيانات المحذوفة | يمكن استخدام النسخ الاحتياطية التلقائية عبر الإنترنت لاسترداد البيانات التي قد تكون حذفتها عن طريق الخطأ حتى ~7 أيام بعد الحدث. |
| حماية البيانات الحساسة وعزلها | جميع البيانات في المناطق المدرجة الواردة في ما الجديد؟ مشفر الآن في الوضع غير النشط. |
| مراقبة الهجمات | باستخدام تسجيل التدقيق وسجلات النشاط، يمكنك مراقبة حسابك بحثاً عن نشاط عادي وغير طبيعي. يمكنك عرض العمليات التي تم تنفيذها على مواردك. وتشمل هذه البيانات؛ الذي بدأ العملية، ووقت حدوث العملية، وحالة العملية، وأكثر من ذلك بكثير. |
| الرد على الهجمات | بمجرد الاتصال بدعم Azure للإبلاغ عن هجوم محتمل، تبدأ عملية الاستجابة للحوادث المكونة من خمس خطوات. الهدف من العملية المكونة من خمس خطوات هو استعادة أمان الخدمة والعمليات العادية. تستعيد العملية المكونة من خمس خطوات الخدمات في أسرع وقت ممكن بعد اكتشاف مشكلة وبدء التحقيق. تعرف على المزيد في استجابة أمان Microsoft Azure في السحابة. |
| مرافق محمية | يتم تخزين البيانات في Azure Cosmos DB ل MongoDB vCore على SSDs في مراكز البيانات المحمية في Azure. تعرف على المزيد في مراكز البيانات العالمية لـ Microsoft |
| تشفير HTTPS/SSL/TLS | يدعم Azure Cosmos DB ل MongoDB vCore مستويات TLS تصل إلى 1.2 (مضمنة). من الممكن فرض الحد الأدنى من مستوى TLS على جانب الخادم. |
| التشفير أثناء النقل | يتم فرض التشفير (SSL/TLS) دائما، وإذا حاولت الاتصال بالمجموعة دون تشفير، فستفشل هذه المحاولة. يتم قبول الاتصالات عبر عميل MongoDB فقط ويتم فرض التشفير دائما. كلما تمت كتابة البيانات إلى Azure Cosmos DB ل MongoDB vCore، يتم تشفير بياناتك أثناء النقل باستخدام Transport Layer Security 1.2. |
| التشفير في حالة السكون | يستخدم Azure Cosmos DB ل MongoDB vCore وحدة التشفير التي تم التحقق من صحتها FIPS 140-2 لتشفير تخزين البيانات الثابتة. يتم تشفير البيانات، بما في ذلك جميع النسخ الاحتياطية، على القرص، بما في ذلك الملفات المؤقتة. تستخدم الخدمة تشفير AES 256 بت المضمن في تشفير تخزين Azure، وتتم إدارة المفاتيح بواسطة النظام. تشفير التخزين قيد التشغيل دائماً، ولا يمكن تعطيله. |
| الخوادم المصححة | يلغي Azure Cosmos DB ل MongoDB vCore الحاجة إلى إدارة المجموعات وتصحيحها، وهذا يتم لك تلقائيا. |
| حسابات إدارية بكلمات مرور قوية | من الصعب أن نصدق أننا بحاجة إلى ذكر هذا المطلب، ولكن على عكس بعض منافسينا، من المستحيل أن يكون لديك حساب إداري بدون كلمة مرور في Azure Cosmos DB ل MongoDB vCore. يتم خبز الأمان عبر المصادقة السرية المستندة إلى TLS بشكل افتراضي. |
| شهادات الأمان وحماية البيانات | للحصول على أحدث قائمة من الشهادات، راجع توافق Azure وأحدث مستند توافق Azure مع جميع شهادات Azure بما في ذلك Azure Cosmos DB. |
توضح لقطة الشاشة التالية كيف يمكنك استخدام تسجيل التدقيق وسجلات النشاط لمراقبة حسابك: 
خيارات أمان الشبكة
يوضح هذا القسم خيارات أمان الشبكة المختلفة التي يمكنك تكوينها لنظام المجموعة.
لا يوجد وصول
لا يوجد Access هو الخيار الافتراضي لنظام مجموعة تم إنشاؤه حديثا إذا لم يتم تمكين الوصول العام أو الخاص. في هذه الحالة، لا يمكن لأي أجهزة كمبيوتر، سواء داخل أو خارج Azure، الاتصال بعقد قاعدة البيانات.
الوصول العام إلى IP باستخدام جدار الحماية
في خيار الوصول العام، يتم تعيين عنوان IP عام إلى نظام المجموعة، والوصول إلى نظام المجموعة محمي بجدار حماية.
نظرة عامة على جدار الحماية
يستخدم Azure Cosmos DB ل MongoDB vCore جدار حماية على مستوى الخادم لمنع جميع الوصول إلى نظام المجموعة حتى تحدد أجهزة الكمبيوتر التي لديها إذن. يمنح جدار الحماية الوصول إلى نظام المجموعة استنادا إلى عنوان IP الأصلي لكل طلب. لتكوين جدار الحماية الخاص بك، يمكنك إنشاء قواعد جدار الحماية التي تحدد نطاقات عناوين IP المقبولة.
تمكن قواعد جدار الحماية العملاء من الوصول إلى نظام المجموعة وجميع قواعد البيانات داخلها. يمكن تكوين قواعد جدار الحماية على مستوى الخادم باستخدام مدخل Microsoft Azure أو برمجيا باستخدام أدوات Azure مثل Azure CLI.
بشكل افتراضي، يحظر جدار الحماية جميع الوصول إلى نظام المجموعة الخاص بك. لبدء استخدام نظام المجموعة من كمبيوتر آخر، تحتاج إلى تحديد قاعدة جدار حماية واحدة أو أكثر على مستوى الخادم لتمكين الوصول إلى نظام المجموعة. استخدم قواعد جدار الحماية لتحديد نطاقات عناوين IP من الإنترنت للسماح لها. لا تؤثر قواعد جدار الحماية على الوصول إلى موقع مدخل Microsoft Azure نفسه. يجب أن تمر محاولات الاتصال من الإنترنت وAzure أولا عبر جدار الحماية قبل أن تتمكن من الوصول إلى قواعد البيانات الخاصة بك. بالإضافة إلى قواعد جدار الحماية، يمكن استخدام الوصول إلى الارتباط الخاص ل IP خاص فقط لمجموعة Azure Cosmos DB لنظام مجموعة MongoDB vCore.