إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
Azure Cosmos DB ل NoSQL هي خدمة قاعدة بيانات متعددة النماذج موزعة عالميا ومصممة للتطبيقات ذات المهام الحرجة. بينما يوفر Azure Cosmos DB ميزات أمان مضمنة لحماية بياناتك، من الضروري اتباع أفضل الممارسات لزيادة تعزيز أمان حسابك وبياناتك وتكوينات الشبكات.
توفر هذه المقالة إرشادات حول كيفية تأمين Azure Cosmos DB لنشر NoSQL بشكل أفضل.
أمن الشبكة
تعطيل الوصول إلى الشبكة العامة واستخدام نقاط النهاية الخاصة فقط: نشر Azure Cosmos DB ل NoSQL مع تكوين يقيد الوصول إلى الشبكة إلى شبكة ظاهرية غير منحرفة في Azure. يتم عرض الحساب من خلال الشبكة الفرعية المحددة التي قمت بتكوينها. بعد ذلك، قم بتعطيل الوصول إلى الشبكة العامة للحساب بأكمله واستخدم نقاط النهاية الخاصة حصريا للخدمات التي تتصل بالحساب. لمزيد من المعلومات، راجع تكوين الوصول إلى الشبكة الظاهريةوتكوين الوصول من نقاط النهاية الخاصة.
تمكين Network Security Perimeter لعزل الشبكة: استخدم Network Security Perimeter (NSP) لتقييد الوصول إلى حساب Azure Cosmos DB الخاص بك عن طريق تحديد حدود الشبكة وعزلها عن الوصول العام إلى الإنترنت. لمزيد من المعلومات، راجع تكوين محيط أمان الشبكة.
إدارة الهويات
استخدام الهويات المدارة للوصول إلى حسابك من خدمات Azure الأخرى: تلغي الهويات المدارة الحاجة إلى إدارة بيانات الاعتماد من خلال توفير هوية مدارة تلقائيا في Microsoft Entra ID. استخدم الهويات المدارة للوصول بأمان إلى Azure Cosmos DB من خدمات Azure الأخرى دون تضمين بيانات الاعتماد في التعليمات البرمجية الخاصة بك. لمزيدٍ من المعلومات، انظر الهويات المُدارة لموارد Azure.
استخدم التحكم في الوصول المستند إلى الدور لمستوى التحكم في Azure لإدارة قواعد بيانات الحساب والحاويات: تطبيق التحكم في الوصول المستند إلى الدور في Azure لتحديد الأذونات الدقيقة لإدارة حسابات وقواعد بيانات وحاويات Azure Cosmos DB. يضمن عنصر التحكم هذا أن المستخدمين أو الخدمات المعتمدين فقط يمكنهم تنفيذ العمليات الإدارية. لمزيد من المعلومات، راجع منح الوصول إلى وحدة التحكم.
استخدم التحكم في الوصول المستند إلى دور مستوى البيانات الأصلي للاستعلام عن العناصر وإنشائها والوصول إليها داخل حاوية: تنفيذ التحكم في الوصول المستند إلى دور مستوى البيانات لفرض أقل امتياز للوصول للاستعلام عن العناصر وإنشائها والوصول إليها داخل حاويات Azure Cosmos DB. يساعد عنصر التحكم هذا في تأمين عمليات البيانات. لمزيد من المعلومات، راجع منح الوصول إلى مستوى البيانات.
فصل هويات Azure المستخدمة للوصول إلى مستوى البيانات والتحكم: استخدم هويات Azure المميزة لعمليات وحدة التحكم ولوحة البيانات لتقليل مخاطر تصعيد الامتيازات وضمان تحكم أفضل في الوصول. يعزز هذا الفصل الأمان عن طريق الحد من نطاق كل هوية.
أمان النقل
- استخدام TLS 1.3 وفرضه لأمان النقل: فرض أمان طبقة النقل (TLS) 1.3 لتأمين البيانات أثناء النقل باستخدام أحدث بروتوكولات التشفير، ما يضمن تشفيرا أقوى وتحسين الأداء. لمزيد من المعلومات، راجع الحد الأدنى من فرض TLS.
تشفير البيانات
تشفير البيانات الثابتة أو المتحركة باستخدام مفاتيح مدارة بواسطة الخدمة أو مفاتيح يديرها العميل (CMKs): حماية البيانات الحساسة عن طريق تشفيرها في حالة الراحة والنقل. استخدم المفاتيح المدارة بواسطة الخدمة للتبسيط أو المفاتيح التي يديرها العميل لمزيد من التحكم في التشفير. لمزيد من المعلومات، راجع تكوين المفاتيح التي يديرها العميل.
استخدام Always Encrypted لتأمين البيانات باستخدام التشفير من جانب العميل: يضمن Always Encrypted تشفير البيانات الحساسة على جانب العميل قبل إرسالها إلى Azure Cosmos DB، ما يوفر طبقة إضافية من الأمان. لمزيد من المعلومات، راجع Always Encrypted.
النسخ الاحتياطي والاستعادة
تمكين النسخ الاحتياطي المستمر الأصلي والاستعادة: حماية بياناتك عن طريق تمكين النسخ الاحتياطي المستمر، والذي يسمح لك باستعادة حساب Azure Cosmos DB الخاص بك إلى أي نقطة زمنية خلال فترة الاستبقاء. لمزيد من المعلومات، راجع النسخ الاحتياطي المستمر والاستعادة.
اختبار إجراءات النسخ الاحتياطي والاسترداد: للتحقق من فعالية عمليات النسخ الاحتياطي، اختبر بانتظام استعادة قواعد البيانات والحاويات والعناصر. لمزيد من المعلومات، راجع استعادة حاوية أو قاعدة بيانات.