Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Cosmos DB pro NoSQL je globálně distribuovaná databázová služba s více modely navržená pro klíčové aplikace. I když Azure Cosmos DB poskytuje integrované funkce zabezpečení pro ochranu dat, je nezbytné postupovat podle osvědčených postupů, abyste dále vylepšili zabezpečení účtu, dat a síťových konfigurací.
Tento článek obsahuje pokyny k zajištění nejlepšího zabezpečení nasazení služby Azure Cosmos DB for NoSQL.
Zabezpečení sítě
Zakázat veřejný přístup k síti a používat pouze privátní koncové body: Nasaďte Azure Cosmos DB pro NoSQL s konfigurací, která omezuje síťový přístup na virtuální síť nasazenou na Azure. Účet se zobrazí prostřednictvím konkrétní podsítě, kterou jste nakonfigurovali. Pak zakažte přístup k veřejné síti pro celý účet a používejte privátní koncové body výhradně pro služby, které se k účtu připojují. Další informace najdete v tématu Konfigurace přístupu k virtuální síti a konfigurace přístupu z privátních koncových bodů.
Zapněte obvod zabezpečení sítě pro izolaci sítě: Pomocí Network Security Perimeter (NSP) omezte přístup k vašemu účtu služby Azure Cosmos DB tím, že definujete hranice sítě a izolujete ho od přístupu k veřejnému internetu. Další informace naleznete v tématu Konfigurace hraniční sítě zabezpečení sítě.
Správa identit
Použití spravovaných identit pro přístup k účtu z jiných služeb Azure: Spravované identity eliminují potřebu správy přihlašovacích údajů tím, že poskytují automaticky spravovanou identitu v Microsoft Entra ID. Pomocí spravovaných identit můžete bezpečně přistupovat ke službě Azure Cosmos DB z jiných služeb Azure bez vložení přihlašovacích údajů do kódu. Další informace najdete v tématu Spravované identity pro prostředky Azure.
Použijte řízení přístupu na základě role řídicí roviny Azure pro správu účtů, databází a kontejnerů: Aplikujte řízení přístupu na základě role Azure k definování detailních oprávnění pro správu účtů Azure Cosmos DB, databází a kontejnerů. Tento ovládací prvek zajišťuje, že operace správy můžou provádět pouze autorizovaní uživatelé nebo služby. Další informace naleznete v tématu Udělení přístupu k řídicí rovině.
Používejte nativní řízení přístupu založené na rolích datové roviny k dotazování, vytváření a přístupu k položkám v rámci kontejneru: Implementujte řízení přístupu založené na rolích datové roviny a vynucujte zásadu nejnižších oprávnění pro dotazování, vytváření a přístup k položkám v kontejnerech Azure Cosmos DB. Tento ovládací prvek pomáhá zabezpečit vaše datové operace. Další informace naleznete v tématu Přístup k datové rovině.
Oddělte identity Azure používané pro přístup k rovině dat a řídicí roviny: Pro operace roviny řízení a roviny dat použijte jedinečné identity Azure, abyste snížili riziko eskalace oprávnění a zajistili lepší řízení přístupu. Toto oddělení zvyšuje zabezpečení omezením rozsahu jednotlivých identit.
Pravidelně obměňujte přístupové klíče, pokud používáte ověřování založené na klíčích: Pokud stále používáte ověřování založené na klíčích, obměňte primární a sekundární klíče podle běžného plánu. Pokud chcete zabránit výpadkům, použijte sekundární klíč během obměně primárního klíče. Kroky pro rotaci klíčů najdete v tématu Obměna klíčů účtu. Pokud chcete migrovat na ověřování Microsoft Entra ID, viz Připojení pomocí řízení přístupu na základě role.
Zabezpečení dopravy
- Používejte a vynucujte protokol TLS 1.3 pro zabezpečení přenosu: Vynucujte zabezpečení tls 1.3 (Transport Layer Security) 1.3 pro zabezpečení přenášených dat pomocí nejnovějších kryptografických protokolů, čímž zajistíte silnější šifrování a lepší výkon. Další informace najdete v tématu Minimální vynucení protokolu TLS.
Šifrování dat
Šifrování dat v klidu nebo v pohybu pomocí klíčů spravovaných službou nebo zákazníkem (CMK): Chraňte citlivá data šifrováním při uložení a při přenosu. Používejte klíče spravované službou pro zjednodušení, nebo klíče spravované zákazníkem pro větší kontrolu nad šifrováním. Další informace najdete v tématu Konfigurace klíčů spravovaných zákazníkem.
Pomocí funkce Always Encrypted zabezpečte data pomocí šifrování na straně klienta: Funkce Always Encrypted zajišťuje, aby se citlivá data před odesláním do služby Azure Cosmos DB zašifrovala na straně klienta a poskytovala další vrstvu zabezpečení. Další informace naleznete v tématu Always Encrypted.
Zálohování a obnovení
Povolení nativního průběžného zálohování a obnovení: Chraňte svá data povolením průběžného zálohování, což umožňuje obnovit účet služby Azure Cosmos DB do libovolného bodu v čase v rámci doby uchovávání. Další informace najdete v tématu Průběžné zálohování a obnovení.
Testování postupů zálohování a obnovení: Pokud chcete ověřit efektivitu procesů zálohování, pravidelně testujte obnovení databází, kontejnerů a položek. Další informace najdete v tématu obnovení kontejneru nebo databáze.