Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Cosmos DB for NoSQL je globálně distribuovaná databázová služba s více modely navržená pro klíčové aplikace. I když Azure Cosmos DB poskytuje integrované funkce zabezpečení pro ochranu dat, je nezbytné postupovat podle osvědčených postupů, abyste dále vylepšili zabezpečení účtu, dat a síťových konfigurací.
Tento článek obsahuje pokyny k zajištění nejlepšího zabezpečení nasazení služby Azure Cosmos DB for NoSQL.
Zabezpečení sítě
Zakažte přístup k veřejné síti a používejte pouze privátní koncové body: Nasaďte službu Azure Cosmos DB for NoSQL s konfigurací, která omezuje síťový přístup k virtuální síti azure-deloyed. Účet se zobrazí prostřednictvím konkrétní podsítě, kterou jste nakonfigurovali. Pak zakažte přístup k veřejné síti pro celý účet a používejte privátní koncové body výhradně pro služby, které se k účtu připojují. Další informace najdete v tématu Konfigurace přístupu k virtuální síti a konfigurace přístupu z privátních koncových bodů.
Povolte obvodovou ochranu sítě pro izolaci sítě: Pomocí Network Security Perimeter (NSP) omezte přístup k vašemu účtu služby Azure Cosmos DB definováním hranic sítě a izolací od veřejného přístupu k internetu. Další informace naleznete v tématu Konfigurace hraniční sítě zabezpečení sítě.
Správa identit
Použití spravovaných identit pro přístup k účtu z jiných služeb Azure: Spravované identity eliminují potřebu správy přihlašovacích údajů tím, že poskytují automaticky spravovanou identitu v Microsoft Entra ID. Pomocí spravovaných identit můžete bezpečně přistupovat ke službě Azure Cosmos DB z jiných služeb Azure bez vložení přihlašovacích údajů do kódu. Další informace najdete v tématu Spravované identity pro prostředky Azure.
Použití řízení přístupu na základě role na základě řídicí roviny Azure ke správě databází účtů a kontejnerů: Použití řízení přístupu na základě role v Azure k definování jemně odstupňovaných oprávnění pro správu účtů, databází a kontejnerů Azure Cosmos DB. Tento ovládací prvek zajišťuje, že operace správy můžou provádět pouze autorizovaní uživatelé nebo služby. Další informace naleznete v tématu Udělení přístupu k řídicí rovině.
Používejte nativní řízení přístupu založené na rolích datové roviny k dotazování, vytváření a přístupu k položkám v rámci kontejneru: Implementujte řízení přístupu založené na rolích datové roviny a vynucujte zásadu nejnižších oprávnění pro dotazování, vytváření a přístup k položkám v kontejnerech Azure Cosmos DB. Tento ovládací prvek pomáhá zabezpečit vaše datové operace. Další informace naleznete v Udělení přístupu k datové rovině.
Oddělte identity Azure používané pro přístup k rovině dat a řídicí roviny: Pro operace roviny řízení a roviny dat použijte jedinečné identity Azure, abyste snížili riziko eskalace oprávnění a zajistili lepší řízení přístupu. Toto oddělení zvyšuje zabezpečení omezením rozsahu jednotlivých identit.
Zabezpečení dopravy
- Používejte a vynucujte protokol TLS 1.3 pro zabezpečení přenosu: Vynucujte zabezpečení tls 1.3 (Transport Layer Security) 1.3 pro zabezpečení přenášených dat pomocí nejnovějších kryptografických protokolů, čímž zajistíte silnější šifrování a lepší výkon. Další informace najdete v tématu Minimální vynucení protokolu TLS.
Šifrování dat
Šifrování dat v klidu nebo během přenosu pomocí klíčů spravovaných službou nebo klíčů spravovaných zákazníkem (CMK): Chraňte citlivá data šifrováním při uložení a během přenosu. Používejte klíče spravované službou pro zjednodušení nebo klíče spravované zákazníkem pro větší kontrolu nad šifrováním. Další informace najdete v tématu Konfigurace klíčů spravovaných zákazníkem.
Pomocí funkce Always Encrypted zabezpečte data pomocí šifrování na straně klienta: Funkce Always Encrypted zajišťuje, aby se citlivá data před odesláním do služby Azure Cosmos DB zašifrovala na straně klienta a poskytovala další vrstvu zabezpečení. Další informace naleznete v tématu Always Encrypted.
Zálohování a obnovení
Povolení nativního průběžného zálohování a obnovení: Chraňte svá data povolením průběžného zálohování, což umožňuje obnovit účet služby Azure Cosmos DB do libovolného bodu v čase v rámci doby uchovávání. Další informace najdete v tématu Průběžné zálohování a obnovení.
Testování postupů zálohování a obnovení: Pokud chcete ověřit efektivitu procesů zálohování, pravidelně testujte obnovení databází, kontejnerů a položek. Další informace najdete v tématu obnovení kontejneru nebo databáze.