Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure DocumentDB je plně spravovaná databázová služba NoSQL navržená pro vysoce výkonné klíčové aplikace. Zabezpečení clusteru Azure DocumentDB je nezbytné k ochraně dat a sítě.
Tento článek vysvětluje osvědčené postupy a klíčové funkce, které vám pomůžou předcházet porušením zabezpečení databáze, zjišťovat je a reagovat na ně.
Zabezpečení sítě
Omezit přístup pomocí privátních koncových bodů a pravidel brány firewall: Ve výchozím nastavení jsou clustery uzamčené. Určete, které prostředky se můžou připojit k vašemu clusteru, povolením privátního přístupu přes Private Link nebo veřejným přístupem pomocí pravidel brány firewall založených na PROTOKOLU IP. Další informace najdete v tématu povolení privátního přístupu a povolení veřejného přístupu.
Podle potřeby zkombinujte veřejný a privátní přístup: V clusteru můžete nakonfigurovat možnosti veřejného i privátního přístupu a kdykoli je změnit tak, aby splňovaly vaše požadavky na zabezpečení. Další informace najdete v tématu Možnosti konfigurace sítě.
Správa identit
Použití spravovaných identit pro přístup k účtu z jiných služeb Azure: Spravované identity eliminují potřebu správy přihlašovacích údajů tím, že poskytují automaticky spravovanou identitu v Microsoft Entra ID. Pomocí spravovaných identit můžete bezpečně přistupovat ke službě Azure DocumentDB z jiných služeb Azure bez vložení přihlašovacích údajů do kódu. Další informace najdete v tématu Spravované identity pro prostředky Azure.
Použití řízení přístupu založeného na roli v řídicí rovině Azure ke správě databází a kolekcí účtů: Aplikace řízení přístupu na základě role v Azure k definování jemně odstupňovaných oprávnění pro správu clusterů, databází a kolekcí Azure DocumentDB. Tento ovládací prvek zajišťuje, že operace správy můžou provádět pouze autorizovaní uživatelé nebo služby.
Pomocí nativního řízení přístupu na základě role na základě roviny dat můžete dotazovat, vytvářet a přistupovat k položkám v rámci kontejneru: Implementujte řízení přístupu na základě role na základě roviny dat a vynucujte přístup k nejnižším oprávněním pro dotazování, vytváření a přístup k položkám v kolekcích Azure DocumentDB. Tento ovládací prvek pomáhá zabezpečit vaše datové operace. Další informace naleznete v tématu Přístup k datové rovině.
Oddělte identity Azure používané pro přístup k rovině dat a řídicí roviny: Pro operace roviny řízení a roviny dat použijte jedinečné identity Azure, abyste snížili riziko eskalace oprávnění a zajistili lepší řízení přístupu. Toto oddělení zvyšuje zabezpečení omezením rozsahu jednotlivých identit.
Používejte silná hesla pro clustery pro správu: Clustery pro správu vyžadují silná hesla s alespoň osmi znaky, včetně velkých, malých, čísel a neosamocených znaků. Silná hesla brání neoprávněnému přístupu. Další informace najdete v tématu správa uživatelů.
Vytvořte clustery sekundárních uživatelů pro podrobný přístup: Přiřaďte sekundárním uživatelským clusterům oprávnění jen pro čtení nebo jen pro čtení pro podrobnější řízení přístupu v databázích clusteru. Další informace najdete v tématu vytváření sekundárních uživatelů.
Zabezpečení dopravy
Vynucujte šifrování zabezpečení přenosové vrstvy pro všechna připojení: Veškerá síťová komunikace s clustery Azure DocumentDB se šifruje při přenosu pomocí protokolu TLS (Transport Layer Security) až 1.3. Akceptují se pouze připojení přes klienta MongoDB a šifrování se vždy vynucuje. Další informace najdete v tématu bezpečné připojení.
Použití PROTOKOLU HTTPS pro správu a monitorování: Zajistěte, aby se všechny operace správy a monitorování prováděly přes PROTOKOL HTTPS za účelem ochrany citlivých informací. Další informace najdete v tématu monitorování diagnostických protokolů.
Šifrování dat
Šifrování neaktivních uložených dat pomocí klíčů spravovaných službou nebo klíčů spravovaných zákazníkem: Všechna data, zálohy, protokoly a dočasné soubory se šifrují na disku pomocí 256bitového šifrování AES (Advanced Encryption Standard). Klíče spravované službou můžete použít ve výchozím nastavení nebo nakonfigurovat klíče spravované zákazníkem pro větší kontrolu. Další informace najdete v tématu konfigurace šifrování dat.
Používejte standardní šifrování: Šifrování neaktivních uložených dat se vynucuje pro všechny clustery a zálohy a zajišťuje, že vaše data jsou vždy chráněná. Další informace najdete v tématu šifrování neaktivních uložených dat.
Zálohování a obnovení
- Povolení automatizovaných záloh clusteru: Zálohy jsou povolené při vytváření clusteru, plně automatizované a nedají se zakázat. Cluster můžete obnovit k libovolnému časovému okamžiku během 35denní doby uchování dat. Další informace najdete v tématu obnovení clusteru.
Monitorování a reakce
Monitorování útoků pomocí protokolů auditu a aktivit: Pomocí protokolování auditu a protokolů aktivit monitorujte databázi za normální a neobvyklou aktivitu, včetně toho, kdo provedl operace a kdy. Další informace najdete v tématu monitorování diagnostických protokolů.
Reakce na útoky pomocí podpory Azure: Pokud máte podezření na útok, obraťte se na podporu Azure a zahajte proces reakce na incidenty s pěti kroky za účelem obnovení zabezpečení a provozu služby. Další informace najdete v tématu sdílená odpovědnost v cloudu.