Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Cosmos DB für NoSQL ist ein global verteilter, multimodellbasierter Datenbankdienst, der für unternehmenskritische Anwendungen entwickelt wurde. Azure Cosmos DB bietet zwar integrierte Sicherheitsfeatures zum Schutz Ihrer Daten, aber es ist wichtig, bewährte Methoden zu befolgen, um die Sicherheit Ihres Kontos, Ihrer Daten und Netzwerkkonfigurationen weiter zu verbessern.
Dieser Artikel enthält Anleitungen dazu, wie Sie Ihre Azure Cosmos DB für die NoSQL-Bereitstellung am besten sichern können.
Netzwerksicherheit
Deaktivieren Des öffentlichen Netzwerkzugriffs und verwenden Sie nur private Endpunkte: Stellen Sie Azure Cosmos DB für NoSQL mit einer Konfiguration bereit, die den Netzwerkzugriff auf ein virtuelles Azure-Netzwerk einschränkt. Das Konto wird über das von Ihnen konfigurierte subnetz verfügbar gemacht. Deaktivieren Sie dann den öffentlichen Netzwerkzugriff für das gesamte Konto, und verwenden Sie private Endpunkte ausschließlich für Dienste, die eine Verbindung mit dem Konto herstellen. Weitere Informationen finden Sie unter Konfigurieren des Zugriffs auf virtuelle Netzwerke und Konfigurieren des Zugriffs von privaten Endpunkten.
Aktivieren Sie den Netzwerksicherheitsperimeter für die Netzwerkisolation: Verwenden Sie den Netzwerksicherheitsperimeter (Network Security Perimeter, NSP), um den Zugriff auf Ihr Azure Cosmos DB-Konto einzuschränken, indem Sie Netzwerkgrenzen definieren und von öffentlichem Internetzugriff isolieren. Weitere Informationen finden Sie unter Konfigurieren des Netzwerksicherheitsperimeters.
Identitätsverwaltung
Verwenden Sie verwaltete Identitäten, um von anderen Azure-Diensten aus auf Ihr Konto zuzugreifen: Verwaltete Identitäten vermeiden die Notwendigkeit, Anmeldeinformationen zu verwalten, indem sie eine automatisch verwaltete Identität in Microsoft Entra ID bereitstellen. Verwenden Sie verwaltete Identitäten, um sicher von anderen Azure-Diensten aus auf Azure Cosmos DB zuzugreifen, ohne Anmeldeinformationen in Ihren Code einzubetten. Weitere Informationen finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.
Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure-Steuerelementen, um Kontodatenbanken und -container zu verwalten: Wenden Sie die rollenbasierte Zugriffssteuerung von Azure an, um differenzierte Berechtigungen für die Verwaltung von Azure Cosmos DB-Konten, -Datenbanken und -Containern zu definieren. Dieses Steuerelement stellt sicher, dass nur autorisierte Benutzer oder Dienste administrative Vorgänge ausführen können. Weitere Informationen finden Sie unter Gewähren des Zugriffs aufdie Steuerebene.
Verwenden Sie die rollenbasierte Zugriffssteuerung für systemeigene Datenebene, um Elemente in einem Container abzufragen, zu erstellen und darauf zuzugreifen: Implementieren Sie rollenbasierte Zugriffssteuerung auf Datenebene, um den geringsten Berechtigungszugriff für Abfragen, Erstellen und Zugreifen auf Elemente in Azure Cosmos DB-Containern zu erzwingen. Mit diesem Steuerelement können Sie Ihre Datenvorgänge schützen. Weitere Informationen finden Sie unter Gewähren des Zugriffs aufdie Datenebene.
Trennen Sie die Azure-Identitäten, die für den Zugriff auf Daten und die Steuerungsebene verwendet werden: Verwenden Sie unterschiedliche Azure-Identitäten für Steuerungsebenen- und Datenebenenvorgänge, um das Risiko einer Berechtigungseskalation zu verringern und eine bessere Zugriffssteuerung sicherzustellen. Durch diese Trennung wird die Sicherheit verbessert, indem der Umfang der einzelnen Identitäten eingeschränkt wird.
Transportsicherheit
- Verwenden und erzwingen Sie TLS 1.3 für die Transportsicherheit: Erzwingen Sie TLS 1.3 (Transport Layer Security) 1.3, um Daten während der Übertragung mit den neuesten kryptografischen Protokollen zu sichern, um eine stärkere Verschlüsselung und verbesserte Leistung sicherzustellen. Weitere Informationen finden Sie unter Minimale TLS-Erzwingung.
Datenverschlüsselung
Verschlüsseln Sie ruhende oder in Bewegung stehenden Daten mithilfe von dienstverwalteten Schlüsseln oder vom Kunden verwalteten Schlüsseln (CMKs): Schützen Sie vertrauliche Daten, indem Sie sie im Ruhezustand und während der Übertragung verschlüsseln. Verwenden Sie vom Dienst verwaltete Schlüssel für die Einfachheit oder vom Kunden verwaltete Schlüssel, um die Verschlüsselung besser zu kontrollieren. Weitere Informationen finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln.
Verwenden Sie Always Encrypted zum Sichern von Daten mit clientseitiger Verschlüsselung: Always Encrypted stellt sicher, dass vertrauliche Daten auf clientseitiger Seite verschlüsselt werden, bevor sie an Azure Cosmos DB gesendet werden, wodurch eine zusätzliche Sicherheitsebene bereitgestellt wird. Weitere Informationen hierzu finden Sie unter Always Encrypted.
Sichern und Wiederherstellen
Aktivieren Sie native kontinuierliche Sicherung und Wiederherstellung: Schützen Sie Ihre Daten, indem Sie eine kontinuierliche Sicherung aktivieren, mit der Sie Ihr Azure Cosmos DB-Konto zu einem beliebigen Zeitpunkt innerhalb des Aufbewahrungszeitraums wiederherstellen können. Weitere Informationen finden Sie unter Fortlaufende Sicherung und Wiederherstellung.
Testen Sie Sicherungs- und Wiederherstellungsverfahren: Um die Effektivität von Sicherungsprozessen zu überprüfen, testen Sie regelmäßig die Wiederherstellung von Datenbanken, Containern und Elementen. Weitere Informationen finden Sie unter Wiederherstellen eines Containers oder einer Datenbank.