Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Cosmos DB für NoSQL ist ein global verteilter, multimodellbasierter Datenbankdienst, der für unternehmenskritische Anwendungen entwickelt wurde. Während Azure Cosmos DB integrierte Sicherheitsfeatures zum Schutz Ihrer Daten bereitstellt, ist es wichtig, bewährte Methoden zu befolgen, um die Sicherheit Ihres Kontos, Ihrer Daten und Netzwerkkonfigurationen weiter zu verbessern.
Dieser Artikel enthält Anleitungen zur optimalen Sicherung Ihrer Azure Cosmos DB für NoSQL Bereitstellung.
Netzwerksicherheit
Deaktivieren Sie den öffentlichen Netzwerkzugriff und verwenden Sie nur private Endpunkte: Implementieren Sie Azure Cosmos DB für NoSQL mit einer Konfiguration, die den Netzwerkzugriff auf ein in Azure bereitgestelltes virtuelles Netzwerk beschränkt. Das Konto wird über das von Ihnen konfigurierte subnetz verfügbar gemacht. Deaktivieren Sie dann den öffentlichen Netzwerkzugriff für das gesamte Konto, und verwenden Sie private Endpunkte ausschließlich für Dienste, die eine Verbindung mit dem Konto herstellen. Weitere Informationen finden Sie unter Konfigurieren des Zugriffs auf virtuelle Netzwerke und Konfigurieren des Zugriffs von privaten Endpunkten.
Netzwerksicherheitsperimeter für Netzwerkisolierung aktivieren: Verwenden Sie den Netzwerksicherheitsperimeter (NSP), um den Zugriff auf Ihr Azure Cosmos DB-Konto zu beschränken, indem Sie Netzwerkgrenzen definieren und vom öffentlichen Internetzugang isolieren. Weitere Informationen finden Sie unter Konfigurieren des Netzwerksicherheitsperimeters.
Identitätsverwaltung
Verwenden Sie verwaltete Identitäten, um von anderen Azure Diensten aus auf Ihr Konto zuzugreifen: Verwaltete Identitäten vermeiden die Notwendigkeit, Anmeldeinformationen zu verwalten, indem eine automatisch verwaltete Identität in Microsoft Entra ID bereitgestellt wird. Verwenden Sie verwaltete Identitäten, um sicher auf Azure Cosmos DB von anderen Azure Diensten zuzugreifen, ohne Anmeldeinformationen in Ihren Code einzubetten. Weitere Informationen finden Sie unter Managed identities for Azure resources.
Verwenden Sie die rollenbasierte Zugriffskontrolle der Azure-Control-Plane zur Verwaltung von Kontodatenbanken und -containern: Wenden Sie die rollenbasierte Zugriffskontrolle in Azure an, um fein abgestufte Berechtigungen für die Verwaltung von Azure Cosmos DB-Konten, -Datenbanken und -Containern festzulegen. Dieses Steuerelement stellt sicher, dass nur autorisierte Benutzer oder Dienste administrative Vorgänge ausführen können. Weitere Informationen finden Sie unter Gewähren des Zugriffs auf die Steuerebene.
Nutzung der rollenbasierten Zugriffssteuerung für systemeigene Datenebene für Abfragen, Erstellen und Zugreifen auf Elemente in einem Container: Implementieren Sie rollenbasierte Zugriffssteuerung für datenebenen, um den geringsten Berechtigungszugriff für Abfragen, Erstellen und Zugreifen auf Elemente in Azure Cosmos DB Containern zu erzwingen. Mit diesem Steuerelement können Sie Ihre Datenvorgänge schützen. Weitere Informationen finden Sie unter Zugriff auf die Datenebene gewähren.
Trennen Sie die Azure-Identitäten für den Zugriff auf Daten- und Steuerungsebenen: Verwenden Sie unterschiedliche Azure-Identitäten für Vorgänge auf der Steuerungsebene und der Datenebene, um das Risiko einer Berechtigungseskalation zu verringern und eine bessere Zugriffssteuerung sicherzustellen. Durch diese Trennung wird die Sicherheit verbessert, indem der Umfang der einzelnen Identitäten eingeschränkt wird.
Drehen Sie Zugriffstasten regelmäßig, wenn Sie die schlüsselbasierte Authentifizierung verwenden: Wenn Sie weiterhin die schlüsselbasierte Authentifizierung verwenden, drehen Sie Ihre primären und sekundären Schlüssel regelmäßig. Verwenden Sie den Sekundärschlüssel während der Primärschlüsseldrehung, um Ausfallzeiten zu vermeiden. Informationen zur Schlüsselrotation finden Sie unter "Kontoschlüsselrotation". Um zur Microsoft Entra ID-Authentifizierung zu migrieren, finden Sie Informationen unter Verbindung über rollenbasierte Zugriffssteuerung herstellen.
Transportsicherheit
- Verwenden und erzwingen Sie TLS 1.3 für die Transportsicherheit: Erzwingen Sie TLS 1.3 (Transport Layer Security) 1.3, um Daten während der Übertragung mit den neuesten kryptografischen Protokollen zu sichern, um eine stärkere Verschlüsselung und verbesserte Leistung sicherzustellen. Weitere Informationen finden Sie unter Minimale TLS-Erzwingung.
Datenverschlüsselung
Verschlüsseln Sie ruhende oder in Bewegung stehenden Daten mithilfe von dienstverwalteten Schlüsseln oder vom Kunden verwalteten Schlüsseln (CMKs): Schützen Sie vertrauliche Daten, indem Sie sie im Ruhezustand und während der Übertragung verschlüsseln. Verwenden Sie vom Dienst verwaltete Schlüssel für die Einfachheit oder vom Kunden verwaltete Schlüssel, um die Verschlüsselung besser zu kontrollieren. Weitere Informationen finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln.
Use Always Encrypted to secure data with client-side encryption: Always Encrypted stellt sicher, dass vertrauliche Daten auf clientseitiger Seite verschlüsselt werden, bevor sie an Azure Cosmos DB gesendet werden, was eine zusätzliche Sicherheitsebene bietet. Weitere Informationen finden Sie unter Always Encrypted.
Sichern und Wiederherstellen
Aktivieren Sie die native fortlaufende Sicherung und Wiederherstellung: Schützen Sie Ihre Daten, indem Sie die fortlaufende Sicherung aktivieren, mit der Sie Ihr Azure Cosmos DB-Konto jederzeit innerhalb des Aufbewahrungszeitraums wiederherstellen können. Weitere Informationen finden Sie unter Fortlaufende Sicherung und Wiederherstellung.
Testen Sie Sicherungs- und Wiederherstellungsverfahren: Um die Effektivität von Sicherungsprozessen zu überprüfen, testen Sie regelmäßig die Wiederherstellung von Datenbanken, Containern und Elementen. Weitere Informationen finden Sie unter Wiederherstellen eines Containers oder einer Datenbank.