Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DocumentDB ist ein vollständig verwalteter NoSQL-Datenbankdienst, der für leistungsstarke, unternehmenskritische Anwendungen entwickelt wurde. Die Sicherung Ihres Azure DocumentDB-Clusters ist unerlässlich, um Ihre Daten und Ihr Netzwerk zu schützen.
In diesem Artikel werden bewährte Methoden und wichtige Features erläutert, mit denen Sie Datenbankverletzungen verhindern, erkennen und darauf reagieren können.
Netzwerksicherheit
Einschränken des Zugriffs mithilfe privater Endpunkte und Firewallregeln: Standardmäßig sind Cluster gesperrt. Steuern Sie, welche Ressourcen eine Verbindung mit Ihrem Cluster herstellen können, indem Sie privaten Zugriff über private Links oder öffentlichen Zugriff mit IP-basierten Firewallregeln aktivieren. Weitere Informationen finden Sie unter Aktivieren des privaten Zugriffs und zum Aktivieren des öffentlichen Zugriffs.
Kombinieren Sie den öffentlichen und privaten Zugriff nach Bedarf: Sie können sowohl öffentliche als auch private Zugriffsoptionen auf Ihrem Cluster konfigurieren und sie jederzeit ändern, um Ihre Sicherheitsanforderungen zu erfüllen. Weitere Informationen finden Sie unter Netzwerkkonfigurationsoptionen.
Identitätsverwaltung
Verwenden Sie verwaltete Identitäten, um von anderen Azure-Diensten aus auf Ihr Konto zuzugreifen: Verwaltete Identitäten vermeiden die Notwendigkeit, Anmeldeinformationen zu verwalten, indem sie eine automatisch verwaltete Identität in Microsoft Entra ID bereitstellen. Verwenden Sie verwaltete Identitäten, um sicher von anderen Azure-Diensten aus auf Azure DocumentDB zuzugreifen, ohne Anmeldeinformationen in Ihren Code einzubetten. Weitere Informationen finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.
Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure-Steuerelementen, um Kontodatenbanken und -sammlungen zu verwalten: Wenden Sie die rollenbasierte Zugriffssteuerung von Azure an, um differenzierte Berechtigungen für die Verwaltung von Azure DocumentDB-Clustern, -Datenbanken und -Sammlungen zu definieren. Dieses Steuerelement stellt sicher, dass nur autorisierte Benutzer oder Dienste administrative Vorgänge ausführen können.
Verwenden Sie die rollenbasierte Zugriffssteuerung für systemeigene Datenebene, um Elemente in einem Container abzufragen, zu erstellen und darauf zuzugreifen: Implementieren Sie rollenbasierte Zugriffssteuerung auf Datenebene, um den geringsten Berechtigungszugriff für Abfragen, Erstellen und Zugreifen auf Elemente in Azure DocumentDB-Auflistungen zu erzwingen. Mit diesem Steuerelement können Sie Ihre Datenvorgänge schützen. Weitere Informationen finden Sie unter Zugriff auf die Datenebene gewähren.
Trennen Sie die Azure-Identitäten, die für den Zugriff auf Daten und die Steuerungsebene verwendet werden: Verwenden Sie unterschiedliche Azure-Identitäten für Steuerungsebenen- und Datenebenenvorgänge, um das Risiko einer Berechtigungseskalation zu verringern und eine bessere Zugriffssteuerung sicherzustellen. Durch diese Trennung wird die Sicherheit verbessert, indem der Umfang der einzelnen Identitäten eingeschränkt wird.
Verwenden Sie sichere Kennwörter für administrative Cluster: Administrative Cluster erfordern sichere Kennwörter mit mindestens acht Zeichen, einschließlich Großbuchstaben, Kleinbuchstaben, Zahlen und nichtalphanumerischen Zeichen. Sichere Kennwörter verhindern nicht autorisierten Zugriff. Weitere Informationen finden Sie unter Verwalten von Benutzern.
Erstellen Sie sekundäre Benutzercluster für einen granularen Zugriff: Weisen Sie sekundären Benutzerclustern Lese-/Schreibzugriff zu, um die Zugriffssteuerung in den Datenbanken Ihres Clusters genauer zu steuern. Weitere Informationen finden Sie unter Erstellen sekundärer Benutzer.
Transportsicherheit
Erzwingen der Transportschichtsicherheitsverschlüsselung für alle Verbindungen: Alle Netzwerkkommunikationen mit Azure DocumentDB-Clustern werden bei der Übertragung mithilfe von TLS (Transport Layer Security) bis zu 1.3 verschlüsselt. Nur Verbindungen über einen MongoDB-Client werden akzeptiert, und die Verschlüsselung wird immer erzwungen. Weitere Informationen finden Sie unter sicheres Herstellen einer Verbindung.
Verwenden Sie HTTPS für die Verwaltung und Überwachung: Stellen Sie sicher, dass alle Verwaltungs- und Überwachungsvorgänge über HTTPS ausgeführt werden, um vertrauliche Informationen zu schützen. Weitere Informationen finden Sie unter Überwachen von Diagnoseprotokollen.
Datenverschlüsselung
Verschlüsseln Sie ruhende Daten mithilfe von dienstverwalteten oder vom Kunden verwalteten Schlüsseln: Alle Daten, Sicherungen, Protokolle und temporäre Dateien werden auf dem Datenträger mit der 256-Bit-256-Bit-Verschlüsselung (Advanced Encryption Standard, AES) verschlüsselt. Sie können standardmäßig vom Dienst verwaltete Schlüssel verwenden oder vom Kunden verwaltete Schlüssel für eine bessere Kontrolle konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Datenverschlüsselung.
Verwenden Sie die Basisverschlüsselung: Ruhende Datenverschlüsselung wird für alle Cluster und Sicherungen erzwungen, um sicherzustellen, dass Ihre Daten immer geschützt sind. Weitere Informationen finden Sie unter Verschlüsselung ruhender Daten.
Sichern und Wiederherstellen
- Aktivieren sie automatisierte Clustersicherungen: Sicherungen werden bei der Clustererstellung aktiviert, vollständig automatisiert und können nicht deaktiviert werden. Sie können Ihren Cluster innerhalb des Aufbewahrungszeitraums von 35 Tagen auf einen beliebigen Zeitstempel wiederherstellen. Weitere Informationen finden Sie unter Wiederherstellen eines Clusters.
Überwachung und Reaktion
Überwachen sie auf Angriffe mithilfe von Überwachungs- und Aktivitätsprotokollen: Verwenden Sie Überwachungsprotokollierungs- und Aktivitätsprotokolle, um Ihre Datenbank auf normale und abnorme Aktivitäten zu überwachen, einschließlich der Personen, die Vorgänge ausgeführt haben und wann. Weitere Informationen finden Sie unter Überwachen von Diagnoseprotokollen.
Reagieren Sie auf Angriffe mit Azure-Support: Wenn Sie einen Angriff vermuten, wenden Sie sich an den Azure-Support, um einen fünfstufigen Vorfallreaktionsprozess zur Wiederherstellung der Dienstsicherheit und -vorgänge zu initiieren. Weitere Informationen finden Sie unter "Gemeinsame Verantwortung" in der Cloud.