Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Cosmos DB para NoSQL es un servicio de base de datos multimodelo distribuido globalmente diseñado para aplicaciones críticas. Aunque Azure Cosmos DB proporciona características de seguridad integradas para proteger los datos, es esencial seguir los procedimientos recomendados para mejorar aún más la seguridad de la cuenta, los datos y las configuraciones de red.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor la Azure Cosmos DB para la implementación de NoSQL.
Seguridad de red
Deshabilite el acceso a la red pública y use solo puntos de conexión privados: implemente Azure Cosmos DB para NoSQL con una configuración que restrinja el acceso de red a una red virtual de Azure desplegada. La cuenta se expone a través de la subred específica que configuró. A continuación, deshabilite el acceso a la red pública para toda la cuenta y use puntos de conexión privados exclusivamente para los servicios que se conectan a la cuenta. Para obtener más información, consulte Configuración del acceso a la red virtual y configuración del acceso desde puntos de conexión privados.
Enable Network Security Perimeter for network isolation: Use Network Security Perimeter (NSP) para restringir el acceso a la cuenta de Azure Cosmos DB mediante la definición de límites de red y aislarlo del acceso público a Internet. Para obtener más información, consulte Configuración del perímetro de seguridad de red.
Administración de identidades
Use las identidades administradas para acceder a su cuenta desde otros servicios de Azure: las identidades administradas eliminan la necesidad de administrar las credenciales proporcionando una identidad administrada automáticamente en Microsoft Entra ID. Use identidades administradas para acceder de forma segura a Azure Cosmos DB desde otros servicios de Azure sin insertar credenciales en el código. Para obtener más información, consulte Administrar identidades para recursos de Azure.
Utilice el control de acceso basado en roles del plano de control de Azure para gestionar las bases de datos y los contenedores de cuentas: aplique el control de acceso basado en roles de Azure para definir permisos granulares para administrar cuentas, bases de datos y contenedores de Azure Cosmos DB. Este control garantiza que solo los usuarios o servicios autorizados puedan realizar operaciones administrativas. Para obtener más información, vea Conceder acceso al plano de control.
Use el control de acceso basado en rol del plano de datos nativo para consultar, crear y acceder a elementos dentro de un contenedor: implemente el control de acceso basado en rol del plano de datos para aplicar el acceso con privilegios mínimos para consultar, crear y acceder a elementos dentro de contenedores de Azure Cosmos DB. Este control ayuda a proteger las operaciones de datos. Para obtener más información, consulte Otorgar acceso al plano de datos.
Separar las identidades de Azure usadas para el acceso al plano de control y al plano de datos: use las identidades de Azure distintas para las operaciones del plano de control y del plano de datos para reducir el riesgo de escalación de privilegios y garantizar un mejor control de acceso. Esta separación mejora la seguridad limitando el ámbito de cada identidad.
Rote las claves de acceso regularmente si usa autenticación basada en claves: si sigue utilizando la autenticación basada en claves, rote las claves primarias y secundarias de manera regular. Use la clave secundaria durante la rotación de la clave principal para evitar interrupciones. Para conocer los pasos de rotación de claves, consulte Rotación de claves de cuenta. Para migrar a la autenticación de Microsoft Entra ID, consulte Conectar usando control de acceso basado en roles.
Seguridad de transporte
- Use y aplique TLS 1.3 para la seguridad de transporte: aplique la seguridad de la capa de transporte (TLS) 1.3 para proteger los datos en tránsito con los protocolos criptográficos más recientes, lo que garantiza un cifrado más seguro y un rendimiento mejorado. Para más información, consulte Aplicación mínima de TLS.
Cifrado de datos
Cifrado de datos en reposo o en movimiento mediante claves administradas por el servicio o claves administradas por el cliente (CMK): proteja los datos confidenciales cifrandolos en reposo y en tránsito. Use claves administradas por el servicio para mayor simplicidad o claves administradas por el cliente para un mayor control sobre el cifrado. Para obtener más información, consulte Configuración de claves administradas por el cliente.
Use Always Encrypted para proteger los datos con cifrado del lado cliente: Always Encrypted garantiza que los datos confidenciales se cifren en el lado cliente antes de enviarlos a Azure Cosmos DB, lo que proporciona una capa adicional de seguridad. Para obtener más información, consulte Always Encrypted.
Copias de seguridad y restauración
Habilite la copia de seguridad y restauración continua nativas: proteja los datos habilitando la copia de seguridad continua, lo que le permite restaurar la cuenta de Azure Cosmos DB a cualquier momento en el período de retención. Para obtener más información, consulte Copias de seguridad y restauración continuas.
Probar los procedimientos de copia de seguridad y recuperación: para comprobar la eficacia de los procesos de copia de seguridad, pruebe periódicamente la restauración de bases de datos, contenedores y elementos. Para obtener más información, consulte Restauración de un contenedor o una base de datos.