Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Cosmos DB para Table es un servicio de base de datos NoSQL totalmente administrado que permite almacenar, administrar y consultar grandes volúmenes de datos clave-valor mediante las API conocidas de Azure Table Storage. Aunque Azure Cosmos DB proporciona características de seguridad integradas para proteger los datos, es esencial seguir los procedimientos recomendados para mejorar aún más la seguridad de la cuenta, los datos y las configuraciones de red.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor la implementación de Azure Cosmos DB para Table.
Seguridad de red
Deshabilite el acceso a la red pública y use puntos de conexión privados solo: implemente Azure Cosmos DB para NoSQL con una configuración que restrinja el acceso de red a una red virtual desloyada de Azure. La cuenta se expone a través de la subred específica que configuró. A continuación, deshabilite el acceso a la red pública para toda la cuenta y use puntos de conexión privados exclusivamente para los servicios que se conectan a la cuenta. Para obtener más información, consulte Configuración del acceso a la red virtual y configuración del acceso desde puntos de conexión privados.
Habilitar el perímetro de seguridad de red para el aislamiento de red: use el perímetro de seguridad de red (NSP) para restringir el acceso a la cuenta de Azure Cosmos DB mediante la definición de límites de red y aislarlo del acceso público a Internet. Para obtener más información, consulte Configuración del perímetro de seguridad de red.
Administración de identidades
Use identidades administradas para acceder a su cuenta desde otros servicios de Azure: las identidades administradas eliminan la necesidad de administrar las credenciales proporcionando una identidad administrada automáticamente en microsoft Entra ID. Use identidades administradas para acceder de forma segura a Azure Cosmos DB desde otros servicios de Azure sin insertar credenciales en el código. Para más información, consulte Identidades administradas para recursos de Azure.
Use el control de acceso basado en rol del plano de control de Azure para administrar las bases de datos y contenedores de cuentas: aplique el control de acceso basado en rol de Azure para definir permisos específicos para administrar cuentas, bases de datos y contenedores de Azure Cosmos DB. Este control garantiza que solo los usuarios o servicios autorizados puedan realizar operaciones administrativas. Para obtener más información, vea Conceder acceso al plano de control.
Use el control de acceso basado en rol del plano de datos nativo para consultar, crear y acceder a elementos dentro de un contenedor: implemente el control de acceso basado en rol del plano de datos para aplicar el acceso con privilegios mínimos para consultar, crear y acceder a elementos dentro de contenedores de Azure Cosmos DB. Este control ayuda a proteger las operaciones de datos. Para obtener más información, consulte Otorgar acceso al plano de datos.
Separe las identidades de Azure que se usan para el acceso a los datos y el plano de control: use distintas identidades de Azure para las operaciones del plano de control y del plano de datos para reducir el riesgo de escalación de privilegios y garantizar un mejor control de acceso. Esta separación mejora la seguridad limitando el ámbito de cada identidad.
Seguridad de transporte
- Use y aplique TLS 1.3 para la seguridad de transporte: aplique la seguridad de la capa de transporte (TLS) 1.3 para proteger los datos en tránsito con los protocolos criptográficos más recientes, lo que garantiza un cifrado más seguro y un rendimiento mejorado. Para más información, consulte Aplicación mínima de TLS.
Cifrado de datos
Cifrado de datos en reposo o en movimiento mediante claves administradas por el servicio o claves administradas por el cliente (CMK): proteja los datos confidenciales cifrandolos en reposo y en tránsito. Use claves administradas por el servicio para mayor simplicidad o claves administradas por el cliente para un mayor control sobre el cifrado. Para obtener más información, consulte Configuración de claves administradas por el cliente.
Uso de Always Encrypted para proteger los datos con cifrado del lado cliente: Always Encrypted garantiza que los datos confidenciales se cifren en el lado cliente antes de enviarlos a Azure Cosmos DB, lo que proporciona una capa adicional de seguridad. Para obtener más información, consulte Always Encrypted.
Copias de seguridad y restauración
Habilitación de la copia de seguridad y restauración continua nativas: proteja los datos habilitando la copia de seguridad continua, lo que le permite restaurar la cuenta de Azure Cosmos DB a cualquier momento dado dentro del período de retención. Para obtener más información, consulte Copias de seguridad y restauración continuas.
Probar los procedimientos de copia de seguridad y recuperación: para comprobar la eficacia de los procesos de copia de seguridad, pruebe periódicamente la restauración de bases de datos, contenedores y elementos. Para obtener más información, consulte Restauración de un contenedor o una base de datos.