Introducción
La seguridad de los datos es una responsabilidad compartida entre usted y su proveedor de base de datos. En el lado cliente, debe mantener actualizadas las revisiones de servidores, usar el cifrado HTTP/TLS y asegurarse de que las cuentas administrativas tienen contraseñas seguras. En el lado de la nube, Azure Cosmos DB cumple un gran conjunto de requisitos de seguridad para proteger los datos. Echemos un vistazo rápido a cómo Azure Cosmos DB protege los datos. Más adelante en este módulo, se describen con más detalle algunos de estos requisitos.
| Requisitos de seguridad | Enfoque de seguridad de Azure Cosmos DB |
|---|---|
| Seguridad de las redes | Azure Cosmos DB admite controles de acceso basados en IP impulsados por políticas para el soporte de firewall entrante. Azure Cosmos DB le permite habilitar una combinación de direcciones IP e intervalos IP. Solo las máquinas con las direcciones IP o en los intervalos IP adecuados pueden acceder a los recursos de Azure Cosmos DB; Azure Cosmos DB bloquea todas las demás máquinas. |
| Autorización | Azure Cosmos DB utiliza el código de autenticación de mensajes basado en hash (HMAC) para la autorización. Puede usar una clave principal o un token de recurso, lo que permite acceso muy específico a un recurso, por ejemplo, un documento. |
| Usuarios y permisos | Mediante la clave principal de la cuenta, puede crear recursos de usuario y de permiso por base de datos. El token de recurso se usa luego durante la autenticación para proporcionar o denegar el acceso al recurso. |
| Integración de Active Directory (Azure RBAC) | También puede proporcionar o restringir el acceso a la cuenta de Cosmos, la base de datos, el contenedor y las ofertas (rendimiento) mediante el control de acceso (IAM) en Azure Portal. IAM proporciona una funcionalidad de control de acceso basado en roles y se integra con Active Directory. Puede usar roles integrados o personalizados para usuarios y grupos. |
| Replicación global | En el contexto de seguridad, la replicación global garantiza la protección de los datos frente a errores regionales. |
| Conmutaciones por error regionales | Si se han replicado los datos en más de un centro de datos, Azure Cosmos DB sustituirá automáticamente las operaciones en caso de que se desconecte un centro de datos regional. |
| Replicación local | Incluso dentro de un solo centro de datos, Azure Cosmos DB replica automáticamente los datos para lograr una alta disponibilidad, lo que posibilita diversos niveles de coherencia. |
| Restauración de los datos eliminados | Las copias de seguridad automatizadas en línea se pueden utilizar para recuperar los datos que puede que haya eliminado accidentalmente hasta unos 30 días después del suceso. |
| Protección y aislamiento de datos confidenciales | Los documentos y las copias de seguridad ahora se cifran en reposo. Los datos personales y otros datos confidenciales se pueden aislar en contenedores específicos. Además, se puede limitar el acceso de escritura-lectura o de solo lectura a usuarios concretos. |
| Supervisión de los ataques | Mediante el uso de registros de actividad y de auditoría, puede supervisar su cuenta para detectar actividad normal y anómala. |
| Respuesta a ataques | Una vez que se haya puesto en contacto con el soporte técnico de Azure para notificar un posible ataque, se inicia un proceso de respuesta a incidentes de 5 pasos para restaurar la seguridad y las operaciones normales del servicio lo antes posible después de que se detecte un problema y se haya iniciado una investigación. |
| Barrera geográfica | Azure Cosmos DB garantiza la gobernanza de datos para regiones soberanas (por ejemplo, Alemania, China, Gobierno de EE. UU.). |
| Instalaciones protegidas | Los datos de Azure Cosmos DB se almacenan en los SSD de los centros de datos protegidos de Azure. |
| HTTPS, SSL y cifrado TLS | Todas las conexiones a Azure Cosmos DB admiten HTTPS. Azure Cosmos DB también admite TLS 1.2. |
| Cifrado en reposo | Todos los datos almacenados en Azure Cosmos DB se cifran en reposo. |
| Servidores parcheados | En cuanto una base de datos administrada, Azure Cosmos DB elimina la necesidad de administrar y aplicar revisiones a servidores. Esta acción se realiza de forma automática. |
| Cuentas administrativas con contraseñas seguras | La seguridad mediante TLS y autenticación basada en secreto HMAC está incorporada de forma predeterminada. |
Después de completar este módulo, podrá:
- Implementación del control de acceso de nivel de red
- Revisión de las opciones de cifrado de datos
- Uso del control de acceso basado en rol (RBAC)
- Acceso a los recursos de la cuenta mediante Microsoft Entra ID
- Descripción de Always Encrypted