Conseils de sécurité pour Azure Cosmos DB for NoSQL
S’APPLIQUE À : NoSQL
Diagramme de la séquence du guide de déploiement, y compris ces emplacements, dans l’ordre : Vue d’ensemble, Concepts, Préparation, Contrôle d’accès en fonction du rôle, Réseau et Référence. L’emplacement « Vue d’ensemble » est mis en surbrillance.
Lors de l’utilisation d’Azure Cosmos DB for NoSQL, il est important de s’assurer que les utilisateurs et applications autorisés ont accès aux données tout en empêchant l’accès involontaire ou non autorisé.
Bien que l’utilisation de clés et d’informations d’identification de mot de passe du propriétaire de la ressource semble pratique, cela n’est pas recommandé pour plusieurs raisons. Tout d’abord, ces méthodes n’ont pas la robustesse et la flexibilité fournies par l’authentification Microsoft Entra. Microsoft Entra offre des fonctionnalités de sécurité renforcée telles que l’authentification multifacteur et les stratégies d’accès conditionnel, qui réduisent considérablement le risque d’accès non autorisé. En utilisant Microsoft Entra, vous pouvez améliorer considérablement la posture de sécurité de vos applications et protéger les données sensibles contre les menaces potentielles.
Gérer l’accès
Le contrôle d’accès en fonction du rôle à l’aide de Microsoft Entra vous permet de décider quels utilisateurs, appareils ou charges de travail peuvent accéder à vos données et dans quelle mesure ils peuvent accéder à ces données. L’utilisation de permissions affinées dans une définition de rôle vous offre la possibilité d’appliquer le principal de sécurité de « privilège minimum » tout en conservant l’accès aux données simple et rationalisé pour le développement.
Accorder l’accès en production
Dans les applications de production, Microsoft Entra propose de nombreux types d’identités, notamment :
- Identités de charge de travail pour des charges de travail d’application spécifiques
- Identités managées affectées par le système natives à un service Azure
- Identités managées affectées par l’utilisateur qui peuvent être réutilisées de manière flexible entre plusieurs services Azure
- Principaux de service pour des scénarios personnalisés et plus sophistiqués
- Identités d’appareil pour les charges de travail de périphérie
Avec ces identités, vous pouvez accorder à des charges de travail ou des applications de production spécifiques un accès affiné pour interroger, lire ou manipuler des ressources dans Azure Cosmos DB.
Accorder l’accès au développement
Au développement, Microsoft Entra offre le même niveau de flexibilité aux identités humaines de votre développeur. Vous pouvez utiliser les mêmes définitions de contrôle d’accès en fonction du rôle et les mêmes techniques d’affectation pour accorder à vos développeurs l’accès aux comptes de base de données de test, de préproduction ou de développement.
Votre équipe de sécurité dispose d’une suite d’outils unique pour gérer les identités et les autorisations de vos comptes dans tous vos environnements.
Simplifier le code d’authentification
Avec le SDK Azure, les techniques utilisées pour accéder aux données Azure Cosmos DB de manière programmatique dans de nombreux scénarios différents :
- Si votre application est en développement ou en production
- Si vous utilisez des identités humaines, de charge de travail, managées ou d’appareils
- Si votre équipe préfère utiliser Azure CLI, Azure PowerShell, Azure Developer CLI, Visual Studio ou Visual Studio Code
- Si votre équipe utilise Python, JavaScript, TypeScript, .NET, Go ou Java
Le SDK Azure fournit une bibliothèque d’identité compatible avec un grand nombre de plateformes, langages de développement et techniques d’authentification. Une fois que vous avez appris à activer l’authentification Microsoft Entra, la technique reste la même dans tous vos scénarios. Il n’est pas nécessaire de créer des piles d’authentification distinctes pour chaque environnement.