Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Cosmos DB pour NoSQL est un service de base de données multimodèle distribué à l’échelle mondiale conçu pour les applications stratégiques. Bien que Azure Cosmos DB fournit des fonctionnalités de sécurité intégrées pour protéger vos données, il est essentiel de suivre les bonnes pratiques pour améliorer davantage la sécurité de votre compte, de vos données et de vos configurations réseau.
Cet article fournit des conseils sur la meilleure sécurisation de votre Azure Cosmos DB pour NoSQL déploiement.
Sécurité réseau
Désactiver l'accès au réseau public et n'utiliser que des points de terminaison privés : déployez Azure Cosmos DB pour NoSQL avec une configuration qui limite l'accès réseau au réseau virtuel déployé par Azure. Le compte est exposé via le sous-réseau spécifique que vous avez configuré. Ensuite, désactivez l’accès au réseau public pour l’ensemble du compte et utilisez des points de terminaison privés exclusivement pour les services qui se connectent au compte. Pour plus d’informations, consultez configurer l’accès au réseau virtuel et configurer l’accès à partir de points de terminaison privés.
Enable Network Security Perimeter for network isolation : Use Network Security Perimeter (NSP) pour restreindre l’accès à votre compte de Azure Cosmos DB en définissant les limites du réseau et en l’isolant contre l’accès Internet public. Pour plus d’informations, consultez Configurer le périmètre de sécurité réseau.
Gestion des identités
Utilisez les identités managées pour accéder à votre compte à partir d’autres services Azure : les identités managées éliminent la nécessité de gérer les informations d’identification en fournissant une identité managée automatiquement dans Microsoft Entra ID. Utilisez des identités managées pour accéder en toute sécurité aux Azure Cosmos DB à partir d’autres services Azure sans incorporer d’informations d’identification dans votre code. Pour plus d’informations, consultez Identités managées pour les ressources Azure.
Utilisez le contrôle d'accès basé sur les rôles du plan de contrôle Azure pour gérer les bases de données de comptes et les conteneurs : Appliquez le contrôle d'accès basé sur les rôles d'Azure pour définir des autorisations granulaires pour la gestion des comptes, des bases de données et des conteneurs Azure Cosmos DB. Ce contrôle garantit que seuls les utilisateurs ou services autorisés peuvent effectuer des opérations administratives. Pour plus d’informations, consultez Accorder un accès dans le plan de contrôle.
Utilisez le contrôle d’accès en fonction du rôle en fonction du plan de données natif pour interroger, créer et accéder à des éléments dans un conteneur : implémentez le contrôle d’accès en fonction du rôle du plan de données pour appliquer l’accès au moins privilégié pour l’interrogation, la création et l’accès aux éléments dans Azure Cosmos DB conteneurs. Ce contrôle permet de sécuriser vos opérations de données. Pour découvrir plus d’informations, consultez Octroi d’accès au plan de données.
Séparez les identités de Azure utilisées pour l’accès aux données et au plan de contrôle : utilisez des identités Azure distinctes pour les opérations de plan de contrôle et de plan de données afin de réduire le risque d’escalade des privilèges et de garantir un meilleur contrôle d’accès. Cette séparation améliore la sécurité en limitant l’étendue de chaque identité.
Faites pivoter régulièrement les clés d’accès si vous utilisez l’authentification basée sur des clés : si vous utilisez toujours l’authentification basée sur des clés, faites pivoter vos clés primaires et secondaires selon une planification régulière. Utilisez la clé secondaire pendant la rotation de la clé primaire pour éviter les temps d’arrêt. Pour connaître les étapes de rotation des clés, consultez Faire pivoter les clés de compte. Pour migrer vers l’authentification Microsoft Entra ID, consultez Connect à l’aide du contrôle d’accès en fonction du rôle.
Sécurité du transport
- Utilisez et appliquez TLS 1.3 pour la sécurité du transport : appliquez la sécurité de la couche de transport (TLS) 1.3 pour sécuriser les données en transit avec les derniers protocoles de chiffrement, garantissant un chiffrement plus fort et des performances améliorées. Pour plus d’informations, consultez Application minimale de TLS.
Chiffrement des données
Chiffrer les données au repos ou en mouvement à l’aide de clés gérées par le service ou de clés gérées par le client (CMK) : protégez les données sensibles en les chiffrant au repos et en transit. Utilisez des clés gérées par le service pour une simplicité ou des clés gérées par le client pour un meilleur contrôle du chiffrement. Pour plus d’informations, consultez Configurer des clés gérées par le client.
Use Always Encrypted pour sécuriser les données avec le chiffrement côté client : Always Encrypted garantit que les données sensibles sont chiffrées côté client avant d’être envoyées à Azure Cosmos DB, fournissant une couche de sécurité supplémentaire. Pour plus d'informations, consultez Always Encrypted.
Sauvegarde et restauration
Activer la sauvegarde et restauration continue natives : Protégez vos données en activant la sauvegarde continue, ce qui vous permet de restaurer votre compte Azure Cosmos DB à n'importe quel moment dans la période de rétention. Pour plus d’informations, consultez Sauvegarde et restauration continues.
Tester les procédures de sauvegarde et de récupération : pour vérifier l’efficacité des processus de sauvegarde, testez régulièrement la restauration des bases de données, des conteneurs et des éléments. Pour plus d’informations, consultez restaurer un conteneur ou une base de données.