Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Az Azure DocumentDB egy teljes körűen felügyelt NoSQL-adatbázis-szolgáltatás, amelyet nagy teljesítményű, kritikus fontosságú alkalmazásokhoz terveztek. Az Azure DocumentDB-fürt biztonságossá tétele elengedhetetlen az adatok és a hálózat védelme érdekében.
Ez a cikk ismerteti a legjobb gyakorlatokat és főbb funkciókat, amelyek segítenek megelőzni, észlelni és reagálni az adatbázis-biztonsági sértésekre.
Hálózati biztonság
Hozzáférés korlátozása privát végpontok és tűzfalszabályok használatával: Alapértelmezés szerint a fürtök zárolva vannak. Szabályozhatja, hogy mely erőforrások csatlakozhatnak a fürthöz a Private Link segítségével történő privát hozzáférés vagy az IP-alapú tűzfalszabályokkal történő nyilvános hozzáférés engedélyezésével. További információt a privát hozzáférés engedélyezéséről és a nyilvános hozzáférés engedélyezéséről olvashat.
Szükség szerint kombinálhatja a nyilvános és a privát hozzáférést: Konfigurálhatja a fürt nyilvános és privát hozzáférési beállításait, és bármikor módosíthatja őket a biztonsági követelményeknek megfelelően. További információ: hálózati konfigurációs beállítások.
Identitáskezelés
Felügyelt identitások használatával más Azure-szolgáltatásokból érheti el a fiókját: A felügyelt identitások szükségtelenné teszi a hitelesítő adatok kezelését azáltal, hogy automatikusan felügyelt identitást ad meg a Microsoft Entra-azonosítóban. Felügyelt identitások használatával biztonságosan elérheti az Azure DocumentDB-t más Azure-szolgáltatásokból anélkül, hogy hitelesítő adatokat ágyazott be a kódba. További információ: Azure-erőforrások felügyelt identitásai.
Az Azure vezérlősík szerepköralapú hozzáférés-vezérlésével kezelheti a fiókadatbázisokat és -gyűjteményeket: Az Azure szerepköralapú hozzáférés-vezérlésének alkalmazása az Azure DocumentDB-fürtök, -adatbázisok és -gyűjtemények kezelésére vonatkozó részletes engedélyek meghatározásához. Ez a vezérlő biztosítja, hogy csak a jogosult felhasználók vagy szolgáltatások hajthatnak végre rendszergazdai műveleteket.
Natív adatsík szerepköralapú hozzáférés-vezérléssel kérdezhet le, hozhat létre és érhet el elemeket egy tárolón belül: Az adatsík szerepköralapú hozzáférés-vezérlésének implementálása az Azure DocumentDB-gyűjteményekben lévő elemek lekérdezéséhez, létrehozásához és eléréséhez szükséges minimális jogosultsági hozzáférés kényszerítéséhez. Ez a vezérlő segít az adatműveletek biztonságossá tételében. Lásd: Adatsík hozzáférésének engedélyezése a további információért.
Az adat- és vezérlősík-hozzáféréshez használt Azure-identitások elkülönítése: Különböző Azure-identitások használata vezérlősík- és adatsík-műveletekhez a jogosultságok eszkalálásának kockázatának csökkentése és a jobb hozzáférés-vezérlés biztosítása érdekében. Ez az elkülönítés az egyes identitások hatókörének korlátozásával növeli a biztonságot.
Erős jelszavak használata felügyeleti fürtökhöz: A felügyeleti fürtök legalább nyolc karakterből álló erős jelszavakat igényelnek, beleértve a nagybetűket, a kisbetűket, a számokat és a nemnalfanumerikus karaktereket. Az erős jelszavak megakadályozzák a jogosulatlan hozzáférést. További információ: felhasználók kezelése.
Másodlagos felhasználói fürtök létrehozása a részletes hozzáférésért: Írás-olvasási vagy írásvédett jogosultságokat rendelhet a másodlagos felhasználói fürtökhöz a fürt adatbázisai feletti részletesebb hozzáférés-vezérlés érdekében. További információkért tekintse meg, hogyan hozhat létre másodlagos felhasználókat.
Átviteli biztonság
Az összes kapcsolatnál alkalmazza az átviteli réteg biztonsági protokolljának titkosítását: Az Azure DocumentDB-fürtökkel folytatott összes hálózati kommunikáció az átvitel alatt titkosítva van az átviteli réteg biztonsági protokolljával (TLS) egészen a 1.3-as verzióig. Csak a MongoDB-ügyfélen keresztüli kapcsolatokat fogadjuk el, és a titkosítás mindig kötelező. További információkért tekintse meg, hogyan csatlakozhat biztonságosan.
HTTPS használata felügyelethez és monitorozáshoz: Győződjön meg arról, hogy minden felügyeleti és monitorozási művelet HTTPS-en keresztül történik a bizalmas információk védelme érdekében. További információ: diagnosztikai naplók monitorozása.
Adattitkosítás
Inaktív adatok titkosítása szolgáltatás által felügyelt vagy ügyfél által felügyelt kulcsokkal: Minden adat, biztonsági mentés, napló és ideiglenes fájl titkosítása a lemezen az Advanced Encryption Standard (AES) 256 bites titkosítással történik. A szolgáltatás által felügyelt kulcsokat alapértelmezés szerint használhatja, vagy konfigurálhatja az ügyfél által felügyelt kulcsokat a nagyobb vezérlés érdekében. További információkért tekintse meg az adattitkosítás konfigurálását.
Alapérték szerinti titkosítás használata: A nyugalmi állapotban lévő adattitkosítás minden klaszterre és biztonsági mentésre érvényes, biztosítva, hogy az adatok mindig védettek legyenek. További információ: inaktív titkosítás.
Biztonsági mentés és visszaállítás
- Automatizált fürt biztonsági mentésének engedélyezése: A fürt létrehozásakor a biztonsági mentések engedélyezve vannak, teljesen automatizáltak és ezek nem tilthatók le. A fürtöt a 35 napos megőrzési időszakon belül bármely időpontra visszaállíthatja. További információ: hogyan lehet egy fürtöt visszaállítani.
Figyelés és válasz
A támadások figyelése naplózási és tevékenységnaplókkal: Az auditnaplók és a tevékenységnaplók segítségével figyelheti az adatbázist a normál és rendellenes tevékenységek esetén, beleértve azt is, hogy ki és mikor hajtott végre műveleteket. További információ: diagnosztikai naplók monitorozása.
Reagálás a támadásokra az Azure-támogatással: Ha támadásra gyanakszik, forduljon az Azure ügyfélszolgálatához, és kezdeményezhet egy ötlépéses incidenskezelési folyamatot a szolgáltatás biztonságának és műveleteinek visszaállításához. További információ: megosztott felelősség a felhőben.