Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Cosmos DB for NoSQL adalah layanan database multi-model yang didistribusikan secara global yang dirancang untuk aplikasi penting misi. Meskipun Azure Cosmos DB menyediakan fitur keamanan bawaan untuk melindungi data Anda, penting untuk mengikuti praktik terbaik untuk lebih meningkatkan keamanan konfigurasi akun, data, dan jaringan Anda.
Artikel ini memberikan panduan tentang cara terbaik mengamankan penyebaran Azure Cosmos DB for NoSQL Anda.
Keamanan jaringan
Nonaktifkan akses jaringan publik dan hanya gunakan Titik Akhir Privat: Sebarkan Azure Cosmos DB for NoSQL dengan konfigurasi yang membatasi akses jaringan ke jaringan virtual yang dideloyasikan Azure. Akun diekspos melalui subnet tertentu yang Anda konfigurasikan. Kemudian, nonaktifkan akses jaringan publik untuk seluruh akun dan gunakan titik akhir privat secara eksklusif untuk layanan yang terhubung ke akun. Untuk informasi selengkapnya, lihat mengonfigurasi akses jaringan virtual dan mengonfigurasi akses dari titik akhir privat.
Aktifkan Perimeter Keamanan Jaringan untuk isolasi jaringan: Gunakan Perimeter Keamanan Jaringan (NSP) untuk membatasi akses ke akun Azure Cosmos DB Anda dengan menentukan batas jaringan dan mengisolasinya dari akses internet publik. Untuk informasi selengkapnya, lihat Mengonfigurasi Perimeter Keamanan Jaringan.
Pengelolaan identitas
Gunakan identitas terkelola untuk mengakses akun Anda dari layanan Azure lainnya: Identitas terkelola menghilangkan kebutuhan untuk mengelola kredensial dengan memberikan identitas terkelola secara otomatis di ID Microsoft Entra. Gunakan identitas terkelola untuk mengakses Azure Cosmos DB dengan aman dari layanan Azure lainnya tanpa menyematkan kredensial dalam kode Anda. Untuk informasi selengkapnya, lihat identitas terkelola untuk sumber daya Azure.
Gunakan kontrol akses berbasis peran sarana kontrol Azure untuk mengelola database dan kontainer akun: Terapkan kontrol akses berbasis peran Azure untuk menentukan izin yang halus untuk mengelola akun, database, dan kontainer Azure Cosmos DB. Kontrol ini memastikan bahwa hanya pengguna atau layanan yang berwenang yang dapat melakukan operasi administratif. Untuk informasi selengkapnya, lihat Memberikan akses sarana kontrol.
Gunakan kontrol akses berbasis peran bidang data asli untuk mengkueri, membuat, dan mengakses item dalam kontainer: Menerapkan kontrol akses berbasis peran bidang data untuk menerapkan akses hak istimewa paling sedikit untuk mengkueri, membuat, dan mengakses item dalam kontainer Azure Cosmos DB. Kontrol ini membantu mengamankan operasi data Anda. Untuk informasi selengkapnya, lihat Memberikan akses sarana data.
Pisahkan identitas Azure yang digunakan untuk akses data dan sarana kontrol: Gunakan identitas Azure yang berbeda untuk operasi sarana kontrol dan sarana data untuk mengurangi risiko eskalasi hak istimewa dan memastikan kontrol akses yang lebih baik. Pemisahan ini meningkatkan keamanan dengan membatasi cakupan setiap identitas.
Keamanan transportasi
- Gunakan dan terapkan TLS 1.3 untuk keamanan transportasi: Terapkan keamanan lapisan transportasi (TLS) 1.3 untuk mengamankan data saat transit dengan protokol kriptografi terbaru, memastikan enkripsi yang lebih kuat dan peningkatan performa. Untuk informasi selengkapnya, lihat Penerapan TLS minimum.
Pengamanan data melalui enkripsi
Mengenkripsi data tidak aktif atau bergerak menggunakan kunci yang dikelola layanan atau kunci yang dikelola pelanggan (CMK): Melindungi data sensitif dengan mengenkripsinya saat tidak aktif dan saat transit. Gunakan kunci yang dikelola layanan untuk kesederhanaan atau kunci yang dikelola pelanggan untuk kontrol yang lebih besar atas enkripsi. Untuk informasi selengkapnya, lihat Mengonfigurasi kunci yang dikelola pelanggan.
Gunakan Always Encrypted untuk mengamankan data dengan enkripsi sisi klien: Always Encrypted memastikan bahwa data sensitif dienkripsi di sisi klien sebelum dikirim ke Azure Cosmos DB, memberikan lapisan keamanan tambahan. Untuk informasi selengkapnya, lihat Always Encrypted.
Pencadangan dan pemulihan
Aktifkan pencadangan dan pemulihan berkelanjutan asli: Lindungi data Anda dengan mengaktifkan pencadangan berkelanjutan, yang memungkinkan Anda memulihkan akun Azure Cosmos DB Anda ke titik waktu mana pun dalam periode retensi. Untuk informasi selengkapnya, lihat Pencadangan dan pemulihan berkelanjutan.
Menguji prosedur pencadangan dan pemulihan: Untuk memverifikasi efektivitas proses pencadangan, uji pemulihan database, kontainer, dan item secara teratur. Untuk informasi selengkapnya, lihat memulihkan kontainer atau database.