Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure DocumentDB adalah layanan database NoSQL yang dikelola sepenuhnya yang dirancang untuk aplikasi berkinerja tinggi dan sangat penting. Mengamankan kluster Azure DocumentDB Anda sangat penting untuk melindungi data dan jaringan Anda.
Artikel ini menjelaskan praktik terbaik dan fitur utama untuk membantu Anda mencegah, mendeteksi, dan menanggapi pelanggaran database.
Keamanan jaringan
Membatasi akses menggunakan titik akhir privat dan aturan firewall: Secara default, kluster dikunci. Kontrol sumber daya mana yang dapat terhubung ke kluster Anda dengan mengaktifkan akses privat melalui Private Link atau akses publik dengan aturan firewall berbasis IP. Untuk informasi selengkapnya, lihat cara mengaktifkan akses privat dan cara mengaktifkan akses publik.
Gabungkan akses publik dan privat sesuai kebutuhan: Anda dapat mengonfigurasi opsi akses publik dan privat pada kluster Anda dan mengubahnya kapan saja untuk memenuhi persyaratan keamanan Anda. Untuk informasi selengkapnya, lihat opsi konfigurasi jaringan.
Pengelolaan identitas
Gunakan identitas terkelola untuk mengakses akun Anda dari layanan Azure lainnya: Identitas terkelola menghilangkan kebutuhan untuk mengelola kredensial dengan memberikan identitas terkelola secara otomatis di ID Microsoft Entra. Gunakan identitas terkelola untuk mengakses Azure DocumentDB dengan aman dari layanan Azure lainnya tanpa menyematkan kredensial dalam kode Anda. Untuk informasi selengkapnya, lihat Identitas terkelola untuk sumber daya Azure.
Gunakan kontrol akses berbasis peran di Azure untuk mengelola database dan koleksi akun: Terapkan kontrol akses berbasis peran di Azure untuk menentukan izin terperinci guna mengelola kluster, database, dan koleksi Azure DocumentDB. Kontrol ini memastikan bahwa hanya pengguna atau layanan yang berwenang yang dapat melakukan operasi administratif.
Gunakan kontrol akses berbasis peran bidang data asli untuk mengkueri, membuat, dan mengakses item dalam kontainer: Menerapkan kontrol akses berbasis peran bidang data untuk memberlakukan akses hak istimewa paling sedikit untuk mengkueri, membuat, dan mengakses item dalam koleksi Azure DocumentDB. Kontrol ini membantu mengamankan operasi data Anda. Untuk informasi selengkapnya, lihat Memberikan akses sarana data.
Pisahkan identitas Azure yang digunakan untuk akses data dan sarana kontrol: Gunakan identitas Azure yang berbeda untuk operasi sarana kontrol dan sarana data untuk mengurangi risiko eskalasi hak istimewa dan memastikan kontrol akses yang lebih baik. Pemisahan ini meningkatkan keamanan dengan membatasi cakupan setiap identitas.
Gunakan kata sandi yang kuat untuk kluster administratif: Kluster administratif memerlukan kata sandi yang kuat dengan setidaknya delapan karakter, termasuk huruf besar, huruf kecil, angka, dan karakter non-infanumerik. Kata sandi yang kuat mencegah akses yang tidak sah. Untuk informasi selengkapnya, lihat cara mengelola pengguna.
Membuat kluster pengguna sekunder untuk akses terperinci: Tetapkan hak istimewa baca-tulis atau baca-saja ke kluster pengguna sekunder untuk kontrol akses yang lebih terperinci pada database kluster Anda. Untuk informasi selengkapnya, lihat cara membuat pengguna sekunder.
Keamanan transportasi
Terapkan enkripsi keamanan lapisan transportasi untuk semua koneksi: Semua komunikasi jaringan dengan kluster Azure DocumentDB dienkripsi saat transit menggunakan keamanan lapisan transportasi (TLS) hingga 1,3. Hanya koneksi melalui klien MongoDB yang diterima, dan enkripsi selalu diberlakukan. Untuk informasi selengkapnya, lihat cara menyambungkan dengan aman.
Gunakan HTTPS untuk manajemen dan pemantauan: Pastikan bahwa semua operasi manajemen dan pemantauan dilakukan melalui HTTPS untuk melindungi informasi sensitif. Untuk informasi selengkapnya, lihat cara memantau log diagnostik.
Pengamanan data melalui enkripsi
Mengenkripsi data tidak aktif menggunakan kunci yang dikelola layanan atau dikelola pelanggan: Semua data, cadangan, log, dan file sementara dienkripsi pada disk menggunakan enkripsi Advanced Encryption Standard (AES) 256-bit. Anda dapat menggunakan kunci yang dikelola layanan secara default atau mengonfigurasi kunci yang dikelola pelanggan untuk kontrol yang lebih besar. Untuk informasi selengkapnya, lihat cara mengonfigurasi enkripsi data.
Gunakan enkripsi garis besar: Enkripsi data tidak aktif diberlakukan untuk semua kluster dan cadangan, memastikan data Anda selalu dilindungi. Untuk informasi lebih lanjut, lihat Enkripsi saat istirahat.
Pencadangan dan pemulihan
- Aktifkan pencadangan kluster otomatis: Pencadangan diaktifkan pada pembuatan kluster, sepenuhnya otomatis, dan tidak dapat dinonaktifkan. Anda dapat memulihkan kluster Anda ke tanda waktu apa pun dalam periode retensi 35 hari. Untuk informasi selengkapnya, lihat cara memulihkan kluster.
Pemantauan dan respons
Memantau serangan menggunakan log audit dan aktivitas: Gunakan log audit dan log aktivitas untuk memantau aktivitas normal dan abnormal pada database Anda, termasuk siapa yang melakukan operasi dan kapan. Untuk informasi selengkapnya, lihat cara memantau log diagnostik.
Merespons serangan dengan dukungan Azure: Jika Anda mencurigai serangan, hubungi dukungan Azure untuk memulai proses respons insiden lima langkah untuk memulihkan keamanan dan operasi layanan. Untuk informasi selengkapnya, lihat tanggung jawab bersama di cloud.