Azure DocumentDB は、高性能でミッション クリティカルなアプリケーション用に設計されたフル マネージドの NoSQL データベース サービスです。 データとネットワークを保護するには、Azure DocumentDB クラスターのセキュリティ保護が不可欠です。
この記事では、データベース侵害の防止、検出、対応に役立つベスト プラクティスと主要な機能について説明します。
ネットワークのセキュリティ
プライベート エンドポイントとファイアウォール規則を使用してアクセスを制限する: 既定では、クラスターはロックダウンされます。 Private Link 経由のプライベート アクセスまたは IP ベースのファイアウォール規則を使用したパブリック アクセスを有効にして、クラスターに接続できるリソースを制御します。 詳細については、 プライベート アクセスを有効にする方法 と パブリック アクセスを有効にする方法を参照してください。
必要に応じてパブリック アクセスとプライベート アクセスを組み合わせる: クラスターでパブリック アクセス オプションとプライベート アクセス オプションの両方を構成し、セキュリティ要件を満たすようにいつでも変更できます。 詳細については、 ネットワーク構成オプションを参照してください。
ID 管理
マネージド ID を使用して他の Azure サービスからアカウントにアクセスする: マネージド ID では、Microsoft Entra ID で自動的にマネージド ID を提供することで、資格情報を管理する必要がなくなります。 マネージド ID を使用して、コードに資格情報を埋め込まずに、他の Azure サービスから Azure DocumentDB に安全にアクセスします。 詳細については、「 Azure リソースのマネージド ID」を参照してください。
Azure コントロール プレーンのロールベースのアクセス制御を使用してアカウント データベースとコレクションを管理する: Azure ロールベースのアクセス制御を適用して、Azure DocumentDB クラスター、データベース、およびコレクションを管理するためのきめ細かなアクセス許可を定義します。 この制御により、承認されたユーザーまたはサービスのみが管理操作を実行できるようになります。
ネイティブ データ プレーンのロールベースのアクセス制御を使用して、コンテナー内の項目のクエリ、作成、アクセスを行う: Azure DocumentDB コレクション内の項目のクエリ、作成、およびアクセスに最小限の特権アクセスを適用するデータ プレーンロールベースのアクセス制御を実装します。 この制御は、データ操作をセキュリティで保護するのに役立ちます。 詳細については、「 データ プレーンへのアクセスを許可する」を参照してください。
データとコントロール プレーンのアクセスに使用される Azure ID を分離する: コントロール プレーンとデータ プレーンの操作に個別の Azure ID を使用して、特権エスカレーションのリスクを軽減し、アクセス制御を強化します。 この分離により、各 ID のスコープを制限することでセキュリティが強化されます。
管理クラスターに強力なパスワードを使用する: 管理クラスターには、大文字、小文字、数字、英数字以外の文字を含む 8 文字以上の強力なパスワードが必要です。 強力なパスワードは、承認されていないアクセスを防ぎます。 詳細については、 ユーザーを管理する方法を参照してください。
詳細なアクセスのためのセカンダリ ユーザー クラスターの作成: セカンダリ ユーザー クラスターに読み取り/書き込み権限または読み取り専用特権を割り当てて、クラスターのデータベースに対するより詳細なアクセス制御を行います。 詳細については、 セカンダリ ユーザーを作成する方法を参照してください。
トランスポート セキュリティ
すべての接続にトランスポート層セキュリティ暗号化を適用する: Azure DocumentDB クラスターとのすべてのネットワーク通信は、最大 1.3 のトランスポート層セキュリティ (TLS) を使用して転送中に暗号化されます。 MongoDB クライアント経由の接続のみが受け入れられ、暗号化は常に適用されます。 詳細については、 安全に接続する方法を参照してください。
管理と監視に HTTPS を使用する: 機密情報を保護するために、すべての管理および監視操作が HTTPS 経由で実行されていることを確認します。 詳細については、 診断ログを監視する方法を参照してください。
データの暗号化
サービス管理キーまたはカスタマー マネージド キーを使用して保存データを暗号化する: すべてのデータ、バックアップ、ログ、および一時ファイルは、Advanced Encryption Standard (AES) 256 ビット暗号化を使用してディスク上で暗号化されます。 既定では、サービス管理キーを使用するか、カスタマー マネージド キーを構成して制御を強化できます。 詳細については、 データ暗号化を構成する方法を参照してください。
ベースライン暗号化を使用する: 保存データの暗号化はすべてのクラスターとバックアップに適用され、データは常に保護されます。 詳細については、「保存時の暗号化」を参照してください。
バックアップと復元
- 自動クラスター バックアップを有効にする: バックアップはクラスターの作成時に有効になり、完全に自動化され、無効にすることはできません。 クラスターは、35 日間の保有期間内に任意のタイムスタンプに復元できます。 詳細については、 クラスターを復元する方法を参照してください。
監視と対応
監査ログとアクティビティ ログを使用した攻撃の監視: 監査ログとアクティビティ ログを使用して、操作を実行したユーザーやタイミングなど、通常のアクティビティと異常なアクティビティについてデータベースを監視します。 詳細については、 診断ログを監視する方法を参照してください。
Azure サポートによる攻撃への対応: 攻撃が疑われる場合は、Azure サポートに連絡して、サービスのセキュリティと運用を復元するための 5 段階のインシデント対応プロセスを開始してください。 詳細については、 クラウドでの共同責任を参照してください。