Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Azure DocumentDB — это полностью управляемая служба базы данных NoSQL, предназначенная для высокопроизводительных критически важных приложений. Защита кластера Azure DocumentDB необходима для защиты данных и сети.
В этой статье описываются рекомендации и ключевые функции, помогающие предотвратить, обнаруживать и реагировать на нарушения базы данных.
Сетевая безопасность
Ограничение доступа с помощью частных конечных точек и правил брандмауэра. По умолчанию кластеры блокируются. Управление тем, какие ресурсы могут подключаться к кластеру, включив частный доступ через приватный канал или общедоступный доступ с помощью правил брандмауэра на основе IP-адресов. Дополнительные сведения см. в статье о том, как включить частный доступ и как включить общедоступный доступ.
Объединение общедоступного и частного доступа по мере необходимости: вы можете настроить параметры общедоступного и частного доступа в кластере и изменить их в любое время в соответствии с требованиями безопасности. Дополнительные сведения см. в параметрах конфигурации сети.
Управление идентичностью
Используйте управляемые удостоверения для доступа к учетной записи из других служб Azure: управляемые удостоверения устраняют необходимость управления учетными данными, предоставляя автоматически управляемое удостоверение в идентификаторе Microsoft Entra. Используйте управляемые удостоверения для безопасного доступа к Azure DocumentDB из других служб Azure без внедрения учетных данных в код. Дополнительные сведения см. в разделе Управляемые идентификаторы для ресурсов Azure.
Используйте управление доступом на основе ролей Azure для управления базами данных и коллекциями. Примените управление доступом на основе ролей Azure, чтобы определить подробные разрешения для управления кластерами Azure DocumentDB, базами данных и коллекциями. Этот элемент управления гарантирует, что только авторизованные пользователи или службы могут выполнять административные операции.
Используйте управление доступом на основе ролей уровня данных для запроса, создания и доступа к элементам в контейнере: реализуйте управление доступом на основе ролей уровня данных, чтобы обеспечить минимальные привилегии для запроса, создания и доступа к элементам в коллекциях Azure DocumentDB. Этот элемент управления помогает защитить операции с данными. Дополнительные сведения см. в разделе Предоставление доступа к плоскости данных.
Отделите удостоверения Azure, используемые для доступа к данным и плоскости управления. Используйте отдельные удостоверения Azure для операций уровня управления и плоскости данных, чтобы снизить риск эскалации привилегий и обеспечить более эффективное управление доступом. Это разделение повышает безопасность путем ограничения области каждого удостоверения.
Используйте надежные пароли для административных кластеров: для административных кластеров требуются надежные пароли по крайней мере восемь символов, включая верхний регистр, строчные буквы, цифры и нефазные цифры. Надежные пароли предотвращают несанкционированный доступ. Дополнительные сведения см. в статье об управлении пользователями.
Создание дополнительных кластеров пользователей для детального доступа: Назначение привилегий чтения и записи или только для чтения для дополнительных кластеров пользователей для более детального управления доступом ваших баз данных кластера. Дополнительные сведения см. в статье о создании дополнительных пользователей.
Безопасность транспорта
Принудительное шифрование безопасности транспортного уровня для всех подключений: все сетевые подключения с кластерами Azure DocumentDB шифруются при передаче с помощью протокола TLS до 1.3. Принимаются только подключения через клиент MongoDB, и шифрование всегда применяется. Дополнительные сведения см. в статье о безопасном подключении.
Используйте ПРОТОКОЛ HTTPS для управления и мониторинга: убедитесь, что все операции управления и мониторинга выполняются по протоколу HTTPS для защиты конфиденциальной информации. Дополнительные сведения см. в статье о мониторинге журналов диагностики.
Шифрование данных
Шифрование неактивных данных с помощью ключей, управляемых службой или управляемыми клиентом: все данные, резервные копии, журналы и временные файлы шифруются на диске с помощью 256-разрядного шифрования (AES). Ключи, управляемые службой, можно использовать по умолчанию или настроить управляемые клиентом ключи для более широкого управления. Дополнительные сведения см. в статье о настройке шифрования данных.
Использование базового шифрования: шифрование неактивных данных применяется для всех кластеров и резервных копий, обеспечивая защиту данных всегда. Дополнительные сведения см. в разделе Шифрование данных при хранении.
Резервное копирование и восстановление
- Включение автоматических резервных копий кластера. Резервные копии включены при создании кластера, полностью автоматизированы и не могут быть отключены. Вы можете восстановить кластер до любой метки времени в течение 35-дневного периода хранения. Дополнительные сведения см. в статье о восстановлении кластера.
Мониторинг и ответ
Мониторинг атак с помощью журналов аудита и активности: Используйте журналы аудита и журналы активности для мониторинга базы данных на предмет нормальной и аномальной активности, включая информацию о том, кто выполнял операции и когда. Дополнительные сведения см. в статье о мониторинге журналов диагностики.
Реагирование на атаки с поддержкой Azure: если вы подозреваете атаку, обратитесь в службу поддержки Azure, чтобы инициировать пятишаговый процесс реагирования на инциденты для восстановления безопасности и операций службы. Дополнительные сведения см. в разделе о общей ответственности в облаке.