NoSQL용 Azure Cosmos DB는 중요 업무용 애플리케이션용으로 설계된 전역적으로 분산된 다중 모델 데이터베이스 서비스입니다. Azure Cosmos DB는 데이터를 보호하기 위한 기본 제공 보안 기능을 제공하지만, 모범 사례를 따라 계정, 데이터 및 네트워킹 구성의 보안을 더욱 강화하는 것이 중요합니다.
이 문서에서는 NoSQL용 Azure Cosmos DB 배포를 가장 안전하게 보호하는 방법에 대한 지침을 제공합니다.
네트워크 보안
공용 네트워크 액세스를 사용하지 않도록 설정하고 프라이빗 엔드포인트만 사용: Azure로 디로이딩된 가상 네트워크에 대한 네트워크 액세스를 제한하는 구성을 사용하여 NoSQL용 Azure Cosmos DB를 배포합니다. 계정은 구성한 특정 서브넷을 통해 노출됩니다. 그런 다음, 전체 계정에 대한 공용 네트워크 액세스를 사용하지 않도록 설정하고 계정에 연결하는 서비스에만 프라이빗 엔드포인트를 사용합니다. 자세한 내용은 가상 네트워크 액세스 구성 및 프라이빗 엔드포인트에서 액세스 구성을 참조하세요.
네트워크 격리를 위해 네트워크 보안 경계 사용: NSP(네트워크 보안 경계)를 사용하여 네트워크 경계를 정의하고 공용 인터넷 액세스로부터 격리하여 Azure Cosmos DB 계정에 대한 액세스를 제한합니다. 자세한 내용은 네트워크 보안 경계 구성을 참조하세요.
ID 관리
관리 ID를 사용하여 다른 Azure 서비스에서 계정에 액세스: 관리 ID는 Microsoft Entra ID에 자동으로 관리 ID를 제공하여 자격 증명을 관리할 필요가 없습니다. 관리 ID를 사용하여 코드에 자격 증명을 포함하지 않고 다른 Azure 서비스에서 Azure Cosmos DB에 안전하게 액세스합니다. 자세한 내용은 Azure 리소스에 대한관리 ID를 참조하세요.
Azure 컨트롤 플레인 역할 기반 액세스 제어를 사용하여 계정 데이터베이스 및 컨테이너 관리: Azure 역할 기반 액세스 제어를 적용하여 Azure Cosmos DB 계정, 데이터베이스 및 컨테이너를 관리하기 위한 세분화된 권한을 정의합니다. 이 컨트롤은 권한 있는 사용자 또는 서비스만 관리 작업을 수행할 수 있도록 합니다. 자세한 내용은 컨트롤 플레인 액세스 권한 부여를 참조하세요.
네이티브 데이터 평면 역할 기반 액세스 제어를 사용하여 컨테이너 내에서 항목 쿼리, 만들기 및 액세스: 데이터 평면 역할 기반 액세스 제어를 구현하여 Azure Cosmos DB 컨테이너 내의 항목 쿼리, 만들기 및 액세스에 대한 최소 권한 액세스를 적용합니다. 이 컨트롤은 데이터 작업을 보호하는 데 도움이 됩니다. 자세한 내용은 데이터 평면 액세스 권한 부여를 참조하세요.
데이터 및 컨트롤 플레인 액세스에 사용되는 Azure ID 분리: 컨트롤 플레인 및 데이터 평면 작업에 고유한 Azure ID를 사용하여 권한 상승 위험을 줄이고 액세스 제어를 향상시킵니다. 이러한 분리는 각 ID의 범위를 제한하여 보안을 강화합니다.
전송 보안
- 전송 보안을 위해 TLS 1.3 사용 및 적용: 최신 암호화 프로토콜을 사용하여 전송 중인 데이터를 보호하기 위해 TLS(전송 계층 보안) 1.3을 적용하여 더 강력한 암호화와 향상된 성능을 보장합니다. 자세한 내용은 최소 TLS 적용을 참조하세요.
데이터 암호화.
서비스 관리형 키 또는 CMK(고객 관리형 키)를 사용하여 미사용 데이터 또는 이동 중 데이터 암호화: 미사용 및 전송 중인 데이터를 암호화하여 중요한 데이터를 보호합니다. 간소화를 위해 서비스 관리형 키를 사용하거나 고객 관리형 키를 사용하여 암호화를 보다 자세히 제어할 수 있습니다. 자세한 내용은 고객 관리형 키 구성을 참조하세요.
Always Encrypted를 사용하여 클라이언트 쪽 암호화를 사용하여 데이터를 보호합니다. Always Encrypted는 Azure Cosmos DB로 전송되기 전에 클라이언트 쪽에서 중요한 데이터를 암호화하여 추가 보안 계층을 제공합니다. 자세한 내용은 Always Encrypted를 참조하세요.
백업 및 복원
네이티브 연속 백업 및 복원 사용: 연속 백업을 사용하도록 설정하여 데이터를 보호합니다. 이를 통해 Azure Cosmos DB 계정을 보존 기간 내의 특정 시점으로 복원할 수 있습니다. 자세한 내용은 연속 백업 및 복원을 참조하세요.
백업 및 복구 절차 테스트: 백업 프로세스의 효율성을 확인하려면 데이터베이스, 컨테이너 및 항목의 복원을 정기적으로 테스트합니다. 자세한 내용은 컨테이너 또는 데이터베이스 복원을 참조하세요.