Azure DocumentDB 클러스터 보호

Azure DocumentDB는 중요 업무용 고성능 애플리케이션을 위해 설계된 완전 관리형 NoSQL 데이터베이스 서비스입니다. 데이터 및 네트워크를 보호하려면 Azure DocumentDB 클러스터 보안이 필수적입니다.

이 문서에서는 데이터베이스 위반을 방지, 감지 및 대응하는 데 도움이 되는 모범 사례 및 주요 기능을 설명합니다.

네트워크 보안

• 프라이빗 엔드포인트 및 방화벽 규칙을 사용하여 액세스 제한: 기본적으로 클러스터는 잠겨 있습니다. 프라이빗 링크 또는 IP 기반 방화벽 규칙을 사용하여 공용 액세스를 통해 프라이빗 액세스를 사용하도록 설정하여 클러스터에 연결할 수 있는 리소스를 제어합니다. 자세한 내용은 프라이빗 액세스를 사용하도록 설정하는 방법 및 공용 액세스를 사용하도록 설정하는 방법을 참조하세요.

• 필요에 따라 공용 및 프라이빗 액세스 결합: 클러스터에서 공용 및 프라이빗 액세스 옵션을 모두 구성하고 보안 요구 사항을 충족하도록 언제든지 변경할 수 있습니다. 자세한 내용은 네트워크 구성 옵션을 참조하세요.

ID 관리

• 관리 ID를 사용하여 다른 Azure 서비스에서 계정에 액세스: 관리 ID는 Microsoft Entra ID에 자동으로 관리 ID를 제공하여 자격 증명을 관리할 필요가 없습니다. 코드에 자격 증명을 포함하지 않고 관리 ID를 사용하여 다른 Azure 서비스에서 Azure DocumentDB에 안전하게 액세스합니다. 자세한 내용은 Azure 리소스에 대한 관리 ID를 참조하세요.

• Azure 컨트롤 플레인 역할 기반 액세스 제어를 사용하여 계정 데이터베이스 및 컬렉션 관리: Azure 역할 기반 액세스 제어를 적용하여 Azure DocumentDB 클러스터, 데이터베이스 및 컬렉션을 관리하기 위한 세분화된 권한을 정의합니다. 이 컨트롤은 권한 있는 사용자 또는 서비스만 관리 작업을 수행할 수 있도록 합니다.

• 네이티브 데이터 평면 역할 기반 액세스 제어를 사용하여 컨테이너 내에서 항목 쿼리, 만들기 및 액세스: 데이터 평면 역할 기반 액세스 제어를 구현하여 Azure DocumentDB 컬렉션 내의 항목을 쿼리, 만들기 및 액세스하기 위한 최소 권한 액세스를 적용합니다. 이 컨트롤은 데이터 작업을 보호하는 데 도움이 됩니다. 자세한 내용은 데이터 평면 액세스 권한 부여를 참조하세요.

• 데이터 및 컨트롤 플레인 액세스에 사용되는 Azure ID 분리: 컨트롤 플레인 및 데이터 평면 작업에 고유한 Azure ID를 사용하여 권한 상승 위험을 줄이고 액세스 제어를 향상시킵니다. 이러한 분리는 각 ID의 범위를 제한하여 보안을 강화합니다.

• 관리 클러스터에 강력한 암호 사용: 관리 클러스터에는 대문자, 소문자, 숫자 및 숫자가 아닌 문자를 포함하여 8자 이상의 강력한 암호가 필요합니다. 강력한 암호는 무단 액세스를 방지합니다. 자세한 내용은 사용자를 관리하는 방법을 참조하세요.

• 세분화된 액세스를 위한 보조 사용자 클러스터 만들기: 클러스터 데이터베이스에 대한 보다 세부적인 액세스 제어를 위해 보조 사용자 클러스터에 읽기-쓰기 또는 읽기 전용 권한을 할당합니다. 자세한 내용은 보조 사용자를 만드는 방법을 참조하세요.

전송 보안

• 모든 연결에 대해 전송 계층 보안 암호화 적용: Azure DocumentDB 클러스터와의 모든 네트워크 통신은 전송 중에 최대 1.3의 TLS(전송 계층 보안)를 사용하여 암호화됩니다. MongoDB 클라이언트를 통한 연결만 허용되며 암호화는 항상 적용됩니다. 자세한 내용은 안전하게 연결하는 방법을 참조하세요.

• 관리 및 모니터링에 HTTPS 사용: 중요한 정보를 보호하기 위해 모든 관리 및 모니터링 작업이 HTTPS를 통해 수행되는지 확인합니다. 자세한 내용은 진단 로그를 모니터링하는 방법을 참조하세요.

데이터 암호화.

• 서비스 관리형 또는 고객 관리형 키를 사용하여 미사용 데이터 암호화: 모든 데이터, 백업, 로그 및 임시 파일은 AES(Advanced Encryption Standard) 256비트 암호화를 사용하여 디스크에서 암호화됩니다. 기본적으로 서비스 관리형 키를 사용하거나 더 큰 제어를 위해 고객 관리형 키를 구성할 수 있습니다. 자세한 내용은 데이터 암호화를 구성하는 방법을 참조하세요.

• 기준 암호화 사용: 미사용 데이터 암호화는 모든 클러스터 및 백업에 적용되어 데이터가 항상 보호되도록 합니다. 자세한 내용은 미사용 암호화를 참조하세요.

백업 및 복원

• 자동화된 클러스터 백업 사용: 백업은 클러스터를 만들 때 사용하도록 설정되고, 완전히 자동화되며, 사용하지 않도록 설정할 수 없습니다. 35일 보존 기간 내에 클러스터를 모든 타임스탬프로 복원할 수 있습니다. 자세한 내용은 클러스터를 복원하는 방법을 참조하세요.

모니터링 및 응답

• 감사 및 활동 로그를 사용하여 공격 모니터링: 감사 로깅 및 활동 로그를 사용하여 작업을 수행한 사용자와 시기를 포함하여 정상 및 비정상적인 활동에 대한 데이터베이스를 모니터링합니다. 자세한 내용은 진단 로그를 모니터링하는 방법을 참조하세요.

• Azure 지원을 사용하여 공격에 대응: 공격이 의심되는 경우 Azure 지원에 문의하여 서비스 보안 및 작업을 복원하는 5단계 인시던트 대응 프로세스를 시작합니다. 자세한 내용은 클라우드의 공동 책임을 참조하세요.

관련 콘텐츠

• 개요
• 프라이빗 액세스를 사용하도록 설정하는 방법
• 공용 액세스를 사용하도록 설정하는 방법