Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Cosmos DB voor NoSQL is een wereldwijd gedistribueerde databaseservice met meerdere modellen die is ontworpen voor bedrijfskritieke toepassingen. Hoewel Azure Cosmos DB ingebouwde beveiligingsfuncties biedt om uw gegevens te beschermen, is het essentieel om aanbevolen procedures te volgen om de beveiliging van uw account, gegevens en netwerkconfiguraties verder te verbeteren.
In dit artikel vindt u richtlijnen voor het beveiligen van uw Azure Cosmos DB voor NoSQL implementatie.
Netwerkbeveiliging
Schakel openbare netwerktoegang uit en gebruik alleen private eindpunten: Implementeer Azure Cosmos DB voor NoSQL met een configuratie die de netwerktoegang beperkt tot een in Azure gedistribueerd virtueel netwerk. Het account wordt weergegeven via het specifieke subnet dat u hebt geconfigureerd. Schakel vervolgens openbare netwerktoegang voor het hele account uit en gebruik uitsluitend privé-eindpunten voor services die verbinding maken met het account. Zie Toegang tot virtuele netwerken configureren en toegang configureren vanuit privé-eindpunten voor meer informatie.
Netwerkbeveiligingsperimeter voor netwerkisolatie: Gebruik netwerkbeveiligingsperimeter (NSP) om de toegang tot uw Azure Cosmos DB account te beperken door netwerkgrenzen te definiëren en te isoleren van openbare internettoegang. Zie Netwerkbeveiligingsperimeter configureren voor meer informatie.
Identiteitsbeheer
Gebruik beheerde identiteiten voor toegang tot uw account vanuit andere Azure-services: Met beheerde identiteiten hoeft u geen referenties te beheren door een automatisch beheerde identiteit in Microsoft Entra ID op te geven. Gebruik beheerde identiteiten om veilig toegang te krijgen tot Azure Cosmos DB van andere Azure-services zonder referenties in uw code in te sluiten. Voor meer informatie, zie Beheerde identiteiten voor Azure-bronnen.
Gebruik Azure op rollen gebaseerd toegangsbeheer voor het beheren van accountdatabases en containers: pas Azure op rollen gebaseerd toegangsbeheer toe om gedetailleerde machtigingen te definiëren voor het beheren van Azure Cosmos DB accounts, databases en containers. Dit besturingselement zorgt ervoor dat alleen geautoriseerde gebruikers of services beheerbewerkingen kunnen uitvoeren. Voor meer informatie, zie Toegang tot het besturingsvlak verlenen.
Eigen op rollen gebaseerd toegangsbeheer voor gegevensvlak gebruiken om items in een container op te vragen, te maken en te openen: op rollen gebaseerd toegangsbeheer voor gegevensvlak implementeren om toegang tot minimale bevoegdheden af te dwingen voor het uitvoeren van query's, het maken en openen van items binnen Azure Cosmos DB containers. Met dit besturingselement kunt u uw gegevensbewerkingen beveiligen. Voor meer informatie, zie Toegang tot het gegevensvlak verlenen.
Separateer de Azure identiteiten die worden gebruikt voor toegang tot gegevens- en besturingsvlak: gebruik afzonderlijke Azure identiteiten voor besturingsvlak- en gegevensvlakbewerkingen om het risico op escalatie van bevoegdheden te verminderen en betere toegangsbeheer te garanderen. Deze scheiding verbetert de beveiliging door het bereik van elke identiteit te beperken.
Draai toegangssleutels regelmatig als u verificatie op basis van sleutels gebruikt: Als u nog steeds verificatie op basis van sleutels gebruikt, draait u uw primaire en secundaire sleutels volgens een normaal schema. Gebruik de secundaire sleutel tijdens de rotatie van de primaire sleutel om downtime te voorkomen. Voor stappen voor sleutelrotatie, zie Accountsleutels roteren. Zie Connect using role-based access control (Op rollen gebaseerd toegangsbeheer) als u wilt migreren naar Microsoft Entra ID-verificatie.
Transportbeveiliging
- TLS 1.3 gebruiken en afdwingen voor transportbeveiliging: Dwing transportlaagbeveiliging (TLS) 1.3 af om gegevens tijdens overdracht te beveiligen met de nieuwste cryptografische protocollen, waardoor sterkere versleuteling en verbeterde prestaties worden gegarandeerd. Zie Minimale TLS-afdwinging voor meer informatie.
Gegevensversleuteling
Data in rust of in beweging versleutelen met door de service beheerde sleutels of door de klant beheerde sleutels (CMK's): Bescherm gevoelige gegevens door deze in rust en tijdens overdracht te versleutelen. Gebruik door de service beheerde sleutels voor eenvoud of door de klant beheerde sleutels voor meer controle over versleuteling. Zie Door de klant beheerde sleutels configureren voor meer informatie.
Always Encrypted gebruiken om gegevens te beveiligen met versleuteling aan de clientzijde: Always Encrypted zorgt ervoor dat gevoelige gegevens aan de clientzijde worden versleuteld voordat ze naar Azure Cosmos DB worden verzonden, wat een extra beveiligingslaag biedt. Zie Always Encrypted voor meer informatie.
Backups en herstel
Continue back-up en herstel inschakelen: Beveilig uw gegevens door continue back-up in te schakelen, waarmee u uw Azure Cosmos DB-account kunt herstellen naar een willekeurig tijdstip binnen de retentieperiode. Zie Continue back-up en herstel voor meer informatie.
Test back-up- en herstelprocedures: Test regelmatig het herstel van databases, containers en items om de effectiviteit van back-upprocessen te controleren. Zie Een container of database herstellen voor meer informatie.