Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure DocumentDB is een volledig beheerde NoSQL-databaseservice die is ontworpen voor hoogwaardige, bedrijfskritieke toepassingen. Het beveiligen van uw Azure DocumentDB-cluster is essentieel voor het beveiligen van uw gegevens en netwerk.
In dit artikel worden aanbevolen procedures en belangrijke functies uitgelegd die u helpen bij het voorkomen, detecteren en reageren op databaseschendingen.
Netwerkbeveiliging
Toegang beperken met behulp van privé-eindpunten en firewallregels: clusters zijn standaard vergrendeld. Bepaal welke resources verbinding kunnen maken met uw cluster door privétoegang in te schakelen via Private Link of openbare toegang met firewallregels op basis van IP. Zie voor meer informatie hoe u privétoegang inschakelt en hoe u openbare toegang inschakelt.
Openbare en persoonlijke toegang zo nodig combineren: u kunt opties voor openbare en persoonlijke toegang op uw cluster configureren en deze op elk gewenst moment wijzigen om te voldoen aan uw beveiligingsvereisten. Zie de netwerkconfiguratieopties voor meer informatie.
Identiteitsbeheer
Gebruik beheerde identiteiten om toegang te krijgen tot uw account vanuit andere Azure-services: Beheerde identiteiten elimineren de noodzaak om referenties te beheren door een automatisch beheerde identiteit in Microsoft Entra-id op te geven. Gebruik beheerde identiteiten om veilig toegang te krijgen tot Azure DocumentDB vanuit andere Azure-services zonder referenties in uw code in te sluiten. Voor meer informatie, zie Beheerde identiteiten voor Azure-resources.
Op rollen gebaseerd toegangsbeheer van Azure gebruiken om accountdatabases en verzamelingen te beheren: Op rollen gebaseerd toegangsbeheer van Azure toepassen om gedetailleerde machtigingen te definiëren voor het beheren van Azure DocumentDB-clusters, -databases en -verzamelingen. Dit besturingselement zorgt ervoor dat alleen geautoriseerde gebruikers of services beheerbewerkingen kunnen uitvoeren.
Gebruik systeemeigen gegevensvlak rolgebaseerde toegangscontrole om items binnen een container op te vragen, te maken en te openen. Implementeer rolgebaseerde toegangscontrole voor het gegevensvlak om toegang met zo min mogelijk rechten af te dwingen voor het uitvoeren van query's, en het maken en openen van items in Azure DocumentDB-verzamelingen. Met dit besturingselement kunt u uw gegevensbewerkingen beveiligen. Voor meer informatie, zie Toegang tot het gegevensvlak verlenen.
Scheid de Azure-identiteiten die worden gebruikt voor toegang tot gegevens- en besturingsvlak: gebruik afzonderlijke Azure-identiteiten voor besturingsvlak- en gegevensvlakbewerkingen om het risico op escalatie van bevoegdheden te verminderen en betere toegangsbeheer te garanderen. Deze scheiding verbetert de beveiliging door het bereik van elke identiteit te beperken.
Gebruik sterke wachtwoorden voor beheerclusters: voor beheerclusters zijn sterke wachtwoorden met ten minste acht tekens vereist, waaronder hoofdletters, kleine letters, getallen en niet-hoofdletters. Sterke wachtwoorden verhinderen onbevoegde toegang. Zie voor meer informatie hoe u gebruikers beheert.
Secundaire gebruikersclusters maken voor gedetailleerde toegang: Wijs bevoegdheden voor lezen/schrijven of alleen-lezen toe aan secundaire gebruikersclusters voor gedetailleerdere toegangsbeheer op de databases van uw cluster. Zie voor meer informatie hoe u secundaire gebruikers maakt.
Transportbeveiliging
Versleuteling van transportlaagbeveiliging afdwingen voor alle verbindingen: alle netwerkcommunicatie met Azure DocumentDB-clusters worden tijdens overdracht versleuteld met TLS (Transport Layer Security) tot 1.3. Alleen verbindingen via een MongoDB-client worden geaccepteerd en versleuteling wordt altijd afgedwongen. Zie voor meer informatie hoe u veilig verbinding maakt.
Gebruik HTTPS voor beheer en bewaking: zorg ervoor dat alle beheer- en bewakingsbewerkingen via HTTPS worden uitgevoerd om gevoelige informatie te beveiligen. Zie voor meer informatie hoe u diagnostische logboeken bewaakt.
Gegevensversleuteling
Versleutel data at rest met behulp van door de service beheerde of door de klant beheerde sleutels: alle gegevens, back-ups, logboeken en tijdelijke bestanden worden versleuteld op schijf met AES 256-bits versleuteling (Advanced Encryption Standard). U kunt door de service beheerde sleutels standaard gebruiken of door de klant beheerde sleutels configureren voor meer controle. Zie voor meer informatie hoe u gegevensversleuteling configureert.
Gebruik basislijnencryptie: Encryptie van gegevens in rust wordt afgedwongen voor alle clusters en back-ups, zodat uw gegevens altijd zijn beveiligd. Zie versleuteling-at-rest voor meer informatie.
Backups en herstel
- Automatische clusterback-ups inschakelen: back-ups worden ingeschakeld bij het maken van clusters, volledig geautomatiseerd en kunnen niet worden uitgeschakeld. U kunt uw cluster herstellen naar elke tijdstempel binnen de bewaarperiode van 35 dagen. Zie voor meer informatie hoe u een cluster herstelt.
Bewaking en reactie
Controleren op aanvallen met behulp van audit- en activiteitenlogboeken: gebruik auditlogboeken en activiteitenlogboeken om uw database te controleren op normale en abnormale activiteiten, inclusief wie bewerkingen heeft uitgevoerd en wanneer. Zie voor meer informatie hoe u diagnostische logboeken bewaakt.
Reageren op aanvallen met azure-ondersteuning: als u een aanval vermoedt, neemt u contact op met azure-ondersteuning om een incidentresponsproces in vijf stappen te starten om de beveiliging en bewerkingen van de service te herstellen. Zie gedeelde verantwoordelijkheid in de cloud voor meer informatie.