Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure Cosmos DB para NoSQL é um serviço de banco de dados multimodelo distribuído globalmente projetado para aplicativos críticos. Embora o Azure Cosmos DB forneça recursos de segurança internos para proteger seus dados, é essencial seguir as práticas recomendadas para aprimorar ainda mais a segurança de sua conta, dados e configurações de rede.
Este artigo fornece diretrizes sobre como proteger melhor sua implantação do Azure Cosmos DB para NoSQL.
Segurança de rede
Desabilite o acesso à rede pública e use exclusivamente pontos de extremidade privados: implemente o Azure Cosmos DB para NoSQL com uma configuração que restrinja o acesso à rede a uma rede virtual implantada no Azure. A conta é exposta por meio da sub-rede específica que você configurou. Em seguida, desabilite o acesso à rede pública para toda a conta e use pontos de extremidade privados exclusivamente para serviços que se conectam à conta. Para obter mais informações, consulte configurar o acesso à rede virtual e configurar o acesso de pontos de extremidade privados.
Habilitar o Perímetro de Segurança de Rede para isolamento de rede: use o NSP (Perímetro de Segurança de Rede) para restringir o acesso à sua conta do Azure Cosmos DB definindo limites de rede e isolando-o do acesso público à Internet. Para obter mais informações, consulte Configurar perímetro de segurança de rede.
Gerenciamento de identidades
Use identidades gerenciadas para acessar sua conta de outros serviços do Azure: as identidades gerenciadas eliminam a necessidade de gerenciar credenciais fornecendo uma identidade gerenciada automaticamente na ID do Microsoft Entra. Use identidades gerenciadas para acessar com segurança o Azure Cosmos DB de outros serviços do Azure sem inserir credenciais em seu código. Para obter mais informações, consulte Identidades gerenciadas para recursos do Azure.
Use o controle de acesso baseado em funções do plano de controle do Azure para gerenciar contas, bancos de dados e contêineres: aplique controles de acesso baseado em função do Azure para definir permissões granulares para gerenciar contas, bancos de dados e contêineres do Azure Cosmos DB. Esse controle garante que somente usuários ou serviços autorizados possam executar operações administrativas. Para obter mais informações, veja Permitir acesso ao painel de controle.
Use o controle de acesso baseado em função do plano de dados nativo para consultar, criar e acessar itens em um contêiner: implemente o controle de acesso baseado em função do plano de dados para impor acesso de privilégios mínimo para consultar, criar e acessar itens em contêineres do Azure Cosmos DB. Esse controle ajuda a proteger suas operações de dados. Para obter mais informações, veja Permitir acesso ao plano de dados.
Separe as identidades do Azure usadas para acesso a dados e plano de controle: use identidades distintas do Azure para operações de plano de controle e plano de dados para reduzir o risco de escalonamento de privilégios e garantir um melhor controle de acesso. Essa separação aprimora a segurança limitando o escopo de cada identidade.
Segurança do transporte
- Use e imponha o TLS 1.3 para segurança de transporte: imponha a segurança da camada de transporte (TLS) 1.3 para proteger dados em trânsito com os protocolos criptográficos mais recentes, garantindo criptografia mais forte e melhor desempenho. Para obter mais informações, consulte Imposição mínima de TLS.
Criptografia de dados
Criptografar dados em repouso ou em movimento usando chaves gerenciadas pelo serviço ou CMKs (chaves gerenciadas pelo cliente): proteja dados confidenciais criptografando-os em repouso e em trânsito. Use chaves gerenciadas pelo serviço para simplificar ou chaves gerenciadas pelo cliente para obter maior controle sobre a criptografia. Para obter mais informações, consulte Configurar chaves gerenciadas pelo cliente.
Use o Always Encrypted para proteger dados com criptografia do lado do cliente: o Always Encrypted garante que os dados confidenciais sejam criptografados no lado do cliente antes de serem enviados para o Azure Cosmos DB, fornecendo uma camada extra de segurança. Para obter mais informações, consulte Always Encrypted.
Backup e restauração
Habilite o backup e a restauração contínuas nativos: proteja seus dados habilitando o backup contínuo, o que permite restaurar sua conta do Azure Cosmos DB para qualquer ponto no tempo dentro do período de retenção. Para obter mais informações, consulte Cópia de segurança e restauração contínuas.
Testar procedimentos de backup e recuperação: para verificar a eficácia dos processos de backup, teste regularmente a restauração de bancos de dados, contêineres e itens. Para obter mais informações, consulte restaurar um contêiner ou banco de dados.