Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure DocumentDB — это полностью управляемая служба базы данных NoSQL, предназначенная для высокопроизводительных критически важных приложений. Защита кластера Azure DocumentDB необходима для защиты данных и сети.
В этой статье описываются рекомендации и ключевые функции, помогающие предотвратить, обнаруживать и реагировать на нарушения базы данных.
Сетевая безопасность
Ограничение доступа с помощью частных конечных точек и правил брандмауэра. По умолчанию кластеры блокируются. Управление тем, какие ресурсы могут подключаться к кластеру, включив частный доступ через приватный канал или общедоступный доступ с помощью правил брандмауэра на основе IP-адресов. Дополнительные сведения см. в статье о том, как включить частный доступ и как включить общедоступный доступ.
Объединение общедоступного и частного доступа по мере необходимости: вы можете настроить параметры общедоступного и частного доступа в кластере и изменить их в любое время в соответствии с требованиями безопасности. Дополнительные сведения см. в параметрах конфигурации сети.
Управление идентичностью
Используйте управляемые удостоверения для доступа к учетной записи из других служб Azure: управляемые удостоверения устраняют необходимость управления учетными данными, предоставляя автоматически управляемое удостоверение в идентификаторе Microsoft Entra. Используйте управляемые удостоверения для безопасного доступа к Azure DocumentDB из других служб Azure без внедрения учетных данных в код. Дополнительные сведения см. в разделе Управляемые идентификаторы для ресурсов Azure.
Используйте управление доступом на основе ролей Azure для управления базами данных и коллекциями. Примените управление доступом на основе ролей Azure, чтобы определить подробные разрешения для управления кластерами Azure DocumentDB, базами данных и коллекциями. Этот элемент управления гарантирует, что только авторизованные пользователи или службы могут выполнять административные операции.
Используйте управление доступом на основе ролей уровня данных для запроса, создания и доступа к элементам в контейнере: реализуйте управление доступом на основе ролей уровня данных, чтобы обеспечить минимальные привилегии для запроса, создания и доступа к элементам в коллекциях Azure DocumentDB. Этот элемент управления помогает защитить операции с данными. Дополнительные сведения см. в разделе Предоставление доступа к плоскости данных.
Отделите удостоверения Azure, используемые для доступа к данным и плоскости управления. Используйте отдельные удостоверения Azure для операций уровня управления и плоскости данных, чтобы снизить риск эскалации привилегий и обеспечить более эффективное управление доступом. Это разделение повышает безопасность путем ограничения области каждого удостоверения.
Используйте надежные пароли для административных кластеров: для административных кластеров требуются надежные пароли по крайней мере восемь символов, включая верхний регистр, строчные буквы, цифры и нефазные цифры. Надежные пароли предотвращают несанкционированный доступ. Дополнительные сведения см. в статье об управлении пользователями.
Создание дополнительных кластеров пользователей для детального доступа: Назначение привилегий чтения и записи или только для чтения для дополнительных кластеров пользователей для более детального управления доступом ваших баз данных кластера. Дополнительные сведения см. в статье о создании дополнительных пользователей.
Безопасность транспорта
Принудительное шифрование безопасности транспортного уровня для всех подключений: все сетевые подключения с кластерами Azure DocumentDB шифруются при передаче с помощью протокола TLS до 1.3. Принимаются только подключения через клиент MongoDB, и шифрование всегда применяется. Дополнительные сведения см. в статье о безопасном подключении.
Используйте ПРОТОКОЛ HTTPS для управления и мониторинга: убедитесь, что все операции управления и мониторинга выполняются по протоколу HTTPS для защиты конфиденциальной информации. Дополнительные сведения см. в статье о мониторинге журналов диагностики.
Шифрование данных
Шифрование неактивных данных с помощью ключей, управляемых службой или управляемыми клиентом: все данные, резервные копии, журналы и временные файлы шифруются на диске с помощью 256-разрядного шифрования (AES). Ключи, управляемые службой, можно использовать по умолчанию или настроить управляемые клиентом ключи для более широкого управления. Дополнительные сведения см. в статье о настройке шифрования данных.
Использование базового шифрования: шифрование неактивных данных применяется для всех кластеров и резервных копий, обеспечивая защиту данных всегда. Дополнительные сведения см. в разделе Шифрование данных при хранении.
Резервное копирование и восстановление
- Включение автоматических резервных копий кластера. Резервные копии включены при создании кластера, полностью автоматизированы и не могут быть отключены. Вы можете восстановить кластер до любой метки времени в течение 35-дневного периода хранения. Дополнительные сведения см. в статье о восстановлении кластера.
Мониторинг и ответ
Мониторинг атак с помощью журналов аудита и активности: Используйте журналы аудита и журналы активности для мониторинга базы данных на предмет нормальной и аномальной активности, включая информацию о том, кто выполнял операции и когда. Дополнительные сведения см. в статье о мониторинге журналов диагностики.
Реагирование на атаки с поддержкой Azure: если вы подозреваете атаку, обратитесь в службу поддержки Azure, чтобы инициировать пятишаговый процесс реагирования на инциденты для восстановления безопасности и операций службы. Дополнительные сведения см. в разделе о общей ответственности в облаке.