Dela via


Azure-säkerhetsbaslinje för Azure Cosmos DB

Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 till Azure Cosmos DB. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Azure Cosmos DB.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Funktioner som inte gäller för Azure Cosmos DB har exkluderats. Om du vill se hur Azure Cosmos DB helt mappar till Microsofts benchmark för molnsäkerhet kan du läsa den fullständiga mappningsfilen för Azure Cosmos DB-säkerhetsbaslinjen.

Säkerhetsprofil

Säkerhetsprofilen sammanfattar funktioner med hög påverkan i Azure Cosmos DB, vilket kan leda till ökade säkerhetsöverväganden.

Attribut för tjänstbeteende Värde
Produktkategori Databaser
Kunden kan komma åt HOST/OS Ingen åtkomst
Tjänsten kan distribueras till kundens virtuella nätverk Falskt
Lagrar kundinnehåll i vila Sant

Nätverkssäkerhet

Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.

NS-1: Upprätta nätverkssegmenteringsgränser

Funktioner

Integrering med virtuellt nätverk

Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Distribuera tjänsten till ett virtuellt nätverk. Ditt Azure Cosmos DB-konto exponeras för det virtuella nätverket via dess offentliga IP-adresser.

Referens: Konfigurera åtkomst till Azure Cosmos DB från virtuella nätverk (VNet)

Stöd för nätverkssäkerhetsgrupp

Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

NS-2: Skydda molntjänster med nätverkskontroller

Funktioner

Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna.

Referens: Konfigurera Azure Private Link för ett Azure Cosmos-konto

Inaktivera åtkomst till offentligt nätverk

Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentligt nätverk antingen via filtreringsregeln IP ACL på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk med hjälp av filtreringsregeln för IP-åtkomst på tjänstnivå eller en växlingsväxel för åtkomst till offentligt nätverk.

Referens: Konfigurera IP-brandvägg i Azure Cosmos DB

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.DocumentDB:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Cosmos DB-konton bör ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det aktiverade filtret för virtuellt nätverk anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.0.0

Identitetshantering

Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.

IM-1: Använd centraliserat identitets- och autentiseringssystem

Funktioner

Azure AD autentisering krävs för dataplansåtkomst

Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för åtkomst till dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Azure AD autentisering stöds endast i Core (SQL)-API:et. Andra API:er stöder endast nyckelbaserad autentisering.

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: Konfigurera rollbaserad åtkomstkontroll med Azure Active Directory för ditt Azure Cosmos DB-konto

Lokala autentiseringsmetoder för dataplansåtkomst

Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Säker åtkomst till data i Azure Cosmos DB

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.DocumentDB:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Cosmos DB-databaskonton bör ha lokala autentiseringsmetoder inaktiverade Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att cosmos DB-databaskonton endast kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Granska, neka, inaktiverad 1.1.0

IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt

Funktioner

Hanterade identiteter

Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Azure AD autentisering stöds endast i Core (SQL)-API:et.

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: Konfigurera hanterade identiteter med Azure Active Directory för ditt Azure Cosmos DB-konto

Tjänstens huvudnamn

Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Azure AD-autentisering stöds endast av Core (SQL)-API:et.

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: Konfigurera rollbaserad åtkomstkontroll med Azure Active Directory för ditt Azure Cosmos DB-konto

SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor

Funktioner

Villkorsstyrd åtkomst för dataplan

Beskrivning: Dataplansåtkomst kan styras med hjälp av Azure AD principer för villkorsstyrd åtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Principer för villkorlig åtkomst stöds där Azure AD autentisering används. Azure AD-autentisering stöds endast i Core-API:et (SQL).

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter

Funktioner

Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault

Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Cosmos DB kan använda primära/sekundära nycklar (delade hemligheter) för att styra åtkomsten till data. Integrering av dessa hemligheter i Key Vault stöds inte direkt av Cosmos DB, men anpassad klientkod som använder delade hemligheter kan använda Key Vault om så önskas.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Privilegierad åtkomst

Mer information finns i Microsofts benchmark för molnsäkerhet: Privilegierad åtkomst.

PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)

Funktioner

Azure RBAC för dataplan

Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: Konfigurera rollbaserad åtkomstkontroll med Azure Active Directory för ditt Azure Cosmos DB-konto

PA-8: Fastställa åtkomstprocessen för molnleverantörssupport

Funktioner

Customer Lockbox

Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Lockbox kan inte implementeras i Azure Cosmos DB på grund av tjänstens karaktär för flera klientorganisationer.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Dataskydd

Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Funktioner

Identifiering och klassificering av känsliga data

Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Microsoft Purview-dataklassificeringen stödde endast AZURE Cosmos DB Core-API:et (SQL).

Konfigurationsvägledning: Använd Microsoft Purview för att centralt skanna, klassificera och märka känsliga data som finns i ditt Azure Cosmos DB-konto.

Referens: Ansluta till Azure Cosmos-databasen (SQL API) i Microsoft Purview

DP-2: Övervaka avvikelser och hot mot känsliga data

Funktioner

Dataläckage/förlustskydd

Beskrivning: Tjänsten stöder DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd Microsoft Defender för Azure Cosmos DB för att identifiera dataexfiltreringsförsök.

Referens: Microsoft Defender för Azure Cosmos DB

DP-3: Kryptera känsliga data under överföring

Funktioner

Data under överföringskryptering

Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Funktionsanteckningar: Cosmos DB stöder datakryptering under överföring med TLS v1.2 eller senare och detta kan inte inaktiveras. Azure tillhandahåller även kryptering för data som överförs mellan Azure-datacenter.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Dubbel kryptering

DP-4: Aktivera vilande datakryptering som standard

Funktioner

Vilande datakryptering med plattformsnycklar

Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Funktionsanteckningar: Data som lagras i ditt Azure Cosmos DB-konto krypteras automatiskt och sömlöst med nycklar som hanteras av Microsoft (tjänsthanterade nycklar).

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Datakryptering i Azure Cosmos DB

DP-5: Använd alternativet kundhanterad nyckel i vilodatakryptering vid behov

Funktioner

Vilande datakryptering med CMK

Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfall och tjänstomfång där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.

Referens: Konfigurera kundhanterade nycklar för ditt Azure Cosmos-konto med Azure Key Vault

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.DocumentDB:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0

DP-6: Använd en säker nyckelhanteringsprocess

Funktioner

Nyckelhantering i Azure Key Vault

Beskrivning: Tjänsten stöder Integrering av Azure Key Vault för kundnycklar, hemligheter eller certifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: Konfigurera kundhanterade nycklar för ditt Azure Cosmos DB-konto med Azure Key Vault

Tillgångshantering

Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.

AM-2: Använd endast godkända tjänster

Funktioner

Azure Policy-stöd

Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: Azure Policy inbyggda principdefinitioner – Cosmos DB

Loggning och hotidentifiering

Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera funktioner för hotidentifiering

Funktioner

Microsoft Defender för tjänst/produkterbjudande

Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för att övervaka och varna om säkerhetsproblem. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd Microsoft Defender för Azure Cosmos DB för att automatiskt identifiera flera säkerhetshot.

Referens: Microsoft Defender för Azure Cosmos DB

LT-4: Aktivera loggning för säkerhetsundersökning

Funktioner

Azure-resursloggar

Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Aktivera resursloggar för tjänsten. Med Azure Cosmos DB kan du övervaka din aktivitet via Azure Monitor eller anpassade diagnostikloggar som kan analyseras med Azure Log Analytics.

Referens: Övervaka Azure Cosmos DB

Säkerhetskopiering och återställning

Mer information finns i Microsoft Cloud Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar

Funktioner

Azure Backup

Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Funktion för inbyggd säkerhetskopiering av tjänsten

Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Onlinesäkerhetskopiering och dataåterställning på begäran i Azure Cosmos DB

Nästa steg