Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure DocumentDB, yüksek performanslı, görev açısından kritik uygulamalar için tasarlanmış, tam olarak yönetilen bir NoSQL veritabanı hizmetidir. Verilerinizi ve ağınızı korumak için Azure DocumentDB kümenizin güvenliğini sağlamak önemlidir.
Bu makalede, veritabanı ihlallerini önlemenize, algılamanıza ve yanıtlamanıza yardımcı olacak en iyi yöntemler ve temel özellikler açıklanmaktadır.
Ağ güvenliği
Özel uç noktaları ve güvenlik duvarı kurallarını kullanarak erişimi kısıtlama: Varsayılan olarak, kümeler kilitlenir. Özel Bağlantı aracılığıyla özel erişimi veya IP tabanlı güvenlik duvarı kurallarıyla genel erişimi etkinleştirerek kümenize hangi kaynakların bağlanabileceğini denetleyin. Daha fazla bilgi için bkz. Özel erişimi etkinleştirme ve genel erişimi etkinleştirme.
Genel ve özel erişimi gerektiği gibi birleştirin: Kümenizde hem genel hem de özel erişim seçeneklerini yapılandırabilir ve istediğiniz zaman güvenlik gereksinimlerinizi karşılayacak şekilde değiştirebilirsiniz. Daha fazla bilgi için bkz. ağ yapılandırma seçenekleri.
Kimlik yönetimi
Diğer Azure hizmetlerinden hesabınıza erişmek için yönetilen kimlikleri kullanın: Yönetilen kimlikler, Microsoft Entra Id'de otomatik olarak yönetilen bir kimlik sağlayarak kimlik bilgilerini yönetme gereksinimini ortadan kaldırır. Kodunuza kimlik bilgileri eklemeden diğer Azure hizmetlerinden Azure DocumentDB'ye güvenli bir şekilde erişmek için yönetilen kimlikleri kullanın. Daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler.
Hesap veritabanlarını ve koleksiyonlarını yönetmek için Azure denetim düzlemi rol tabanlı erişim denetimini kullanın: Azure DocumentDB kümelerini, veritabanlarını ve koleksiyonlarını yönetmek için ayrıntılı izinler tanımlamak için Azure rol tabanlı erişim denetimi uygulayın. Bu denetim, yalnızca yetkili kullanıcıların veya hizmetlerin yönetim işlemlerini gerçekleştirebilmesini sağlar.
Kapsayıcı içindeki öğeleri sorgulamak, oluşturmak ve bunlara erişmek için yerel veri düzlemi rol tabanlı erişim denetimi kullanın: Azure DocumentDB koleksiyonları içindeki öğeleri sorgulamak, oluşturmak ve bunlara erişmek için en az ayrıcalık erişimini zorlamak için veri düzlemi rol tabanlı erişim denetimi uygulayın. Bu denetim, veri işlemlerinizin güvenliğinin korunmasına yardımcı olur. Daha fazla bilgi için Veri düzlemi erişimi sağlama bölümüne bakın.
Veri ve denetim düzlemi erişimi için kullanılan Azure kimliklerini ayırın: Ayrıcalık yükseltme riskini azaltmak ve daha iyi erişim denetimi sağlamak için denetim düzlemi ve veri düzlemi işlemleri için ayrı Azure kimlikleri kullanın. Bu ayrım, her kimliğin kapsamını sınırlayarak güvenliği artırır.
Yönetim kümeleri için güçlü parolalar kullanma: Yönetim kümeleri büyük harf, küçük harf, sayı ve sayısal olmayan karakterler de dahil olmak üzere en az sekiz karakter içeren güçlü parolalar gerektirir. Güçlü parolalar yetkisiz erişimi engeller. Daha fazla bilgi için bkz. Kullanıcıları yönetme.
Ayrıntılı erişim için ikincil kullanıcı kümeleri oluşturma: Kümenizin veritabanlarında daha ayrıntılı erişim denetimi için ikincil kullanıcı kümelerine okuma-yazma veya salt okuma ayrıcalıkları atayın. Daha fazla bilgi için bkz. İkincil kullanıcılar oluşturma.
Taşıma güvenliği
Tüm bağlantılar için aktarım katmanı güvenliği şifrelemesini zorunlu kılma: Azure DocumentDB kümeleri ile tüm ağ iletişimleri aktarım sırasında 1,3'e kadar aktarım katmanı güvenliği (TLS) kullanılarak şifrelenir. Yalnızca MongoDB istemcisi üzerinden yapılan bağlantılar kabul edilir ve şifreleme her zaman uygulanır. Daha fazla bilgi için bkz. Güvenli bir şekilde bağlanma.
Yönetim ve izleme için HTTPS kullanın: Hassas bilgileri korumak için tüm yönetim ve izleme işlemlerinin HTTPS üzerinden gerçekleştirildiğinden emin olun. Daha fazla bilgi için Tanılama günlüklerini izleme bölümüne bakınız.
Veri şifreleme
Hizmet tarafından yönetilen veya müşteri tarafından yönetilen anahtarları kullanarak bekleyen verileri şifreleme: Tüm veriler, yedeklemeler, günlükler ve geçici dosyalar, Gelişmiş Şifreleme Standardı (AES) 256 bit şifreleme kullanılarak diskte şifrelenir. Hizmet tarafından yönetilen anahtarları varsayılan olarak kullanabilir veya daha fazla denetim için müşteri tarafından yönetilen anahtarları yapılandırabilirsiniz. Daha fazla bilgi için bkz. Veri şifrelemeyi yapılandırma.
Temel şifrelemeyi kullanma: Bekleyen veri şifrelemesi tüm kümeler ve yedeklemeler için zorunlu kılınarak verilerinizin her zaman korunmasını sağlar. Daha fazla bilgi için bkz . Bekleyen şifreleme.
Yedekleme ve geri yükleme
- Otomatik küme yedeklemelerini etkinleştirme: Yedeklemeler küme oluşturma sırasında etkinleştirilir, tamamen otomatiktir ve devre dışı bırakılamaz. Kümenizi 35 günlük saklama süresi içinde istediğiniz zaman damgasına geri yükleyebilirsiniz. Daha fazla bilgi için bkz. Kümeyi geri yükleme.
İzleme ve yanıt
Denetim ve etkinlik günlüklerini kullanarak saldırıları izleme: Veritabanınızı, işlemleri kimin ve ne zaman gerçekleştirdiği de dahil olmak üzere normal ve anormal etkinlik için izlemek için denetim günlüğünü ve etkinlik günlüklerini kullanın. Daha fazla bilgi için bkz. Tanılama günlüklerini izleme.
Azure desteğiyle saldırılara yanıt verme: Bir saldırıdan şüpheleniyorsanız, hizmet güvenliğini ve işlemlerini geri yüklemek için beş aşamalı bir olay yanıt süreci başlatmak için Azure desteğine başvurun. Daha fazla bilgi için bkz. Bulutta paylaşılan sorumluluk.