Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
VAN TOEPASSING OP:
MongoDB vCore
In dit artikel worden aanbevolen procedures voor databasebeveiliging en belangrijke functies besproken die worden aangeboden door Azure Cosmos DB voor MongoDB vCore, zodat u databaseschendingen kunt voorkomen, detecteren en erop kunt reageren.
Wat is er nieuw in Azure Cosmos DB voor MongoDB vCore-beveiliging
Versleuteling-at-rest wordt afgedwongen voor documenten en back-ups die zijn opgeslagen in Azure Cosmos DB voor MongoDB vCore in alle Azure-regio's. Versleuteling in rust met door de service beheerde sleutel (SMK) wordt automatisch toegepast voor zowel nieuwe als bestaande clusters. U hoeft niets te configureren. U krijgt dezelfde geweldige latentie, doorvoer, beschikbaarheid en functionaliteit zoals voorheen, met het voordeel te weten dat uw gegevens veilig en beveiligd zijn met versleuteling in rust. Gegevens die zijn opgeslagen in uw Azure Cosmos DB voor MongoDB vCore-cluster, worden automatisch en naadloos versleuteld met sleutels die worden beheerd door Microsoft met behulp van door de service beheerde sleutels of, met aanvullende configuratie, met behulp van door de klant beheerde sleutels (CMK).
Hoe kan ik mijn database beveiligen
Gegevensbeveiliging is een gedeelde verantwoordelijkheid tussen u, de klant en uw databaseprovider. Afhankelijk van de databaseprovider die u kiest, kan de hoeveelheid verantwoordelijkheid die u draagt variëren. Als u een on-premises oplossing kiest, moet u alles bieden, van eindpuntbeveiliging tot fysieke beveiliging van uw hardware, wat geen eenvoudige taak is. Als u een PaaS-clouddatabaseprovider zoals Azure Cosmos DB kiest, neemt uw probleemgebied aanzienlijk af. In de volgende afbeelding, geleend uit het technische document Gedeelde verantwoordelijkheden voor Cloud Computing van Microsoft, ziet u hoe uw verantwoordelijkheid afneemt met een PaaS-provider, zoals Azure Cosmos DB.
In het voorgaande diagram ziet u cloudbeveiligingsonderdelen op hoog niveau, maar over welke items moet u zich specifiek zorgen maken voor uw databaseoplossing? En hoe kunt u oplossingen met elkaar vergelijken?
We raden de volgende controlelijst aan met vereisten voor het vergelijken van databasesystemen:
- Netwerkbeveiliging en firewallinstellingen
- Gebruikersverificatie en fijnmazige gebruikersbesturingselementen
- Mogelijkheid om gegevens globaal te repliceren voor regionale fouten
- Mogelijkheid om over te schakelen van het ene datacenter naar het andere.
- Replicatie van lokale gegevens binnen een datacenter
- Automatische back-ups van gegevens
- Herstel van verwijderde gegevens uit back-ups
- Gevoelige gegevens beveiligen en isoleren
- Controle op aanvallen
- Reageren op aanvallen
- Mogelijkheid om gegevens geografisch te omheinen om te voldoen aan beperkingen voor gegevensbeheer
- Fysieke beveiliging van servers in beveiligde datacenters
- Certificeringen
En hoewel het misschien duidelijk lijkt, herinneren recente grootschalige databaseschendingen ons aan het eenvoudige maar kritieke belang van de volgende vereisten:
- Gepatchte servers die up-to-date blijven
- HTTPS standaard/TLS-versleuteling
- Beheerdersaccounts met sterke wachtwoorden
Hoe beveiligt Azure Cosmos DB mijn database?
Azure Cosmos DB voor MongoDB vCore voldoet naadloos aan elk van deze beveiligingsvereisten.
Laten we eens nader ingaan op elk item.
| Beveiligingsvereiste | Beveiligingsbenadering van Azure Cosmos DB |
|---|---|
| Netwerkbeveiliging | Met privétoegang die is geïmplementeerd via de volwassen Private Link-technologie , kunt u toegang bieden tot het cluster voor resources in Azure VNets. Met openbare toegang kunt u een cluster openen naar een gedefinieerde set openbare IP-adressen. Privé- en openbare toegang kunnen op elk gewenst moment worden gecombineerd en ingeschakeld of uitgeschakeld. Standaardconfiguratie: Azure Cosmos DB voor MongoDB vCore-clusters worden standaard vergrendeld. Als u toegang tot het cluster wilt bieden, moeten netwerkinstellingen worden bijgewerkt om privé- en/of openbare toegang tot het cluster mogelijk te maken tijdens het maken van het cluster of daarna. Privétoegang: Als privétoegang is ingeschakeld, kan een privé-eindpunt worden gemaakt voor toegang tot privéclusters vanuit het virtuele Azure-netwerk. Privé-eindpunt wordt gemaakt in het subnet van een gespecificeerd VNet. Zodra u klaar bent, zijn alle mogelijkheden van het virtuele Azure-netwerk beschikbaar voor het cluster, waaronder peering van lokale en globale virtuele netwerken, toegang tot privé on-premises omgevingen, filteren en routeren van netwerkverkeer, en andere. Openbare toegang: Het gebruik van een IP-firewall is de eerste beveiligingslaag om uw database te beveiligen. Azure Cosmos DB voor MongoDB vCore biedt ondersteuning voor op beleid gebaseerd IP-toegangsbeheer voor binnenkomende firewallondersteuning. De op IP gebaseerde toegangsbeheer is vergelijkbaar met de firewallregels die worden gebruikt door traditionele databasesystemen. Ze worden echter uitgebreid, zodat een Azure Cosmos DB voor MongoDB vCore-cluster alleen toegankelijk is vanaf een goedgekeurde set machines of cloudservices. Alle aanvragen die afkomstig zijn van computers buiten deze lijst met toegestane machines, worden geblokkeerd door Azure Cosmos DB voor MongoDB vCore. Aanvragen van goedgekeurde machines en cloudservices moeten vervolgens het verificatieproces voltooien om toegangsbeheer voor de resources te krijgen. |
| Lokale replicatie | Zelfs binnen één regio repliceert Azure Cosmos DB voor MongoDB vCore de gegevens op opslagniveau die 3 synchrone replica's van elke fysieke shard altijd transparant onderhouden. Clusters met hoge beschikbaarheid hebben een andere replicatielaag tussen elk primair en stand-by fysiek shardpaar. Replicatie met hoge beschikbaarheid is synchroon en biedt geen gegevensverlies voor failovers, waardoor een SLA voor maandelijkse beschikbaarheid van 99,99% wordt gegarandeerd voor het instellen van één regio. |
| Globale replicatie | Azure Cosmos DB voor MongoDB vCore biedt replicatie tussen regio's waarmee u uw gegevens naar een andere Azure-regio kunt repliceren. Met wereldwijde replicatie kunt u wereldwijd schalen en toegang bieden tot uw gegevens over de hele wereld met lage latentie. In de context van beveiliging zorgt globale replicatie voor gegevensbescherming tegen onregelmatige regionale storingen. Met een replicacluster tussen regio's is er altijd een kopie van uw gegevens aanwezig in een andere regio. De replica in een andere regio in combinatie met hoge beschikbaarheid biedt een SLA voor maandelijkse beschikbaarheid van 99,995% voor het instellen van meerdere regio's. |
| Database-isolatie | Azure Cosmos DB voor MongoDB vCore-databases worden gehost op hun eigen toegewezen resources. Dit betekent dat elk cluster een eigen toegewezen knooppunt krijgt met de naam fysieke shard of een paar in een multishardconfiguratie. Elke fysieke shard heeft een eigen reken- en externe opslag die eraan is gekoppeld. Er is geen deel van de infrastructuur tussen clusters die een extra laag fysieke en logische isolatie bieden voor uw database. |
| Automatische clusterback-ups | Back-up voor Azure Cosmos DB voor MongoDB vCore-clusters is ingeschakeld tijdens het maken van clusters, is volledig geautomatiseerd en kan niet worden uitgeschakeld. Herstellen kan worden uitgevoerd naar elke tijdstempel binnen de back-upbewaarperiode van 35 dagen. |
| Verwijderde gegevens herstellen | De geautomatiseerde online back-ups kunnen worden gebruikt om gegevens te herstellen van een cluster dat u mogelijk per ongeluk tot ongeveer 7 dagen na de gebeurtenis hebt verwijderd. |
| HTTPS/SSL/TLS-versleuteling | Alle netwerkcommunicatie met Azure Cosmos DB voor MongoDB vCore-clusters wordt versleuteld. Alleen verbindingen via een MongoDB-client worden geaccepteerd en versleuteling wordt altijd afgedwongen. Wanneer gegevens naar Azure Cosmos DB voor MongoDB vCore worden geschreven, worden uw gegevens tijdens overdracht versleuteld. Gegevensversleuteling ondersteunt TLS-niveaus tot 1.3 (inbegrepen). |
| Versleuteling in rusttoestand | Azure Cosmos DB voor MongoDB vCore-gegevens, inclusief alle back-ups, logboeken en tijdelijke bestanden, worden versleuteld op schijf. De service maakt gebruik van de AES 256-bits codering die is opgenomen in Azure Storage-versleuteling. Opslagversleuteling is altijd ingeschakeld en kan niet worden uitgeschakeld. U kunt ervoor kiezen om standaard door de service beheerde sleutel te gebruiken voor data-at-rest of u kunt cmk (door de klant beheerde sleutel) configureren. |
| Controleren op aanvallen | Door auditlogboeken en activiteitenlogboeken te gebruiken, kunt u uw database controleren op normale en abnormale activiteiten. U kunt bekijken welke bewerkingen zijn uitgevoerd op uw resources. Deze gegevens omvatten wie de bewerking heeft gestart, wanneer de bewerking is opgetreden, de status van de bewerking en nog veel meer. |
| Reageren op aanvallen | Nadat u contact hebt opgenomen met ondersteuning voor Azure om een mogelijke aanval te melden, wordt een proces voor het reageren op incidenten in vijf stappen gestart. Het doel van het proces in vijf stappen is het herstellen van de normale servicebeveiliging en -bewerkingen. Het proces in vijf stappen herstelt services zo snel mogelijk nadat een probleem is gedetecteerd en er wordt een onderzoek gestart. Meer informatie over gedeelde verantwoordelijkheid in de cloud. |
| Beveiligde faciliteiten | Gegevens in Azure Cosmos DB voor MongoDB vCore worden opgeslagen in beveiligde datacenters van Azure. Meer informatie in wereldwijde Datacenters van Microsoft |
| Gepatchte servers | Azure Cosmos DB voor MongoDB vCore elimineert de noodzaak om software-updates en patchclusters te beheren die automatisch voor u worden uitgevoerd. |
| Beheerdersaccounts met sterke wachtwoorden | Het is moeilijk te geloven dat we deze vereiste zelfs moeten vermelden, maar in tegenstelling tot sommige van onze concurrenten, is het onmogelijk om een beheerdersaccount zonder wachtwoord te hebben in Azure Cosmos DB voor MongoDB vCore. Het wachtwoord moet minstens 8 tekens lang zijn, inclusief Nederlandse hoofdletters en kleine letters, cijfers en niet-alfanumerieke tekens. Beveiliging via verificatie op basis van TLS-geheimen wordt standaard ingebakken. |
| Secundaire rekeningen | Voor gedetailleerdere toegang kunnen secundaire gebruikersaccounts worden gemaakt op clusters met bevoegdheden voor lezen/schrijven of alleen-lezen op de databases van het cluster. |
| Certificeringen voor beveiliging en gegevensbescherming | Zie voor de meest recente lijst met certificeringen azure-naleving en het meest recente Azure-nalevingsdocument met alle Azure-certificeringen, waaronder Azure Cosmos DB. |
In de volgende schermopname ziet u hoe u auditlogboeken en activiteitenlogboeken kunt gebruiken om uw account te bewaken: 
Netwerkbeveiligingsopties
In deze sectie worden verschillende netwerkbeveiligingsopties beschreven die u voor uw cluster kunt configureren. U kunt opties voor openbare en persoonlijke toegang in uw cluster combineren. U kunt de netwerkconfiguratie-instellingen op elk gewenst moment wijzigen.
Geen toegang
Er is geen toegang de standaardoptie voor een nieuw gemaakt cluster als er geen firewallregels of privé-eindpunten zijn gemaakt tijdens het inrichten van het cluster voor openbare of persoonlijke toegang. In dit geval kunnen geen computers, binnen of buiten Azure, verbinding maken met de databaseknooppunten.
Openbare IP-toegang met firewall
In de optie voor openbare toegang wordt een openbaar IP-adres toegewezen aan het cluster en wordt de toegang tot het cluster beveiligd door een firewall. Als het openbare IP-adres niet is opgegeven in een van de firewallregels op het cluster, worden netwerkaanvragen van dat IP-adres geweigerd door de firewall en worden deze niet bereikt.
Persoonlijke toegang
In de optie voor privétoegang wordt een privé-eindpunt voor het cluster gemaakt. Dit privé-eindpunt is gekoppeld aan een virtueel Azure-netwerk (VNet) en een subnet binnen dat VNet. Met een privé-eindpunt kunnen hosts in het gekoppelde virtuele netwerk en gekoppelde virtuele netwerken toegang krijgen tot Azure Cosmos DB voor MongoDB vCore-cluster.
Firewalloverzicht
Azure Cosmos DB voor MongoDB vCore maakt gebruik van een firewall op clusterniveau om alle toegang tot uw cluster te voorkomen totdat u opgeeft welke computers (IP-adressen) gemachtigd zijn. De firewall verleent toegang tot het cluster op basis van het oorspronkelijke IP-adres van elke aanvraag. Als u uw firewall wilt configureren, maakt u firewallregels die bereiken van toegestane IP-adressen opgeven.
Met firewallregels kunnen clients toegang krijgen tot uw cluster en alle databases erin. Firewallregels op clusterniveau kunnen worden geconfigureerd met behulp van Azure Portal of programmatisch met behulp van Azure-hulpprogramma's zoals de Azure CLI.
Standaard blokkeert de firewall alle toegang tot uw cluster. Als u uw cluster wilt gaan gebruiken vanaf een andere computer, moet u een of meer firewallregels op clusterniveau opgeven om toegang tot uw cluster in te schakelen. Gebruik de firewallregels om op te geven welke IP-adresbereiken van internet u wilt toestaan. Firewallregels hebben geen invloed op de toegang tot de Azure Portal-website zelf. Verbindingspogingen vanaf internet en Azure moeten eerst de firewall passeren voordat ze uw databases kunnen bereiken.