Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Cosmos DB for NoSQL is een wereldwijd gedistribueerde databaseservice met meerdere modellen die is ontworpen voor bedrijfskritieke toepassingen. Hoewel Azure Cosmos DB ingebouwde beveiligingsfuncties biedt om uw gegevens te beschermen, is het essentieel om aanbevolen procedures te volgen om de beveiliging van uw account, gegevens en netwerkconfiguraties verder te verbeteren.
Dit artikel bevat richtlijnen voor het beste beveiligen van uw Azure Cosmos DB for NoSQL-implementatie.
Netwerkbeveiliging
Schakel openbare netwerktoegang uit en gebruik alleen privé-eindpunten: Implementeer Azure Cosmos DB for NoSQL met een configuratie waarmee netwerktoegang tot een virtueel Azure-netwerk wordt beperkt. Het account wordt weergegeven via het specifieke subnet dat u hebt geconfigureerd. Schakel vervolgens openbare netwerktoegang voor het hele account uit en gebruik uitsluitend privé-eindpunten voor services die verbinding maken met het account. Zie Toegang tot virtuele netwerken configureren en toegang configureren vanuit privé-eindpunten voor meer informatie.
Netwerkbeveiligingsperimeter inschakelen voor netwerkisolatie: Netwerkbeveiligingsperimeter (NSP) gebruiken om de toegang tot uw Azure Cosmos DB-account te beperken door netwerkgrenzen te definiëren en te isoleren van openbare internettoegang. Zie Netwerkbeveiligingsperimeter configureren voor meer informatie.
Identiteitsbeheer
Gebruik beheerde identiteiten om toegang te krijgen tot uw account vanuit andere Azure-services: Beheerde identiteiten elimineren de noodzaak om referenties te beheren door een automatisch beheerde identiteit in Microsoft Entra-id op te geven. Gebruik beheerde identiteiten om veilig toegang te krijgen tot Azure Cosmos DB vanuit andere Azure-services zonder referenties in uw code in te sluiten. Voor meer informatie, zie Beheerde identiteiten voor Azure-resources.
Op rollen gebaseerd toegangsbeheer van Azure gebruiken om accountdatabases en containers te beheren: Pas op rollen gebaseerd toegangsbeheer van Azure toe om gedetailleerde machtigingen te definiëren voor het beheren van Azure Cosmos DB-accounts, -databases en -containers. Dit besturingselement zorgt ervoor dat alleen geautoriseerde gebruikers of services beheerbewerkingen kunnen uitvoeren. Voor meer informatie, zie Toegang tot het besturingsvlak verlenen.
Rolgebaseerd toegangsbeheer binnen het gegevensvlak gebruiken om items in een container op te vragen, te maken en te openen: Implementeer rolgebaseerd toegangsbeheer binnen het gegevensvlak om toegang met het principe van minimale bevoegdheden af te dwingen voor het uitvoeren van query's, maken en openen van items in Azure Cosmos DB-containers. Met dit besturingselement kunt u uw gegevensbewerkingen beveiligen. Zie Toegang tot het gegevensvlak verlenen voor meer informatie.
Scheid de Azure-identiteiten die worden gebruikt voor toegang tot gegevens- en besturingsvlak: gebruik afzonderlijke Azure-identiteiten voor besturingsvlak- en gegevensvlakbewerkingen om het risico op escalatie van bevoegdheden te verminderen en betere toegangsbeheer te garanderen. Deze scheiding verbetert de beveiliging door het bereik van elke identiteit te beperken.
Transportbeveiliging
- TLS 1.3 gebruiken en afdwingen voor transportbeveiliging: Dwing transportlaagbeveiliging (TLS) 1.3 af om gegevens tijdens overdracht te beveiligen met de nieuwste cryptografische protocollen, waardoor sterkere versleuteling en verbeterde prestaties worden gegarandeerd. Zie Minimale TLS-afdwinging voor meer informatie.
Gegevensversleuteling
Data in rust of in beweging versleutelen met door de service beheerde sleutels of door de klant beheerde sleutels (CMK's): Bescherm gevoelige gegevens door deze in rust en tijdens overdracht te versleutelen. Gebruik door de service beheerde sleutels voor eenvoud of door de klant beheerde sleutels voor meer controle over versleuteling. Zie Door de klant beheerde sleutels configureren voor meer informatie.
Gebruik Always Encrypted om gegevens te beveiligen met versleuteling aan de clientzijde: Always Encrypted zorgt ervoor dat gevoelige gegevens aan de clientzijde worden versleuteld voordat ze naar Azure Cosmos DB worden verzonden, wat een extra beveiligingslaag biedt. Zie Always Encrypted voor meer informatie.
Backups en herstel
Systeemeigen continue back-up en herstel inschakelen: beveilig uw gegevens door continue back-up in te schakelen, zodat u uw Azure Cosmos DB-account op elk gewenst moment binnen de retentieperiode kunt herstellen. Zie Continue back-up en herstel voor meer informatie.
Test back-up- en herstelprocedures: Test regelmatig het herstel van databases, containers en items om de effectiviteit van back-upprocessen te controleren. Zie Een container of database herstellen voor meer informatie.