Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Cosmos DB for NoSQL är en globalt distribuerad databastjänst med flera modeller som är utformad för verksamhetskritiska program. Azure Cosmos DB tillhandahåller inbyggda säkerhetsfunktioner för att skydda dina data, men det är viktigt att följa metodtipsen för att ytterligare förbättra säkerheten för dina konto-, data- och nätverkskonfigurationer.
Den här artikeln innehåller vägledning om hur du bäst skyddar din Azure Cosmos DB för NoSQL-distribution.
Nätverkssäkerhet
Inaktivera åtkomst till offentligt nätverk och använd endast privata slutpunkter: Distribuera Azure Cosmos DB för NoSQL med en konfiguration som begränsar nätverksåtkomsten till ett azure-deloyed virtuellt nätverk. Kontot exponeras via det specifika undernät som du har konfigurerat. Inaktivera sedan åtkomsten till det offentliga nätverket för hela kontot och använd endast privata slutpunkter för tjänster som ansluter till kontot. Mer information finns i Konfigurera åtkomst till virtuella nätverk och konfigurera åtkomst från privata slutpunkter.
Aktivera nätverkssäkerhetsperimeter för nätverksisolering: Använd Nätverkssäkerhetsperimeter (NSP) för att begränsa åtkomsten till ditt Azure Cosmos DB-konto genom att definiera nätverksgränser och isolera den från offentlig Internetåtkomst. Mer information finns i Konfigurera nätverkssäkerhetsperimeter.
Identitetshantering
Använd hanterade identiteter för att komma åt ditt konto från andra Azure-tjänster: Hanterade identiteter eliminerar behovet av att hantera autentiseringsuppgifter genom att tillhandahålla en automatiskt hanterad identitet i Microsoft Entra-ID. Använd hanterade identiteter för att på ett säkert sätt komma åt Azure Cosmos DB från andra Azure-tjänster utan att bädda in autentiseringsuppgifter i koden. Mer information finns i Hanterade identiteter för Azure-resurser.
Använd rollbaserad åtkomstkontroll för Azure-kontrollplan för att hantera kontodatabaser och containrar: Använd rollbaserad åtkomstkontroll i Azure för att definiera detaljerade behörigheter för att hantera Azure Cosmos DB-konton, databaser och containrar. Den här kontrollen säkerställer att endast behöriga användare eller tjänster kan utföra administrativa åtgärder. För mer information, se Bevilja åtkomst till kontrollplanen.
Använd rollbaserad åtkomstkontroll för inbyggt dataplan för att fråga, skapa och komma åt objekt i en container: Implementera rollbaserad åtkomstkontroll för dataplanet för att framtvinga åtkomst med minsta möjliga behörighet för att fråga, skapa och komma åt objekt i Azure Cosmos DB-containrar. Den här kontrollen skyddar dina dataåtgärder. Mer information finns i Bevilja dataplansåtkomst.
Avgränsa de Azure-identiteter som används för data- och kontrollplansåtkomst: Använd distinkta Azure-identiteter för kontrollplans- och dataplansåtgärder för att minska risken för behörighetseskalering och säkerställa bättre åtkomstkontroll. Den här separationen förbättrar säkerheten genom att begränsa omfånget för varje identitet.
Transportsäkerhet
- Använd och framtvinga TLS 1.3 för transportsäkerhet: Framtvinga säkerhet på transportnivå (TLS) 1.3 för att skydda data under överföring med de senaste kryptografiska protokollen, vilket ger starkare kryptering och bättre prestanda. Mer information finns i Minsta TLS-tillämpning.
Datakryptering
Kryptera data i vila eller i rörelse med hjälp av tjänsthanterade nycklar eller kundhanterade nycklar (CMK:er): Skydda känsliga data genom att kryptera dem i vila och under överföring. Använd tjänsthanterade nycklar för enkelhetens skull eller för kundhanterade nycklar för större kontroll över kryptering. Mer information finns i Konfigurera kundhanterade nycklar.
Använd Always Encrypted för att skydda data med kryptering på klientsidan: Always Encrypted säkerställer att känsliga data krypteras på klientsidan innan de skickas till Azure Cosmos DB, vilket ger ett extra säkerhetslager. Mer information finns i Always Encrypted.
Säkerhetskopiering och återställning
Aktivera inbyggd kontinuerlig säkerhetskopiering och återställning: Skydda dina data genom att aktivera kontinuerlig säkerhetskopiering, vilket gör att du kan återställa ditt Azure Cosmos DB-konto till valfri tidpunkt inom kvarhållningsperioden. Mer information finns i Kontinuerlig säkerhetskopiering och återställning.
Testa säkerhetskopierings- och återställningsprocedurer: Testa regelbundet återställningen av databaser, containrar och objekt för att verifiera säkerhetskopieringsprocessernas effektivitet. Mer information finns i återställa en container eller databas.