Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure DocumentDB es un servicio de base de datos NoSQL totalmente administrado diseñado para aplicaciones críticas de alto rendimiento. Proteger el clúster de Azure DocumentDB es esencial para proteger los datos y la red.
En este artículo se explican los procedimientos recomendados y las características clave para ayudarle a evitar, detectar y responder a infracciones de base de datos.
Seguridad de red
Restringir el acceso mediante puntos de conexión privados y reglas de firewall: de forma predeterminada, los clústeres están bloqueados. Controle qué recursos pueden conectarse al clúster habilitando el acceso privado a través de Private Link o acceso público con reglas de firewall basadas en IP. Para obtener más información, consulte cómo habilitar el acceso privado y cómo habilitar el acceso público.
Combine el acceso público y privado según sea necesario: puede configurar las opciones de acceso público y privado en el clúster y cambiarlas en cualquier momento para cumplir los requisitos de seguridad. Para obtener más información, consulte Opciones de configuración de red.
Administración de identidades
Use identidades administradas para acceder a su cuenta desde otros servicios de Azure: las identidades administradas eliminan la necesidad de administrar las credenciales proporcionando una identidad administrada automáticamente en microsoft Entra ID. Use identidades administradas para acceder de forma segura a Azure DocumentDB desde otros servicios de Azure sin insertar credenciales en el código. Para más información, consulte Identidades administradas para recursos de Azure.
Use el control de acceso basado en rol del plano de control de Azure para administrar las bases de datos y colecciones de cuentas: aplique el control de acceso basado en rol de Azure para definir permisos específicos para administrar clústeres, bases de datos y colecciones de Azure DocumentDB. Este control garantiza que solo los usuarios o servicios autorizados puedan realizar operaciones administrativas.
Use el control de acceso basado en rol del plano de datos nativo para consultar, crear y acceder a elementos dentro de un contenedor: implemente el control de acceso basado en rol del plano de datos para aplicar el acceso con privilegios mínimos para consultar, crear y acceder a elementos dentro de colecciones de Azure DocumentDB. Este control ayuda a proteger las operaciones de datos. Para obtener más información, consulte Otorgar acceso al plano de datos.
Separe las identidades de Azure que se usan para el acceso a los datos y el plano de control: use distintas identidades de Azure para las operaciones del plano de control y del plano de datos para reducir el riesgo de escalación de privilegios y garantizar un mejor control de acceso. Esta separación mejora la seguridad limitando el ámbito de cada identidad.
Uso de contraseñas seguras para clústeres administrativos: los clústeres administrativos requieren contraseñas seguras con al menos ocho caracteres, incluidos los caracteres mayúsculas, minúsculas, números y nonalphanumeric. Las contraseñas seguras impiden el acceso no autorizado. Para obtener más información, consulte cómo administrar usuarios.
Creación de clústeres de usuarios secundarios para el acceso pormenorizado: asigne privilegios de lectura y escritura o de solo lectura a clústeres de usuarios secundarios para un control de acceso más granular en las bases de datos del clúster. Para obtener más información, vea cómo crear usuarios secundarios.
Seguridad de transporte
Exigir el cifrado de seguridad de la capa de transporte para todas las conexiones: todas las comunicaciones de red con clústeres de Azure DocumentDB se cifran en tránsito mediante la seguridad de la capa de transporte (TLS) hasta 1.3. Solo se aceptan conexiones a través de un cliente de MongoDB y siempre se aplica el cifrado. Para obtener más información, consulte cómo conectarse de forma segura.
Use HTTPS para la administración y la supervisión: asegúrese de que todas las operaciones de administración y supervisión se realizan a través de HTTPS para proteger la información confidencial. Para obtener más información, consulte cómo supervisar los registros de diagnóstico.
Cifrado de datos
Cifrado de datos en reposo mediante claves administradas por el servicio o administradas por el cliente: todos los datos, copias de seguridad, registros y archivos temporales se cifran en disco mediante el cifrado estándar de cifrado avanzado (AES) de 256 bits. Puede usar claves administradas por el servicio de forma predeterminada o configurar claves administradas por el cliente para un mayor control. Para obtener más información, consulte cómo configurar el cifrado de datos.
Uso del cifrado de línea base: el cifrado de datos en reposo se aplica para todos los clústeres y copias de seguridad, lo que garantiza que los datos están protegidos siempre. Para obtener más información, consulte Cifrado en reposo.
Copias de seguridad y restauración
- Habilitar copias de seguridad automatizadas del clúster: las copias de seguridad están habilitadas en la creación del clúster, totalmente automatizadas y no se pueden deshabilitar. Puede restaurar el clúster a cualquier marca de tiempo dentro del período de retención de 35 días. Para más información, consulte cómo restaurar un clúster.
Supervisión y respuesta
Supervisión de ataques mediante registros de auditoría y actividad: use el registro de auditoría y los registros de actividad para supervisar la base de datos en busca de actividad normal y anómala, incluido quién realizó operaciones y cuándo. Para obtener más información, consulte cómo supervisar los registros de diagnóstico.
Responder a ataques con soporte técnico de Azure: si sospecha un ataque, póngase en contacto con el soporte técnico de Azure para iniciar un proceso de respuesta a incidentes de cinco pasos para restaurar la seguridad y las operaciones del servicio. Para obtener más información, consulte Responsabilidad compartida en la nube.