Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure DocumentDB to w pełni zarządzana usługa bazy danych NoSQL przeznaczona dla aplikacji o wysokiej wydajności i krytycznym znaczeniu. Zabezpieczanie klastra usługi Azure DocumentDB jest niezbędne do ochrony danych i sieci.
W tym artykule opisano najlepsze rozwiązania i kluczowe funkcje ułatwiające zapobieganie naruszeniom bazy danych, wykrywanie ich i reagowanie na nie.
Bezpieczeństwo sieci
Ogranicz dostęp przy użyciu prywatnych punktów końcowych i reguł zapory: domyślnie klastry są zablokowane. Kontroluj, które zasoby mogą łączyć się z klastrem, włączając dostęp prywatny za pośrednictwem usługi Private Link lub publiczny dostęp z użyciem reguł zapory opartych na adresach IP. Aby uzyskać więcej informacji, zobacz jak włączyć dostęp prywatny i jak włączyć dostęp publiczny.
Połącz dostęp publiczny i prywatny zgodnie z potrzebami: możesz skonfigurować opcje dostępu publicznego i prywatnego w klastrze i zmienić je w dowolnym momencie, aby spełnić wymagania dotyczące zabezpieczeń. Aby uzyskać więcej informacji, zobacz Opcje konfiguracji sieci.
Zarządzanie tożsamościami
Użyj tożsamości zarządzanych, aby uzyskać dostęp do konta z innych usług platformy Azure: tożsamości zarządzane eliminują konieczność zarządzania poświadczeniami, zapewniając automatyczną tożsamość zarządzaną w usłudze Microsoft Entra ID. Użyj tożsamości zarządzanych, aby bezpiecznie uzyskać dostęp do usługi Azure DocumentDB z innych usług platformy Azure bez osadzania poświadczeń w kodzie. Aby uzyskać więcej informacji, zobacz Tożsamości zarządzane dla zasobów Azure.
Kontrola dostępu oparta na rolach na płaszczyźnie sterowania platformy Azure umożliwia zarządzanie bazami danych i kolekcjami kont: Stosowanie kontroli dostępu opartej na rolach platformy Azure w celu zdefiniowania precyzyjnych uprawnień do zarządzania klastrami, bazami danych i kolekcjami usługi Azure DocumentDB. Ta kontrola zapewnia, że tylko autoryzowani użytkownicy lub usługi mogą wykonywać operacje administracyjne.
Kontrola dostępu oparta na rolach na natywnej płaszczyźnie danych umożliwia wykonywanie zapytań, tworzenie i uzyskiwanie dostępu do elementów w kontenerze: Implementowanie kontroli dostępu opartej na rolach płaszczyzny danych w celu wymuszania dostępu do najniższych uprawnień na potrzeby wykonywania zapytań, tworzenia i uzyskiwania dostępu do elementów w kolekcjach usługi Azure DocumentDB. Ta kontrolka pomaga zabezpieczyć operacje na danych. Więcej informacji znajdziesz w Udzielanie dostępu do płaszczyzny danych.
Rozdziel tożsamości platformy Azure używane na potrzeby dostępu do płaszczyzny danych i kontroli: używaj odrębnych tożsamości platformy Azure dla operacji płaszczyzny sterowania i płaszczyzny danych, aby zmniejszyć ryzyko eskalacji uprawnień i zapewnić lepszą kontrolę dostępu. Ta separacja zwiększa bezpieczeństwo, ograniczając zakres każdej tożsamości.
Użyj silnych haseł dla klastrów administracyjnych: klastry administracyjne wymagają silnych haseł z co najmniej ośmioma znakami, w tym wielkimi literami, małymi literami, cyframi i znakami nieliczbowymi. Silne hasła uniemożliwiają nieautoryzowany dostęp. Aby uzyskać więcej informacji, zobacz jak zarządzać użytkownikami.
Utwórz pomocnicze klastry użytkowników w celu uzyskania szczegółowego dostępu: Nadaj uprawnienia odczytu i zapisu lub tylko do odczytu pomocniczym klastrom użytkowników, aby uzyskać bardziej szczegółową kontrolę dostępu w bazach danych klastra. Aby uzyskać więcej informacji, zobacz jak tworzyć użytkowników pomocniczych.
Zabezpieczenia transportu
Wymuszanie szyfrowania zabezpieczeń warstwy transportu dla wszystkich połączeń: Cała komunikacja sieciowa z klastrami usługi Azure DocumentDB jest szyfrowana podczas przesyłania przy użyciu zabezpieczeń warstwy transportu (TLS) do 1.3. Akceptowane są tylko połączenia za pośrednictwem klienta bazy danych MongoDB, a szyfrowanie jest zawsze wymuszane. Aby uzyskać więcej informacji, zobacz jak bezpiecznie nawiązać połączenie.
Użyj protokołu HTTPS do zarządzania i monitorowania: upewnij się, że wszystkie operacje zarządzania i monitorowania są wykonywane za pośrednictwem protokołu HTTPS w celu ochrony poufnych informacji. Aby uzyskać więcej informacji, zobacz jak monitorować dzienniki diagnostyczne.
Szyfrowanie danych
Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez usługę lub zarządzanych przez klienta: wszystkie dane, kopie zapasowe, dzienniki i pliki tymczasowe są szyfrowane na dysku przy użyciu 256-bitowego szyfrowania Advanced Encryption Standard (AES). Domyślnie można użyć kluczy zarządzanych przez usługę lub skonfigurować klucze zarządzane przez klienta w celu uzyskania większej kontroli. Aby uzyskać więcej informacji, zobacz konfigurowanie szyfrowania danych.
Użyj szyfrowania bazowego: szyfrowanie danych magazynowanych jest wymuszane dla wszystkich klastrów i kopii zapasowych, dzięki czemu dane są zawsze chronione. Aby uzyskać więcej informacji, zobacz szyfrowanie magazynowane.
Tworzenie kopii zapasowej i przywracanie
- Włączanie automatycznych kopii zapasowych klastra: kopie zapasowe są włączone podczas tworzenia klastra, w pełni zautomatyzowane i nie można ich wyłączyć. Możesz przywrócić klaster do dowolnego punktu czasowego w obrębie 35-dniowego okresu przechowywania. Aby uzyskać więcej informacji, zobacz jak przywrócić klaster.
Monitorowanie i reagowanie
Monitorowanie ataków przy użyciu dzienników inspekcji i aktywności: użyj dzienników inspekcji i dzienników aktywności, aby monitorować bazę danych pod kątem normalnych i nietypowych działań, w tym osób wykonujących operacje i kiedy. Aby uzyskać więcej informacji, zobacz jak monitorować dzienniki diagnostyczne.
Reagowanie na ataki przy użyciu pomocy technicznej platformy Azure: jeśli podejrzewasz atak, skontaktuj się z pomocą techniczną platformy Azure, aby zainicjować proces reagowania na zdarzenia pięcioetapowe w celu przywrócenia zabezpieczeń i operacji usługi. Aby uzyskać więcej informacji, zobacz wspólna odpowiedzialność w chmurze.