Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure DocumentDB é um serviço de banco de dados NoSQL totalmente gerenciado projetado para aplicativos críticos e de alto desempenho. Proteger o cluster do Azure DocumentDB é essencial para proteger seus dados e rede.
Este artigo explica as práticas recomendadas e os principais recursos para ajudá-lo a prevenir, detectar e responder a violações de banco de dados.
Segurança de rede
Restringir o acesso usando pontos de extremidade privados e regras de firewall: Por padrão, os clusters são bloqueados. Controle quais recursos podem se conectar ao cluster habilitando o acesso privado por meio do Link Privado ou do acesso público com regras de firewall baseadas em IP. Para obter mais informações, confira como habilitar o acesso privado e como habilitar o acesso público.
Combine o acesso público e privado conforme necessário: você pode configurar as opções de acesso público e privado em seu cluster e alterá-las a qualquer momento para atender aos seus requisitos de segurança. Para obter mais informações, consulte as opções de configuração de rede.
Gerenciamento de identidades
Use identidades gerenciadas para acessar sua conta de outros serviços do Azure: as identidades gerenciadas eliminam a necessidade de gerenciar credenciais fornecendo uma identidade gerenciada automaticamente na ID do Microsoft Entra. Use identidades gerenciadas para acessar com segurança o Azure DocumentDB de outros serviços do Azure sem inserir credenciais em seu código. Para obter mais informações, consulte Identidades gerenciadas para recursos do Azure.
Use o controle de acesso baseado em função do painel de controle do Azure para gerenciar contas, bancos de dados e coleções: aplique o controle de acesso baseado em função do Azure para definir permissões refinadas para gerenciar clusters, bancos de dados e coleções do Azure DocumentDB. Esse controle garante que somente usuários ou serviços autorizados possam executar operações administrativas.
Use o controle de acesso baseado em função do plano de dados nativo para consultar, criar e acessar itens em um contêiner: implemente o controle de acesso baseado em função do plano de dados para impor acesso de privilégios mínimo para consultar, criar e acessar itens em coleções do Azure DocumentDB. Esse controle ajuda a proteger suas operações de dados. Para obter mais informações, veja Permitir acesso ao plano de dados.
Separe as identidades do Azure usadas para acesso a dados e plano de controle: use identidades distintas do Azure para operações de plano de controle e plano de dados para reduzir o risco de escalonamento de privilégios e garantir um melhor controle de acesso. Essa separação aprimora a segurança limitando o escopo de cada identidade.
Use senhas fortes para clusters administrativos: os clusters administrativos exigem senhas fortes com pelo menos oito caracteres, incluindo maiúsculas, minúsculas, números e caracteres não numéricos. Senhas fortes impedem o acesso não autorizado. Para obter mais informações, confira como gerenciar usuários.
Criar clusters de usuários secundários para acesso granular: Atribua privilégios de leitura-gravação ou somente leitura a clusters de usuários secundários para controle de acesso mais granular nos bancos de dados do cluster. Para obter mais informações, confira como criar usuários secundários.
Segurança do transporte
Aplicar a criptografia de Segurança da Camada de Transporte para todas as conexões: Todas as comunicações de rede com clusters do Azure DocumentDB são criptografadas em trânsito usando TLS (Segurança da Camada de Transporte) até o 1.3. Somente conexões por meio de um cliente MongoDB são aceitas e a criptografia é sempre imposta. Para obter mais informações, confira como se conectar com segurança.
Use HTTPS para gerenciamento e monitoramento: verifique se todas as operações de gerenciamento e monitoramento são executadas por HTTPS para proteger informações confidenciais. Para obter mais informações, confira como monitorar logs de diagnóstico.
Criptografia de dados
Criptografar dados em repouso usando chaves gerenciadas pelo serviço ou pelo cliente: todos os dados, backups, logs e arquivos temporários são criptografados em disco usando a criptografia de 256 bits do AES (Advanced Encryption Standard). Você pode usar chaves gerenciadas pelo serviço por padrão ou configurar chaves gerenciadas pelo cliente para maior controle. Para obter mais informações, confira como configurar a criptografia de dados.
Use a criptografia de linha de base: a criptografia de dados em repouso é imposta para todos os clusters e backups, garantindo que seus dados estejam sempre protegidos. Para obter mais informações, consulte criptografia em repouso.
Backup e restauração
- Habilitar backups automatizados de cluster: os backups são habilitados na criação do cluster, totalmente automatizados e não podem ser desabilitados. Você pode restaurar o cluster para qualquer carimbo de data/hora dentro do período de retenção de 35 dias. Para obter mais informações, confira como restaurar um cluster.
Monitoramento e resposta
Monitorar ataques usando logs de auditoria e de atividades: use logs de auditoria e logs de atividades para monitorar seu banco de dados para atividades normais e anormais, incluindo quem executou operações e quando. Para obter mais informações, confira como monitorar logs de diagnóstico.
Responder a ataques com suporte do Azure: se você suspeitar de um ataque, entre em contato com o suporte do Azure para iniciar um processo de resposta a incidentes de cinco etapas para restaurar a segurança e as operações do serviço. Para obter mais informações, consulte a responsabilidade compartilhada na nuvem.