Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Cosmos DB para NoSQL é um serviço de banco de dados multimodelo distribuído globalmente projetado para aplicativos de missão crítica. Embora o Azure Cosmos DB forneça recursos de segurança internos para proteger seus dados, é essencial seguir as práticas recomendadas para aprimorar ainda mais a segurança de sua conta, dados e configurações de rede.
Este artigo fornece orientação sobre como proteger melhor sua implantação do Azure Cosmos DB para NoSQL.
Segurança de rede
Desabilitar o acesso à rede pública e usar somente Pontos de Extremidade Privados: implante o Azure Cosmos DB para NoSQL com uma configuração que restrinja o acesso à rede a uma rede virtual desvalorizada pelo Azure. A conta é exposta através da sub-rede específica que você configurou. Em seguida, desative o acesso à rede pública para toda a conta e use pontos de extremidade privados exclusivamente para serviços que se conectam à conta. Para obter mais informações, consulte Configurar o acesso à rede virtual e configurar o acesso a partir de pontos de extremidade privados.
Habilitar o Perímetro de Segurança de Rede para isolamento de rede: use o NSP (Perímetro de Segurança de Rede) para restringir o acesso à sua conta do Azure Cosmos DB definindo limites de rede e isolando-a do acesso público à Internet. Para obter mais informações, consulte Configurar perímetro de segurança de rede.
Gestão de identidades
Use identidades gerenciadas para acessar sua conta de outros serviços do Azure: as identidades gerenciadas eliminam a necessidade de gerenciar credenciais fornecendo uma identidade gerenciada automaticamente na ID do Microsoft Entra. Use identidades gerenciadas para acessar com segurança o Azure Cosmos DB de outros serviços do Azure sem incorporar credenciais em seu código. Para obter mais informações, consulte Identidades gerenciadas para recursos do Azure.
Use o controle de acesso baseado em função do plano de controle do Azure para gerenciar bancos de dados e contêineres de conta: aplique o controle de acesso baseado em função do Azure para definir permissões refinadas para gerenciar contas, bancos de dados e contêineres do Azure Cosmos DB. Esse controle garante que apenas usuários ou serviços autorizados possam executar operações administrativas. Para obter mais informações, consulte Conceder acesso ao plano de controle.
Use o controle de acesso baseado em função do plano de dados nativo para consultar, criar e acessar itens dentro de um contêiner: implemente o controle de acesso baseado em função do plano de dados para impor o acesso de privilégios mínimos para consultar, criar e acessar itens em contêineres do Azure Cosmos DB. Esse controle ajuda a proteger suas operações de dados. Para obter mais informações, consulte Conceder acesso ao plano de dados.
Separe as identidades do Azure usadas para acesso a dados e plano de controle: use identidades distintas do Azure para operações de plano de controle e plano de dados para reduzir o risco de escalonamento de privilégios e garantir um melhor controle de acesso. Esta separação aumenta a segurança, limitando o âmbito de cada identidade.
Segurança dos transportes
- Use e imponha o TLS 1.3 para segurança de transporte: imponha a segurança da camada de transporte (TLS) 1.3 para proteger os dados em trânsito com os protocolos criptográficos mais recentes, garantindo criptografia mais forte e melhor desempenho. Para obter mais informações, consulte Aplicação mínima de TLS.
Encriptação de dados
Criptografe dados em repouso ou em movimento usando chaves gerenciadas por serviço ou chaves gerenciadas pelo cliente (CMKs): proteja dados confidenciais criptografando-os em repouso e em trânsito. Use chaves gerenciadas por serviço para simplicidade ou chaves gerenciadas pelo cliente para maior controle sobre a criptografia. Para obter mais informações, consulte Configurar chaves gerenciadas pelo cliente.
Use Always Encrypted para proteger dados com criptografia do lado do cliente: Always Encrypted garante que os dados confidenciais sejam criptografados no lado do cliente antes de serem enviados para o Azure Cosmos DB, fornecendo uma camada extra de segurança. Para obter mais informações, consulte Always Encrypted.
Backup e restauração
Habilite o backup e a restauração contínuos nativos: proteja seus dados habilitando o backup contínuo, que permite restaurar sua conta do Azure Cosmos DB para qualquer point-in-time dentro do período de retenção. Para obter mais informações, consulte Backup e restauração contínuos.
Testar procedimentos de backup e recuperação: para verificar a eficácia dos processos de backup, teste regularmente a restauração de bancos de dados, contêineres e itens. Para obter mais informações, consulte restaurar um contêiner ou banco de dados.