Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure DocumentDB é um serviço de base de dados NoSQL totalmente gerido, concebido para aplicações de alto desempenho e críticas para a missão. Proteger o seu cluster Azure DocumentDB é essencial para proteger os seus dados e rede.
Este artigo explica as melhores práticas e as principais funcionalidades para o ajudar a prevenir, detetar e responder a violações de bases de dados.
Segurança de rede
Restringa o acesso usando endpoints privados e regras de firewall: Por defeito, os clusters estão bloqueados. Controle quais os recursos que podem ligar-se ao seu cluster ativando o acesso privado via Private Link ou acesso público com regras de firewall baseadas em IP. Para mais informações, veja como ativar o acesso privado e como permitir o acesso público.
Combine o acesso público e privado conforme necessário: Pode configurar opções de acesso público e privado no seu cluster e alterá-las a qualquer momento para cumprir os seus requisitos de segurança. Para mais informações, consulte opções de configuração de rede.
Gestão de identidades
Use identidades gerenciadas para acessar sua conta de outros serviços do Azure: as identidades gerenciadas eliminam a necessidade de gerenciar credenciais fornecendo uma identidade gerenciada automaticamente na ID do Microsoft Entra. Use identidades geridas para aceder de forma segura ao Azure DocumentDB a partir de outros serviços Azure sem incorporar credenciais no seu código. Para obter mais informações, consulte Identidades gerenciadas para recursos do Azure.
Use o controlo de acesso baseado em papéis no plano de controlo do Azure para gerir bases de dados e coleções de contas: Aplique o controlo de acesso baseado em papéis do Azure para definir permissões detalhadas para gerir clusters, bases de dados e coleções da Base de Dados do Azure DocumentDB. Esse controle garante que apenas usuários ou serviços autorizados possam executar operações administrativas.
Use controlo de acesso nativo baseado em funções no plano de dados para consultar, criar e aceder a itens dentro de um contentor: Implemente controlo de acesso baseado em funções no plano de dados para impor o acesso com privilégios mínimos para consulta, criação e acesso a itens dentro das coleções Azure DocumentDB. Esse controle ajuda a proteger suas operações de dados. Para obter mais informações, consulte Conceder acesso ao plano de dados.
Separe as identidades do Azure usadas para acesso a dados e plano de controle: use identidades distintas do Azure para operações de plano de controle e plano de dados para reduzir o risco de escalonamento de privilégios e garantir um melhor controle de acesso. Esta separação aumenta a segurança, limitando o âmbito de cada identidade.
Use palavras-passe fortes para clusters administrativos: Clusters administrativos requerem palavras-passe fortes com pelo menos oito caracteres, incluindo maiúsculas, minúsculas, números e caracteres não alfanuméricos. Palavras-passe fortes impedem acessos não autorizados. Para mais informações, veja como gerir utilizadores.
Crie clusters secundários de utilizadores para acesso granular: Atribua privilégios de leitura-escrita ou apenas leitura a clusters secundários de utilizadores para um controlo de acesso mais detalhado nas bases de dados do seu cluster. Para mais informações, veja como criar utilizadores secundários.
Segurança dos transportes
Aplicar a encriptação da segurança da camada de transporte para todas as ligações: Todas as comunicações de rede com clusters Azure DocumentDB são encriptadas durante o trânsito usando segurança da camada de transporte (TLS) até 1.3. Apenas as ligações via um cliente MongoDB são aceites, e a encriptação é sempre aplicada. Para mais informações, veja como se ligar de forma segura.
Use HTTPS para gestão e monitorização: Certifique-se de que todas as operações de gestão e monitorização são realizadas através de HTTPS para proteger informações sensíveis. Para mais informações, veja como monitorizar registos de diagnóstico.
Encriptação de dados
Encriptar dados em repouso usando chaves geridas pelo serviço ou pelo cliente: Todos os dados, backups, registos e ficheiros temporários são encriptados em disco usando encriptação Advanced Encryption Standard (AES) de 256 bits. Pode usar chaves geridas pelo serviço por padrão ou configurar chaves geridas pelo cliente para maior controlo. Para mais informações, consulte como configurar a encriptação dos dados.
Use encriptação base: A encriptação de dados em repouso é aplicada para todos os clusters e backups, garantindo que os seus dados estejam sempre protegidos. Para obter mais informações, consulte criptografia em repouso.
Backup e restauração
- Ativar backups automatizados do cluster: Os backups são ativados na criação do cluster, totalmente automatizados e não podem ser desativados. Pode restaurar o seu cluster para qualquer timestamp durante o período de retenção de 35 dias. Para mais informações, veja como restaurar um cluster.
Monitorização e resposta
Monitorize ataques usando registos de auditoria e de atividade: Use registos de auditoria e registos de atividade para monitorizar a sua base de dados quanto à atividade normal e anormal, incluindo quem realizou as operações e quando. Para mais informações, veja como monitorizar registos de diagnóstico.
Responda a ataques com suporte Azure: Se suspeitar de um ataque, contacte o suporte Azure para iniciar um processo de resposta a incidentes em cinco passos para restaurar a segurança e operações do serviço. Para mais informações, consulte responsabilidade partilhada na cloud.