你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
你是否正在寻找一种数据库解决方案,以应对需要高扩展性、99.999% 可用性服务级别协议(SLA)、即时自动扩展和跨多个区域的自动故障转移的场景? 请考虑 Azure Cosmos DB for NoSQL。
您是要构建联机分析处理(OLAP)图表,还是迁移现有的 Apache Gremlin 应用程序? 考虑 Microsoft Fabric 中的 Graph。
Azure Cosmos DB for Apache Gremlin 是一项完全托管的图形数据库服务,可用于使用 Gremlin 查询语言来存储、查询和遍历大规模图形数据。
本文提供了有关如何最好地保护用于 Apache Gremlin 部署的 Azure Cosmos DB 的指导。
网络安全
仅禁用公用网络访问并使用专用终结点:使用限制对 Azure 委派虚拟网络的网络访问的配置部署 Azure Cosmos DB for NoSQL。 该帐户通过配置的特定子网公开。 然后,为整个帐户禁用公用网络访问,并为连接到该帐户的服务专门使用专用终结点。 有关详细信息,请参阅 配置虚拟网络访问 并 配置来自专用终结点的访问。
为网络隔离启用网络安全外围:使用网络安全外围(NSP)通过定义网络边界并将其与公共 Internet 访问隔离来限制对 Azure Cosmos DB 帐户的访问。 有关详细信息,请参阅 配置网络安全外围。
标识管理
- 使用 Azure 控制平面基于角色的访问控制来管理帐户数据库和容器:应用 Azure 基于角色的访问控制来定义用于管理 Azure Cosmos DB 帐户、数据库和容器的精细权限。 此控件可确保只有经过授权的用户或服务才能执行管理作。 有关详细信息,请参阅 授予控制平面访问权限。
传输安全性
- 使用并强制实施 TLS 1.3 实现传输安全性:强制传输层安全性 (TLS) 1.3 以使用最新的加密协议保护传输中的数据,确保更强加密并提高性能。 有关详细信息,请参阅 最低 TLS 强制实施。
数据加密
使用服务管理的密钥或客户管理的密钥(CMKs)加密静态数据或动态数据:通过在静态和传输中加密敏感数据来保护敏感数据。 为简单起见,使用服务管理的密钥或客户管理的密钥可以更好地控制加密。 有关详细信息,请参阅 配置客户管理的密钥。
使用 Always Encrypted 保护客户端加密数据:Always Encrypted 可确保在发送到 Azure Cosmos DB 之前在客户端加密敏感数据,从而提供额外的安全层。 有关详细信息,请参阅 Always Encrypted。