Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Azure Cosmos DB for NoSQL é um serviço de base de dados distribuído globalmente e multi-modelo, concebido para aplicações críticas. Embora o Azure Cosmos DB ofereça funcionalidades de segurança integradas para proteger os seus dados, é essencial seguir as melhores práticas para reforçar ainda mais a segurança da sua conta, dados e configurações de rede.
Este artigo fornece orientações sobre como proteger melhor o seu Azure Cosmos DB para implementação em NoSQL.
Segurança de rede
Desative o acesso à rede pública e use apenas Endpoints Privados: Implemente e configure Azure Cosmos DB para NoSQL com uma configuração que restrinja o acesso à rede a uma rede virtual implementada no Azure. A conta é exposta através da sub-rede específica que você configurou. Em seguida, desative o acesso à rede pública para toda a conta e use pontos de extremidade privados exclusivamente para serviços que se conectam à conta. Para obter mais informações, consulte Configurar o acesso à rede virtual e configurar o acesso a partir de pontos de extremidade privados.
Ativar o Perímetro de Segurança de Rede para isolamento de rede: Use o Perímetro de Segurança de Rede (NSP) para restringir o acesso à sua conta Azure Cosmos DB, definindo limites de rede e isolando-a do acesso público à internet. Para obter mais informações, consulte Configurar perímetro de segurança de rede.
Gestão de identidades
Use identidades geridas para aceder à sua conta a partir de outros serviços Azure: As identidades geridas eliminam a necessidade de gerir credenciais ao fornecer uma identidade gerida automaticamente em Microsoft Entra ID. Use identidades gerenciadas para acessar com segurança o Azure Cosmos DB de outros serviços do Azure sem incorporar credenciais em seu código. Para obter mais informações, consulte Identidades gerenciadas para recursos do Azure.
Usar o plano de controlo de acesso baseado em funções do Azure para gerir bases de dados, contas e contentores: Aplique o controlo de acesso baseado em funções do Azure para definir permissões detalhadas para gerir contas Azure Cosmos DB, bases de dados e contentores. Esse controle garante que apenas usuários ou serviços autorizados possam executar operações administrativas. Para obter mais informações, consulte Conceder acesso ao plano de controle.
Use o controle de acesso baseado em função do plano de dados nativo para consultar, criar e acessar itens dentro de um contêiner: implemente o controle de acesso baseado em função do plano de dados para impor o acesso de privilégios mínimos para consultar, criar e acessar itens em contêineres do Azure Cosmos DB. Esse controle ajuda a proteger suas operações de dados. Para obter mais informações, consulte Conceder acesso ao plano de dados.
Separe as identidades Azure usadas para acesso a dados e plano de controlo: Use identidades Azure distintas para operações de plano de controlo e plano de dados para reduzir o risco de escalonamento de privilégios e garantir um melhor controlo de acesso. Esta separação aumenta a segurança, limitando o âmbito de cada identidade.
Alterne as chaves de acesso regularmente se usar autenticação baseada em chaves: Se ainda usar autenticação baseada em chaves, alterne as suas chaves primárias e secundárias de forma regular. Use a chave secundária durante a rotação da chave principal para evitar tempos de inatividade. Para passos de rotação de chaves, consulte Rodar chaves de conta. Para migrar para autenticação Microsoft Entra ID, veja Connect usando controlo de acesso baseado em funções.
Segurança dos transportes
- Use e imponha o TLS 1.3 para segurança de transporte: imponha a segurança da camada de transporte (TLS) 1.3 para proteger os dados em trânsito com os protocolos criptográficos mais recentes, garantindo criptografia mais forte e melhor desempenho. Para obter mais informações, consulte Aplicação mínima de TLS.
Encriptação de dados
Criptografe dados em repouso ou em movimento usando chaves gerenciadas por serviço ou chaves gerenciadas pelo cliente (CMKs): proteja dados confidenciais criptografando-os em repouso e em trânsito. Use chaves gerenciadas por serviço para simplicidade ou chaves gerenciadas pelo cliente para maior controle sobre a criptografia. Para obter mais informações, consulte Configurar chaves gerenciadas pelo cliente.
Use o Always Encrypted para proteger dados com encriptação do lado do cliente: O Always Encrypted garante que os dados sensíveis são encriptados do lado do cliente antes de serem enviados para Azure Cosmos DB, proporcionando uma camada extra de segurança. Para obter mais informações, consulte Sempre criptografado.
Backup e restauração
Ative backup e restauro contínuos nativos: Proteja os seus dados ativando o backup contínuo, o que lhe permite restaurar a sua conta Azure Cosmos DB a qualquer momento dentro do período de retenção. Para obter mais informações, consulte Backup e restauro contínuos.
Testar procedimentos de backup e recuperação: para verificar a eficácia dos processos de backup, teste regularmente a restauração de bancos de dados, contêineres e itens. Para obter mais informações, consulte restaurar um contêiner ou banco de dados.