你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
NoSQL的Azure Cosmos DB是一种全球分布式多模型数据库服务,专为任务关键型应用程序而设计。 虽然Azure Cosmos DB提供内置安全功能来保护数据,但必须遵循最佳做法,进一步增强帐户、数据和网络配置的安全性。
本文提供有关如何最好地保护Azure Cosmos DB进行NoSQL部署的指导。
网络安全
禁用公共网络访问,仅使用专用终结点:为 NoSQL 配置 Azure Cosmos DB,并仅限网络访问到部署到 Azure 的虚拟网络。 该帐户通过配置的特定子网公开。 然后,为整个帐户禁用公用网络访问,并为连接到该帐户的服务专门使用专用终结点。 有关详细信息,请参阅 配置虚拟网络访问 并 配置来自专用终结点的访问。
启用网络安全边界进行网络隔离:使用网络安全边界(NSP)通过定义网络边界,并将其与公共 Internet 访问隔离来限制对 Azure Cosmos DB 账户的访问。 有关详细信息,请参阅 配置网络安全外围。
标识管理
使用托管标识从其他Azure服务访问帐户:托管标识无需在Microsoft Entra ID中提供自动托管标识来管理凭据。 使用托管标识从其他Azure服务安全地访问Azure Cosmos DB,而无需在代码中嵌入凭据。 有关详细信息,请参阅 Azure 资源的托管标识。
使用Azure控制平面基于角色的访问控制来管理帐户数据库和容器:Azure 应用基于角色的访问控制以定义用于管理Azure Cosmos DB帐户、数据库和容器的精细权限。 此控件可确保只有经过授权的用户或服务才能执行管理作。 有关详细信息,请参阅授予控制平面访问权限。
使用本机数据平面基于角色的访问控制来查询、创建和访问容器中的项:实现基于数据平面角色的访问控制,以强制对Azure Cosmos DB容器中的项进行查询、创建和访问的最低特权访问。 此控制措施有助于保障您的数据操作。 有关详细信息,请参阅 授予数据平面访问权限。
分离用于数据和控制平面访问的Azure标识:对控制平面和数据平面操作使用不同的Azure标识,以减少特权升级的风险,并确保更好的访问控制。 这种分离通过限制每个标识的范围来提高安全性。
如果使用基于密钥的身份验证,请定期轮换访问密钥:如果仍使用基于密钥的身份验证,请定期轮换主密钥和辅助密钥。 在主密钥轮换期间使用辅助密钥以避免停机。 有关密钥轮换步骤,请参阅 轮换帐户密钥。 要想迁移到 Microsoft Entra ID 的身份验证,请参阅使用基于角色的访问控制。
运输安全
- 使用并强制实施 TLS 1.3 实现传输安全性:强制传输层安全性 (TLS) 1.3 以使用最新的加密协议保护传输中的数据,确保更强加密并提高性能。 有关详细信息,请参阅 最低 TLS 强制要求。
数据加密
使用服务管理的密钥或客户管理的密钥(CMKs)加密静态数据或动态数据:通过在静态和传输中加密敏感数据来保护敏感数据。 为简单起见,使用服务管理的密钥或客户管理的密钥可以更好地控制加密。 有关详细信息,请参阅配置客户管理的密钥。
使用 Always Encrypted 通过客户端加密来保护数据:Always Encrypted 可确保在发送到Azure Cosmos DB之前在客户端加密敏感数据,从而提供额外的安全性层。 有关详细信息,请参阅 Always Encrypted。